维普资讯 http://www.cqvip.com 2005年1月 第41卷第1期 铁道通信信号 RAI1 WAY SIGNALLING&COMMUNICATION January.2005 Vo1.41 NO.1 Netfl ow技术原理与应用 刘 健 摘要:随着网络技术的发展,网络应用的不断深入,网络的有效性、安全性分析尤显重要,直接 分析网络实时流量,将具有非常重要的意义。对Netflow技术进行分析,并对其在网络规划、设 计、优化及安全等方面主要应用进行介绍。 关键词:因特网 流量分析 安全 Abstract:With the development of network technique,analysis of network availability。and se— curity has shown its importance.Realtime network flux analysis is done.This article has ana— lyzed Netflow technique,and introduced network plan,design,optimization and security. Key words:Internet,Flux analysis,Security 网络规模的不断扩大,网络经营的日趋成熟, 越来越需要分析网络数据作为决策依据。而且随着 掌握网络活动规律。Netflow是Cisco公司提出的 网络数据包交换技术,可用来记录网络流信息,对 其进行分析,可掌握网络运行情况。 人们对网络数据重要性的认同,对数据安全性、有 效性认识的不断提高,有必要对信息载体的网络数 据进行解析,进而监测、分析网络运行、网络服务 1 Netflow技术简介 1.1基本概念 Netflow技术是基于网流而发展起来的。所谓 及网络发展趋势,对异常流量进行有效处理,充分 网流,就是在高速数据交换过程中,一定时间段 *铁通公司网运部助理工程师,100038北京 收稿日期:2004—02—1 内,给定的源端(Source endpoint)和目的端 安全层协议使用ETCS ID来寻址。ETCS ID用于 在ETCS中识别合法设备,在各自的类型范围之 内,这个ID是惟一的。而且,如前面所述,在执 断开安全连接,或丢弃所接收的数据等。 在ETCS中采用安全通信的概念,利用一些 安全过程,能够有效地防止由于无线信道的开放性 所带来的安全隐患,可以极大地提高ETCS系统 的安全性和可靠性。通过本文对ETCS中安全通 行消息来源认证过程和对等实体认证过程中都要使 用。定时器参数(Testab)规定了可以接受的最大 的安全连接建立延迟,具体值与通信网络有关,实 际规定的值是40s。 3.2错误管理 错误管理包括错误报告和错误处理2方面。 出现在安全层的错误,如果需要由应用层来处 理,应该通过Sa—REPORT.ind原语和Sa- 信的研究,希望能够为CTCS(中国列车控制系 统)第3级和第4级提供参考与借鉴,并引起业界 专家和学者的关注与讨论,结合我国的实际情况, 最终提出CTCS的安全通信机制。 参 考 文 献 1 EURORADIO FIS.ERTMS/ETCS Class1. 2 KM FIS.ERTMS/ETCS Class1. 3 ANSI X3.92—1981.American National Standard Data Encryption Algorithm. DISC.ind原语向应用层报告,并通过其包含的原 因参数指出错误的类型。 传输层发送来的T—DISC.ind原语所指 的错 误,安全层需要根据其指出错误的原因和子原因参 数,采取相应的错误处理,例如向应用层报告,或 (责任编辑:诸红) 维普资讯 http://www.cqvip.com 铁道通信信号2005年第41卷第1期 (Destination Endpoint)所发生的具有相同属性的 连续的数据包的集合。网流端点可以由IP地址来 定义,也可以由传输层的应用端口号来定义,同样 也可以利用IP协议、业务(ToS)及输入接口等 来标识网流。也就是说,只有在一定时间段内发 生,且具有相同属性的连续的数据包才形成一条网 流。例如,1min内,从地址为192.168.1.1的主 机通过FTP向地址为192.168.2.1的主机上传输 了一个文件,则可以把这样一个过程中所发生的包 定义为从192.168.1.1到192.168.2.1的一个网 流。 正常情况下,路由器进行包转发时,对流入的 每个包(Packet)都进行路由、安全、服务和处 理。而NetFlow交换技术仅对一个网流的第1个 包进行处理。第1个包的信息记录在缓冲器中,其 他包则由一个单独的高效的进程进行转发,同时进 行相应数据统计。 1.2数据采集 路由器送出的数据,通过2种方式进行采集。 1.利用数据采集软件(如Cisco Netflow Col— lector)进行采集并存储到服务器上,以便利用各 种数据分析工具进一步处理。 以NFC2.0采集的网络流量数据为例, 61.181.85.122 l 222.32.104.193 l 4837 l 0 J 23 l 3 l 1216 l 1128 l 17 l 2 l 261 l 1。数据中各字段的 含义为:源地址l目的地址l源自治域l目的自治 域l流入接口号l流出接口号l源端口l目的端口 l协议类型l包数量l字节数l流数量。由此,可 以清楚这一网流的具体信息:源地址为 61.181.85.122,目的地址为222.32.104.193,源 地址属于AS4837,目的地址属于我方网络;网流 从我方网关路由器的23号端口流入,3号端口流 出,路由器的端口号可以通过读取设备mib库获 取,设备的物理端口与mib库中的端口对应;网 流的源端口为1216,目的端口为l128,属于TCP 协议。分析端口类型,可以判断网流的业务类型, 比如常用的www服务,采用的端口为80或8080 端口等,进而判断是否属于正常流量等等。这样, 可以了解网流的具体信息,分析多条数据,对整个 出口乃至整个网络的数据情况进行准确分析。 2.直接在路由器上查看,常用于异常流量的 采集及处理。表1是从Cisco GSR路由器采集数据 34一 的实例。 分析这些数据,可以得知当前设备的数据转发 情况:数据流从Gil/2端口流人,Gi4/0/1及Gi3/ o/o流出,属于UDP协议;源地址、目的地址与 前一种采集方式一致;源端口、目的端口的统计与 前一种采集方式不同,采用16进制。 表1 Cisco GSR路由器数据 这种采集方式,无法直接采集源、目的自治 域,不适于进行长时间的网间统计分析,但适于实 时流量的分析,尤其适于处理异常流量。 2 技术应用 通过Netflow收集到的网络原始数据的内容包 括:源\目的地址、应用源\目的端口号、流入\ 出端口的物理索引号、网流字节数、开始\终止时 间、IP协议(如TCP一6;UDP=17)、源\目 的自治域号。因此,分析、提炼、加工这些数据, 可实现网络规划与分析、网络流量计费、网络异 常流量的监控、网络应用的分析等功能。下面着重 对网络分析及规划、计费、网络异常流量监测进行 介绍。 2.1 网络分析及规划 1.对目的及源自治域号的统计分析,可以得 到数据流来自哪个自治域,去往哪个自治域。因此 结合数据库技术,可以科学地计算出各自治域间的 流量情况,并根据流量发展趋势,预测不同自治域 间的流量增长,进而帮助决策与其他运营商互联链 路的选择与扩充,以提高网络的运行质量。 2.对源及目的业务端口号的统计、分析,可 以科学地估算出各种业务在网络总流量中所占的比 重和在各条链路上的分布。如:根据数据流中网络 协议www、MAIL、TELNET、FTP、TCP—X、 TCP—BGP、 TCP NNTP、 TCP oTHER、 DNS、 UDP—NTP、 UDP—TFTP、 UDR—NFS、 UDP— NNTP、 UDP—OTHER、 GRE、 ICMP、 IGMP、 IPINIP的分布情况,可以对网络业务流量进行精 细化分析,包括网络间数据流中各个具体业务的流 维普资讯 http://www.cqvip.com RAIl wAY SIGNAl I ING&COMMUNICATION Vo1.41 No.1 2005 量及百分比。根据应用层数据参数Protocol、 Port、Bytes对各个网络业务进行排行,可以科学 地预测各类业务流量的增长规律,可知网络中 www的流量占多少,mail的流量占多少,各占多 大的比例,新兴业务的流量到底增长多少,哪些业 务是目前网络上最受欢迎的业务等,进而对增值业 务的建设提供准确的数据基础。数据流量大的业 务、增长快的业务必然是增值业务发展的重点。对 于业务流量大的站点,分析其增长规律,可以指导 对其合理及时的扩容。对于不属于我方的信息源, 可以通过镜像或合作的方式,尽可能把流量控制在 网内,以确保网络质量。 2.2流量计费 同样,利用Netflow中自治域号、网流字节数 的统计,对网络数据进行抽样分析,按照IP地址、 自治域等多种统计方式,对流量进行累加、分摊、 计费。目前国内主要运营商已采用此项技术进行流 量采集、计费。运营商之间可以按照自治域进行统 计,对流量进行累加,完成流量计费;还可以按照 IP地址进行累加,完成网内流量计费。 2.3异常流量监控 伴随着互联网的普及,网络上形形色色的异常 流量也随之而来,如DoS、DDoS、网络蠕虫病毒 等。异常流量占用带宽资源,使网络拥塞,造成网 络丢包、时延增大,严重时可导致网络不可用;占 用网络设备系统资源(CPU、内存等),使网络不 能提供正常的服务。 目前,技术上对互联网异常流量还没有根本的 解决办法。但每一种异常流量通常都有其特定模 式,可以利用Netflow技术进行地址匹配或端口匹 配,分析处理以减小异常流量发生时带来的影响和 损失。 首先,可以利用多种流量监控丁具(如 MRTG),通过流量大小变化的监控,发现异常流 量,特别是异常流量的流向,进而选择合适的物理 端口去采集数据。对于不体现为大流量的异常流 量,可以综合异常流量发生时的其它现象判断其流 向,如设备端口的包转发速率、网络时延、丢包 率、网络设备的CPU利用率变化等因素。 判断异常流量的流向后,就可以选择合适的网 络设备端口,实施Netflow配置,采集该端口入流 量的Netflow数据。通过Netflow的数据分析,确 定异常流量源地址及目的地址、端口号等多种信 息。针对不同的情况,可以分别利用切断连接、过 滤、静态空路由过滤、异常流量限定等多种手段, 对异常流量进行有效控制、处理。 以震荡波病毒(Worm.Sasser,w32.Sasser) 为例,通过Netflow技术采集到数据: 61.*.*.*32.*.7O.2O7lOthers Others 3 0l10000 445 6lli 48 l 61.*.*.*24.*.2l7.23lOthers Others 3l 0l10000 445l 6llI 48ll 61.*.*.*l 221.*.65.84IOthers Others 3l 0l10000 445l 6lll 48ll 可以看到目的端口为445,它禁止的流量端口, 因此可以采用ACL的方式屏蔽掉该流量。同样, 可以对硬盘杀手(W32.0paserv.Worm端口号 为137)、蠕虫王(W32.SQLExp.Worm端口为 1434)、冲击波(W32.Blaster.Worm端口为 135)等病毒数据进行过滤,进而对流量进行有效 控制,减小对网络的影响。 因此,应用Netflow分析方法,可以根据病毒 流量特征,快速定位感染病毒的IP地址及病毒端 口号。并参考Netflow数据流的其它特征在网络设 备上采取相应的限制、过滤措施,从而达到抑制病 毒流量传播的目的。 3 总结 随着因特网的普及和壮大,如何科学地建网, 如何高效地管理网络、是目前大家所关心的话题, 因而网络流量的分析研究及应用的作用日趋重要。 Netflow技术分析网络流量因其方便、快捷、高效 的特点,为越来越多的网络管理员所接受,并成为 因特网安全管理的重要手段,是数据流量采集的发 展方向。 参 考 文 献 NetFlow Export Datagram Format.cisco技术手册. Netflow 0verview.cisco技术手册. Customizing FlowCollector.cisco技术手册. (美)Saddat Malik.网络安全原理与实践[M].北京:人民 邮电出版社,2003. (美)James Pike.Cisco网络安全[M].北京:清华大学出 版社,2004. (责任编辑:诸红) 35—