臺中市教育網路網管人員會議 專題報告
網路組 黃國順
學校的網路如何與教育網路中心介接
Internet 中興區網
臺中市教育網路中心網路架構(簡圖)
Cisco 6500
VLAN TRUNK
ISP
1G
1G
Firewall
教網Server Zone
Firewall OO國小
FTTB
國中 國小 國中
FTTB FTTB
FTTB
國小 國小
FTTB FTTB
A
D
IPv4 MRTG 流量分析
http://mrtg.tc.edu.tw/mrtg/schools/sector.pl
觀察重點:
1. 持續不間斷的流量?
2. 與正常相比異常的流量圖?
例如:
如何更精確了解學校對外對內及內對外的流量?
要如何知道每天學校對外對內流量,最簡單的方法是查看每天由教網中心 NETFLOW 分析主 機產生的各校流量統計分析結果。
什麼是 Netflow?
Netflow 是由 cisco 主導的一個流量紀錄標準,藉由 router 輸出 netflow 我們可以分析後得到許 多有價值的資訊。
http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html
netflow 紀錄範例:Date flow start Date flow end Proto Input Output Src IP Addr Src Pt Dst IP Addr Dst Pt Packets Bytes Flows
2010-09-21 10:44:52.708 2010-09-21 10:44:52.964 TCP 486 757 120.109.249.1 50186 61.31.206.34 80 40 2607 1
2010-09-21 10:44:52.772 2010-09-21 10:44:52.772 TCP 486 661 163.17.40.11 80 163.17.119.33 4476 5 381 1
2010-09-21 10:44:52.900 2010-09-21 10:44:52.964 TCP 486 757 120.109.249.1 50188 61.31.206.34 80 35 2287 1
2010-09-21 10:44:23.460 2010-09-21 10:44:23.460 ICMP6 486 488 2001:28..d3:e06e 0 2001:41..11:f352 0.129 1 104 1
2010-09-21 10:44:23.460 2010-09-21 10:44:23.460 ICMP6 486 488 2001:288:5400::1 0 2001:41..11:f352 0.129 1 104 1
2010-09-21 10:44:22.755 2010-09-21 10:44:22.755 ICMP6 486 488 2001:288:5400::2 0 2001:470:0:66::2 3.1 1 132 1
2010-09-21 10:44:23.140 2010-09-21 10:44:23.140 UDP 486 488 163.17.40.1 53 168.95.192.95 33973 1 147 1
2010-09-21 10:44:23.140 2010-09-21 10:44:23.140 UDP 486 757 163.17.40.2 32769 192.83.166.9 53 1 72 1
2010-09-21 10:44:21.028 2010-09-21 10:44:21.028 UDP 486 717 163.17.40.1 53 163.17.170.1 56763 1 221 1
2010-09-21 10:44:21.028 2010-09-21 10:44:33.956 UDP 486 757 163.17.40.68 5060 61.64.85.123 33024 10 3926 1
2010-09-21 10:44:23.140 2010-09-21 10:44:23.140 UDP 486 488 163.17.40.2 32769 202.133.244.244 53 2 140 1
2010-09-21 10:44:23.140 2010-09-21 10:44:56.228 TCP 486 488 120.109.248.36 50072 210.242.43.201 80 12 552 1
2010-09-21 10:44:21.028 2010-09-21 10:44:49.316 UDP 486 757 163.17.40.1 54053 203.69.113.39 53 5 371 1
2010-09-21 10:44:21.092 2010-09-21 10:44:54.180 TCP 486 488 120.109.248.228 50414 210.242.43.200 80 12 552 1
2010-09-21 10:44:23.204 2010-09-21 10:44:23.204 UDP 486 585 163.17.40.66 5060 163.17.111.201 8080 2 861 1
2010-09-21 10:44:21.092 2010-09-21 10:44:21.092 UDP 486 757 120.109.249.28 3112 113.31.30.135 17788 1 98 1
2010-09-21 10:44:23.204 2010-09-21 10:44:23.204 UDP 486 540 163.17.40.1 53 163.17.165.103 65107 1 197 1
2010-09-21 10:44:21.220 2010-09-21 10:44:21.220 UDP 486 632 163.17.40.1 53 163.17.109.132 64927 1 260 1
2010-09-21 10:44:21.220 2010-09-21 10:44:21.220 UDP 486 632 163.17.40.1 53 163.17.109.132 50393 1 260 1
2010-09-21 10:44:21.284 2010-09-21 10:44:21.412 UDP 486 488 163.17.40.1 54053 192.150.22.30 53 2 159 1
2010-09-21 10:44:23.076 2010-09-21 10:44:23.140 UDP 486 587 163.17.40.66 5060 163.17.116.253 43680 2 874 1
2010-09-21 10:44:21.284 2010-09-21 10:44:21.284 UDP 486 685 163.17.40.1 53 163.17.42.253 58025 1 194 1
2010-09-21 10:44:21.348 2010-09-21 10:44:21.348 UDP 486 488 163.17.40.2 53 68.87.76.179 30973 1 126 1
2010-09-21 10:44:21.092 2010-09-21 10:44:21.092 UDP 486 488 120.109.249.28 3112 113.31.30.140 17788 1 112 1
2010-09-21 10:44:21.412 2010-09-21 10:44:21.412 UDP 486 757 163.17.40.1 54053 67.205.64.155 53 1 92 1
教網中心藉由分析 netflow 提供每日流量分析服務 IPv4 分析網址:
陽明機房 http://netflow.tcc.edu.tw/TANet2/
大同機房 http://netflow.tc.edu.tw/TANet2/
針對各校每日上傳下載之流量予以分析,並把結果以 e-mail 方式寄給各校網管人員(以公 務帳號職稱為「資訊組長」或職務「網管」者),每日流量分析內含各校流量之重要分析,務 請網管人員應每日查看。
流量分析網頁
注意事項:
分析報告分為(1)上傳下載總量(2) TANet -> Schools 下載分析表(3) Schools -> TANet 上傳分析表(4) 下載 傳輸次數 排名分析表(5) 下載 傳輸資料量 排名分析表(6) 上 傳 傳輸次數 排名分析表(7) 上傳 傳輸資料量 排名分析表
傳輸資料量超過 2000MB 者為紅色顯示,為需注意之 IP
因學校都有防火牆,若有正常設定狀況下通常外面的 IP 無法對於一般使用者 PC 直 接存取,因此一般使用者 IP 上傳次數及傳輸的資料量很多的話,代表可能是異常狀 況:
(1)安裝使用 p2p 軟體
(2)感染病毒或木馬正在發動攻擊
對於學校 Server 來說上傳次數很大量可能的狀況為 (1)熱門網站
(2)被入侵植入病毒或木馬正在發動攻擊 (3)被別人 DDoS 攻擊,Server 正努力回應
(4)被 google、yahoo 或是他人搜集資料所使用的機器人程式(砍站程式)進行資料收集
對於學校 NAT 設備來說,因教網中心收集到的 netflow 資料只能分析出 public IP 的 部分,因此學校若使用 NAT 設備內部 private IP 的部分學校需自行分析處理。
觀察服務類型:
SMTP:除學校 Mail Server IP 外,其他 IP SMTP 流量應該要很少。Flow 數過 多代表可能被當成垃圾郵件的發信站。
Port 445、137、138 及 139:為 Windows 網芳相關,此服務一般運作時不會跨
越 Internet。
SSH:Flow 數過多代表可能正在攻擊別人或被攻擊
Irc 6660、6667 及 7000:運作與 botnet 相關,需加以注意
Netflow 原始資料極為龐大,因此紀錄大約只保留 35 天。學校若有因資安需求需要 貴校流量原始資料,可請教網中心網路組協助將貴校流量原始資料匯出。
建置校內網路設備 MRTG 流量分析