2011.2

異常流量檢測(cè)與分析

CNCERT/CC總結(jié)近年網(wǎng)絡(luò)攻擊特點(diǎn)1.攻擊組織嚴(yán)密化。網(wǎng)絡(luò)黑客逐步形成了較為嚴(yán)密的組織，并在組織內(nèi)部有明確的分工，從惡意代碼的制作，惡意代碼的散布到最終敏感信息的竊取都有專人來負(fù)責(zé)。不同組織之間既有競(jìng)爭(zhēng)也有合作，網(wǎng)絡(luò)攻擊按照計(jì)劃有組織的進(jìn)行，致使網(wǎng)絡(luò)攻擊的效率有明顯的提高。2.攻擊行為趨利化。網(wǎng)絡(luò)黑客發(fā)動(dòng)攻擊的目的從最開始的技術(shù)炫耀轉(zhuǎn)向獲得經(jīng)濟(jì)利益，網(wǎng)絡(luò)攻擊的針對(duì)性和定向性進(jìn)一步加強(qiáng)，針對(duì)商業(yè)競(jìng)爭(zhēng)對(duì)手的攻擊和用于竊取用戶帳號(hào)、密碼等敏感數(shù)據(jù)的網(wǎng)絡(luò)攻擊逐步增多，隨著網(wǎng)絡(luò)行為同社會(huì)行為聯(lián)系的進(jìn)一步密切，網(wǎng)絡(luò)攻擊的最終目的越來越多地落在獲取具體的經(jīng)濟(jì)利益上。3.攻擊目標(biāo)直接化。網(wǎng)絡(luò)黑客針對(duì)攻擊目標(biāo)的特點(diǎn)，設(shè)計(jì)特定的攻擊代碼，繞過網(wǎng)絡(luò)防御體系入侵有價(jià)值的目標(biāo)主機(jī)，或者通過僵尸網(wǎng)絡(luò)對(duì)于目標(biāo)發(fā)起直接的大規(guī)模網(wǎng)絡(luò)攻擊，使得針對(duì)特定目標(biāo)的網(wǎng)絡(luò)攻擊具有更大的威脅和破壞性。ChinaNET網(wǎng)絡(luò)中DDOS攻擊特點(diǎn)（1）ChinaNET網(wǎng)絡(luò)中DDOS攻擊情況ChinaNET網(wǎng)絡(luò)中存在大量的DDOS攻擊大部分攻擊為各省網(wǎng)間的攻擊從8月1日到8月8日，系統(tǒng)記錄共1218個(gè)IP地址受到不同程度、不同頻度的攻擊很多DDOS攻擊已經(jīng)達(dá)到較大的規(guī)模，很多DDOS攻擊的峰值流量達(dá)到400－500Mbps，最大的攻擊流量達(dá)到10Gbps攻擊來源主要來自電信各地IDC的服務(wù)器大量的IDC服務(wù)器被黑客控制IDC服務(wù)器的特點(diǎn)擁有良好的網(wǎng)絡(luò)資源長(zhǎng)期在線缺乏維護(hù)和安全防護(hù)ChinaNET網(wǎng)絡(luò)中DDOS攻擊特點(diǎn)（2）DDOS攻擊的行為分析專業(yè)的黑客行為攻擊的目的為敲詐或受競(jìng)爭(zhēng)對(duì)手雇傭DDOS攻擊對(duì)網(wǎng)絡(luò)的影響占用大量網(wǎng)絡(luò)帶寬，包括國(guó)際、互聯(lián)互通等網(wǎng)絡(luò)帶寬攻擊一旦針對(duì)網(wǎng)絡(luò)設(shè)備，后果將非常嚴(yán)重DDOS攻擊對(duì)用戶的影響DDOS攻擊嚴(yán)重占用了用戶的帶寬DDOS攻擊造成用戶服務(wù)器癱瘓，無法在攻擊發(fā)生時(shí)提供服務(wù)DDOS攻擊對(duì)用戶的互聯(lián)網(wǎng)業(yè)務(wù)開展造成了很大的影響用戶目前大多沒有防范攻擊的能力和手段各省網(wǎng)入方向DDOS攻擊排名*統(tǒng)計(jì)時(shí)間：8月1日－8月8日各省網(wǎng)入方向DDOS攻擊排名*統(tǒng)計(jì)時(shí)間：8月1日－8月8日各省網(wǎng)出方向DDOS攻擊排名*統(tǒng)計(jì)時(shí)間：8月1日－8月8日各省網(wǎng)出方向DDOS攻擊排名*統(tǒng)計(jì)時(shí)間：8月1日－8月8日異常流量攻擊地址TOP10情況統(tǒng)計(jì)本次統(tǒng)計(jì)到的4902次異常流量攻擊，共分布在1218個(gè)目標(biāo)IP地址上。所有被攻擊地址按攻擊次數(shù)排名的TOP10情況如下表（其中最嚴(yán)重的攻擊目標(biāo)為sina）：*統(tǒng)計(jì)時(shí)間：8月1日－8月8日系統(tǒng)能力具備發(fā)現(xiàn)網(wǎng)絡(luò)中各種DDOS攻擊的能力具備防范網(wǎng)絡(luò)中各種DDOS攻擊的能力防范針對(duì)北京電信網(wǎng)絡(luò)和系統(tǒng)的DDOS攻擊為大客戶提供DDOS防范服務(wù)為市場(chǎng)人員提供潛在用戶的信息Netflow技術(shù)介紹Cisco提出的基于路由器的流量分析技術(shù)目前路由器支持的唯一流量分析方式支持的廠家Cisco/Juniper/Foundry/Alcatel/華為等IETF標(biāo)準(zhǔn)IPFIX(InternetProtocolFlowInformationeXport)RFC3917RFC3955分析內(nèi)容IP地址/協(xié)議類型/應(yīng)用/端口/包長(zhǎng)Tcpflag/ASN/TOS…Netflow與SNMP技術(shù)的對(duì)比Netflow與串接/分光系統(tǒng)對(duì)比Netflow1－4層流量分析沒有端口速率限制不影響網(wǎng)絡(luò)的運(yùn)行分析流量大準(zhǔn)確性差（抽樣、假冒）分析的結(jié)果有限匯聚層/核心層在核心網(wǎng)絡(luò)部屬成本低正在標(biāo)準(zhǔn)化，不斷發(fā)展串接/分光1－7層流量分析固定端口類型，通常GE影響網(wǎng)絡(luò)運(yùn)行和性能性能有限準(zhǔn)確性高分析內(nèi)容完善接入層/關(guān)鍵業(yè)務(wù)網(wǎng)段在核心網(wǎng)絡(luò)部屬成本高將會(huì)被下一代路由器取代異常流量檢測(cè)系統(tǒng)功能異常流量檢測(cè)異常流量告警異常流量分析異常流量防范異常流量記錄異常流量檢測(cè)能夠針對(duì)網(wǎng)絡(luò)流量的目標(biāo)地址按照異常流量的特點(diǎn)進(jìn)行檢測(cè)，從網(wǎng)絡(luò)中的流量中檢測(cè)出異常流量能夠檢測(cè)網(wǎng)絡(luò)中常見的DDOS攻擊，包括：TCPSYN、ICMP、TCPRST、Fragment、IPPrivate、IPNULL、TCPNULL對(duì)于系統(tǒng)未知的其它DDOS攻擊，系統(tǒng)能夠通過IP地址、端口、應(yīng)用、TCPFlag、ICMPTYPE等流量特征等進(jìn)行定義，并產(chǎn)生Fingerprint（指紋）。系統(tǒng)能夠?qū)ingerprint下發(fā)到系統(tǒng)內(nèi)的所有采集器，并由采集器根據(jù)Fingerprint的定義對(duì)網(wǎng)絡(luò)中的異常流量進(jìn)行分析和檢測(cè)能夠?qū)某怯蚓W(wǎng)中多個(gè)節(jié)點(diǎn)進(jìn)入城域網(wǎng)的針對(duì)同一目的地址的DDOS攻擊進(jìn)行統(tǒng)一的關(guān)聯(lián)檢測(cè)異常流量告警系統(tǒng)應(yīng)能設(shè)置告警的閥值，包括告警的觸發(fā)時(shí)間、觸發(fā)門限等，只有滿足條件的的異常流量才會(huì)產(chǎn)生報(bào)警。系統(tǒng)能夠針對(duì)不同的告警類型和系統(tǒng)監(jiān)控的不同對(duì)象定義不同的閥值系統(tǒng)能夠判斷異常流量的類型、嚴(yán)重程度、流量和攻擊目標(biāo)IP在系統(tǒng)中直觀地用醒目的顏色（不同的風(fēng)險(xiǎn)等級(jí)用不同的顏色）進(jìn)行告警系統(tǒng)應(yīng)能對(duì)城域網(wǎng)大客戶的流量進(jìn)行分析和告警，并能夠針對(duì)每個(gè)用戶設(shè)置不同的閥值告警信息的內(nèi)容包括異常流量告警ID、告警開始時(shí)間、持續(xù)時(shí)間、嚴(yán)重程度、告警類型、異常流量源IP地址及屬地、異常流量目的IP地址及屬地、異常流量速率（BPS/PPS）、異常流量經(jīng)過的路由器端口等信息系統(tǒng)能夠通過SNMPTRAP、syslog、Email等方式將告警信息通知網(wǎng)管人員異常流量分析系統(tǒng)能判斷異常流量的類型系統(tǒng)能判斷異常流量的來源和目的系統(tǒng)能記錄異常流量途徑各網(wǎng)絡(luò)設(shè)備的端口情況系統(tǒng)能記錄異常流量的速率和流量變化情況系統(tǒng)能記錄異常流量的包特征（包長(zhǎng)、TCPFlag等）系統(tǒng)能記錄異常流量的起始和結(jié)束時(shí)間系統(tǒng)能進(jìn)行關(guān)聯(lián)分析異常流量過濾訪問控制列表（ACL）帶寬限制（CAR）黑洞路由（BlackholeRouting）FlowSpecification（Juniper）與流量過濾設(shè)備配合，對(duì)流量進(jìn)行智能過濾蠕蟲流量分析用戶可以根據(jù)蠕蟲病毒的特征和變化定義多種蠕蟲病毒系統(tǒng)能分析各種蠕蟲病毒的總體情況系統(tǒng)能發(fā)現(xiàn)感染每種蠕蟲病毒的IP地址系統(tǒng)能發(fā)現(xiàn)蠕蟲病毒經(jīng)各網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)情況和對(duì)網(wǎng)絡(luò)資源的占用情況系統(tǒng)能發(fā)現(xiàn)每個(gè)大客戶感染蠕蟲病毒的情況歷史告警查詢功能查詢類別告警ID嚴(yán)重程度持續(xù)時(shí)間開始時(shí)間/結(jié)束時(shí)間告警類型地址段路由器/Peer/Customer/Profile方向歷史告警的管理大客戶異常流量分析系統(tǒng)能對(duì)大客戶的異常流量進(jìn)行告警、分析和記錄系統(tǒng)能對(duì)設(shè)置大客戶的異常流量告警閥值系統(tǒng)能查詢大客戶的異常流量歷史統(tǒng)計(jì)情況系統(tǒng)能監(jiān)控大客戶感染蠕蟲病毒的情況系統(tǒng)能對(duì)針對(duì)大客戶的異常流量進(jìn)行防范Fingerprint（指紋）技術(shù)Fingerprint特點(diǎn)用FCAP語句定義Fingerprint對(duì)符合Fingerprint特征的流量進(jìn)行過濾和告警適應(yīng)網(wǎng)絡(luò)中不斷發(fā)生的新病毒和攻擊Fingerprint添加系統(tǒng)可根據(jù)捕捉到的DDOS攻擊或病毒信息自動(dòng)生成fingerprint可通過網(wǎng)管人員的經(jīng)驗(yàn)來手工添加病毒信息同步全球FingerprintServer根據(jù)ATF自動(dòng)生成系統(tǒng)狀態(tài)流量分析設(shè)備運(yùn)行情況各臺(tái)設(shè)備的CPU/Memory/Disk/Flow/SerialNumber路由器情況路由器CPU/Memory/Flow路由器端口情況端口描述/端口類型/端口流量（SNMP）系統(tǒng)日志Netflow/SNMP結(jié)果對(duì)比系統(tǒng)其它功能路由器端口自動(dòng)分類數(shù)據(jù)備份/數(shù)據(jù)恢復(fù)配置備份/回退/保存Radius/Tacacs+認(rèn)證SNMPTrap/syslog/Email告警通知32種用戶管理權(quán)限自由組合字典功能（應(yīng)用/AS/TOS）在線幫助城域網(wǎng)內(nèi)DDOS攻擊特點(diǎn)和分類攻擊分類：城域網(wǎng)內(nèi)發(fā)起的針對(duì)城域網(wǎng)外的DDoS攻擊城域網(wǎng)外發(fā)起的針對(duì)城域網(wǎng)用戶的DDoS攻擊防御策略出城域網(wǎng)異常流量防御策略入城域網(wǎng)異常流量防御策略出城域網(wǎng)異常流量防御策略訪問控制列表（ACL）帶寬限制（CAR）黑洞路由（BlackholeRouting）FlowSpecification入城域網(wǎng)異常流量防御策略過濾異常流量的同時(shí)保障正常業(yè)務(wù)及時(shí)對(duì)異常流量進(jìn)行檢測(cè)和過濾異常流量檢測(cè)系統(tǒng)和異常流量過濾系統(tǒng)的配合流程由異常流量檢測(cè)系統(tǒng)實(shí)時(shí)的對(duì)全網(wǎng)流量進(jìn)行監(jiān)測(cè)異常流量檢測(cè)系統(tǒng)一旦發(fā)現(xiàn)異常流量事件，準(zhǔn)確的對(duì)該異常流量進(jìn)行定位，用戶可選擇使用智能流量過濾系統(tǒng)進(jìn)行過濾異常流量監(jiān)測(cè)系統(tǒng)觸發(fā)智能流量過濾系統(tǒng)的保護(hù)機(jī)制智能流量過濾系統(tǒng)根據(jù)預(yù)先設(shè)定保護(hù)機(jī)制，向目標(biāo)路由器發(fā)送流量轉(zhuǎn)移路由策略，將該異常流量引至智能流量過濾系統(tǒng)之中智能流量過濾系統(tǒng)智能對(duì)引入的流量進(jìn)行分析與識(shí)別，智能過濾所有攻擊或病毒流量過濾后的干凈流量從智能流量過濾系統(tǒng)出來，繼續(xù)對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行正常訪問系統(tǒng)閥值序號(hào)名稱觸發(fā)閥值嚴(yán)重閥值1TCPSYN10Kpps20Kpps2TCPRST5Kpps10Kpps3IPPrivate5Kpps10Kpps4ICMP5Kpps10Kpps5TCPNULL1Kpps2Kpps6IPNULL1Kpps2Kpps7Fragement1Kpps2Kpps告警時(shí)延：2分鐘城域網(wǎng)入方向攻擊統(tǒng)計(jì)高級(jí)報(bào)警中級(jí)告警初級(jí)告警TCPSYN42616TCPRST141031IPPRIVATE16112FRAGMENT525ICMP323TCPNULL100IPNULL000*統(tǒng)計(jì)時(shí)間：7月4日－7月8日城域網(wǎng)出方向攻擊統(tǒng)計(jì)高級(jí)報(bào)警中級(jí)告警初級(jí)告警TCPSYN431428TCPRST3112IPPRIVATE000FRAGMENT434ICMP128TCPNULL001IPNULL004*統(tǒng)計(jì)時(shí)間：7月4日－7月8日城域網(wǎng)發(fā)起去其它運(yùn)營(yíng)商攻擊統(tǒng)計(jì)（一）高級(jí)報(bào)警中級(jí)告警初級(jí)告警廣東22320浙江12312江蘇8214湖南7210安徽1510上海433重慶1010福建205*統(tǒng)計(jì)時(shí)間：7月2日－7月8日城域網(wǎng)發(fā)起去其它運(yùn)營(yíng)商攻擊統(tǒng)計(jì)（二）高級(jí)報(bào)警中級(jí)告警初級(jí)告警四川300江西200黑龍江200新疆201山東102湖北011陜西011海南002*統(tǒng)計(jì)時(shí)間：7月2日－7月8日城域網(wǎng)發(fā)起去其它運(yùn)營(yíng)商攻擊統(tǒng)計(jì)（三）高級(jí)報(bào)警中級(jí)告警初級(jí)告警甘肅001云南001網(wǎng)通101聯(lián)通100*統(tǒng)計(jì)時(shí)間：7月2日－7月8日DDOS攻擊時(shí)長(zhǎng)統(tǒng)計(jì)攻擊持續(xù)時(shí)間數(shù)量比率10分鐘以上15734%30分鐘以上6815%1小時(shí)以上378%2小時(shí)以上174%5小時(shí)以上82%12小時(shí)以上51%24小時(shí)以上30.6%全部攻擊468DDOS攻擊嚴(yán)重程度統(tǒng)計(jì)>2.5倍>5倍>10倍TCPSYN763311TCPRST211IPPRIVATE972FRAGMENT631ICMP443TCPNULL111IPNULL000DDOS攻擊統(tǒng)計(jì)分析DDOS攻擊類型TCPSYN攻擊占全部攻擊的50％左右嚴(yán)重攻擊的類型主要為TCPSYN和ICMP攻擊DDOS攻擊方向入城域網(wǎng)DDOS攻擊的數(shù)量和流量遠(yuǎn)大于出城域網(wǎng)DDOS攻擊入城域網(wǎng)的DDOS攻擊對(duì)用戶和網(wǎng)絡(luò)的危害較大，最嚴(yán)重的攻擊流量峰值速率超過600Mbps出城域網(wǎng)的攻擊流量不大（峰值速率一般不超過50Mbps）DDOS攻擊持續(xù)時(shí)間DDOS攻擊的持續(xù)時(shí)間通常在1小時(shí)之內(nèi)，很多攻擊的持續(xù)時(shí)間只有幾分鐘DDOS攻擊數(shù)量城域網(wǎng)中存在大量的DDOS攻擊每天的DDOS攻擊數(shù)量在50－100個(gè)城域網(wǎng)DDOS攻擊情況總結(jié)（1）網(wǎng)絡(luò)異常流量現(xiàn)狀網(wǎng)絡(luò)中存在大量的DDOS攻擊入網(wǎng)DDOS攻擊遠(yuǎn)多于出網(wǎng)DDOS攻擊主要的DDOS攻擊類型為TCPSYN攻擊峰值大于100Mbps（約250Kpps）的大規(guī)模DDOS攻擊大量存在異常流量的危害通過攻擊和大量占用帶寬造成對(duì)攻擊目標(biāo)的影響大量垃圾流量占用網(wǎng)絡(luò)帶寬，可能擁塞網(wǎng)絡(luò)一旦攻擊針對(duì)網(wǎng)絡(luò)設(shè)備，可能導(dǎo)致網(wǎng)絡(luò)癱瘓城域網(wǎng)DDOS攻擊情況總結(jié)（2）異常流量監(jiān)測(cè)通過ArborPeakflowSPIS能夠及時(shí)、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)中的各種DDOS攻擊能夠發(fā)現(xiàn)攻擊進(jìn)入城域網(wǎng)的源頭，并對(duì)攻擊進(jìn)行記錄和分析通過閥值可以調(diào)整對(duì)DDOS攻擊監(jiān)控的粒度攻擊防范的困難攻擊持續(xù)時(shí)間短（快速告警、快速響應(yīng)）必須在過濾異常流量的情況下保護(hù)正常流量攻擊防范建議建立完善的異常流量告警、過濾系統(tǒng)建立完善的異常流量快速處理流程和管理制度針對(duì)入、出城域網(wǎng)異常流量采用不同處理方式異常流量系統(tǒng)的告警與網(wǎng)管系統(tǒng)的告警模塊相結(jié)合加強(qiáng)對(duì)攻擊源的處理和打擊，減少異常流量發(fā)生的可能集中管理分布部署架構(gòu)架構(gòu)與流程：1.路由器發(fā)送Flow到流量采集器（橙色線條）2.采集器收集流量信息3.采集器將流量信息匯聚發(fā)送到分析控制器（藍(lán)色線條）4.分析控制器進(jìn)行分析管理操作流量分析與異常流量檢測(cè)系統(tǒng)操作在瀏覽器中輸入系統(tǒng)IP地址進(jìn)行登錄異常流量告警在狀態(tài)>匯總信息中可查看當(dāng)前正