流量突发分析方法
1. 网络回溯分析技术简介
生活中随处可见的摄像头是公安部门打造的平安城市,通过摄像头可以监控每个路口的情况,一旦发生安全事故,根据详细信息进行判断,追踪取证,找到责任人。
网络回溯分析==网络中的“摄像头”,记录下网络中各个关键节点的详细信息,发生事件后通过这些信息追踪到事件产生的原因对业务系统有什么样的影响,网络回溯分析技术是保证网络安全非常重要的一门技术和方法。
2.网络流量能记录哪些信息:
网络流量主要分为网络全流量和Netflow两种。
2.1 网络全流量
网络全流量中有非常丰富的信息,基本上可以认为除了加密流量,绝大多数通过外网发起的攻击都可以从流量中发现蛛丝马迹,而且流量分析是旁路分析,部署起来几乎不影响业务和网络架构。包含完整的网络数据,包含TCP/IP协议数据,比如MAC头、IP头、TCP头、HTTP头以及HTTP载荷数据,对于分析网络中的攻击行为帮助非常大。
- 通过数据链路层的数据可以看出网络总体运行,发现异常流量变化就可以通过2层流量看出
- 网络层的数据可用于分析主机之间的网络连接会话、传输过程深入分析,连接建立是否正常,通信过程中是否有丢包重传
- 应用行为分析,访问哪些URL、URL中是否有恶意payload信息等等
2.2 Netflow
Netflow提供网络流量的会话级视图,记录了每个TCP/IP事务的信息。也许不能像全流量那样提供网络流量的完整记录,但是当汇集起来时,它更加易于管理和分析。
Netflow流量统计数据不同版本具有一定的差别,常见的版本包括数据流时戳、源IP地址、目的IP地址、源端口号、目的端口号、输入接口号和输出接口号、下一跳IP地址、信息流中的总字节数和信息流中的数据包数量。
3. 回溯分析技术的核心作用
3.1 了解
- 网络和应用运行规律
- 用户网络行为
3.2 发现
- 安全隐患征兆
- 发现通讯行为特征
3.3 证明
- 历史数据回溯
- 数字取证依据
3.4 在网络安全领域的应用
- 提供了透视网络行为和事件追溯的重要手段
- 发现并追踪定位可疑通信行为
- 流量突发
- 蠕虫传播
- 木马/僵尸网络
- DOS攻击
- 渗透攻击等
- 各类安全设备警报事件分析验证
- 恶意样本网络行为特征分析
4. 网络流量获取
4.1 流量镜像
通过交换机的流量镜像功能获取网络流量,交换机镜像也普遍应用于网络排障、简单流量分析与监控。
4.2 分光器
- 通过分路器、分光器直接获取网络链路上的物理信号从而获取网络流量。分光器是广泛使用的流量复制手段,分光器的基本原理是,通过精密的光纤生产工艺,从物理层面将一束光分成两束,从而达到流量复制的目的。分光器成本低廉,并且特性稳定,是大型网络中流量复制的首选方案,但是也有其局限性,比如当光衰过大时无法使用。
4.3 网络分流器(Network TAP)
如果网络中存在一定的电口链路,也是无法使用分光器进行流量复制的。这个时候就需要用专用的流量复制设备,网络分流器(Network TAP),也称TAP交换机。通过在网络中传入TAP交换机,然后通过TAP交换机进行流量镜像。
5. 流量突发监测分析方法
5.1 流量突发的影响
- 导致网络拥塞(利用率长时间超过70%)
- 产生丢包、延时、抖动,网络质量下降
- 造成网络无法提供正常服务(利用率接近100%)
5.2 流量突发的成因
- 突发大数据传输,尤其是P2P应用
- 网络设备配置问题(路由环路、交换环路)
- DOS攻击
- 蠕虫、病毒爆发
- 主机、操作系统、应用程序异常
- 网络设备故障等等
5.3 分析方法
5.3.1 首先找到流量突发源头
- 有无明显大流量的应用
- 有无明显大流量的主机
- 有无明显大流量的会话
5.3.2 进一步判断突发流量产生的原因
网络行为分析
- 正常应用? P2P? DOS攻击? …
- 仅通过流量统计参数往往不能准确判断通讯行为,就需要配合原始数据包解码分析协助定位
案例分析:
网络中出现大流量的突发,出口带宽是10M,全流量设备假设在网络的出口,可以去呈现出网络整体的运行情况和原始数据包,通过回溯系统,可以看出几分钟时间内有流量的突发,几分钟内流量达到10M,把带宽打满了。
- 判断这几分钟内是否有突发应用
- 根据应用使用情况再找出哪些IP流量使用较大
- 判断是单一会话流量较大,还是多会话流量较大
- 单一流量较大的话直接继续排查单一会话详情,如请求URL、发送内容等,进一步提取整个事件的原因。
扫一扫
1313
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
