网络安全之实战网络流量分析

服务质量得到提高，例如高速公
2009 2009
路，走的车少跑的就快，所享受 2009
的服务质量就越好！
2009 2009
2010
2010
某互联网链路6年间网络流量和利用率统计
流量大小（Mb/s）
链路带宽（Mb/s）
1.51
3
1.9
3
1.99
3
2.21
3
2.37
3
2.62
4
2.86
4
3.17
8
2.87
- 利用率 - 传输率 - bps
- pps - 延时 - 重传 - 连接数 举例：如血液中的白血球数量，无论体检还是生病都要对其检查，但数据还要结合个人 的具体情况：年龄、是否怀孕、身体情况等。流量分析也是同理，针对收集数据结果并 结合网络或应用的实际情况进行分析，不要见点说面。
北京数字证书认证中心 2011年
北京数字证书认证中心 2011年
3
1.1什么是网络流量分析
网络流量的分析就是对在网络中传输的实际数据流进行分析，网络数据流的分析包括从 底层的数据流一直到应用层数据的分析，有时也称之为协议分析。
北京数字证书认证中心 2011年
4
1.2为何要分析网络流量
网络流量分析的目的就是了解、发现、分析、证明 管理好网络不只是了解拓扑、设备、配置等 了解
网络安全之实战网络流量分析
基于sniffer 孙国福 2011年5月
北京数字证书认证中心 2007年10月
1
学习目标
流量分析技术的原理和分析工具详细阐述 结合实例进行网络流量分析 阐述如何快速发现、分析问题，进而解决问题 有针对性分析蠕虫病毒、ARP攻击、DOS攻击、路由问题、软件的资源滥用等危害网络
年份

网络链路利用率指一段时间内网
2005 2005
络中实际网络流量同网络理论最 2005
大传输流量的比率。
2005 2006

网络链路利用率计算公式：网络
2006 2006
总流量/（理论带宽×时间）
2006
2006
不同网络类型采用不同的计算公 2006
式，此处只以以太网为例
2007 2007

网络链路利用率与网络服务质量
2007 2007
的关系变化，如右则表示例。从 2007
结果得知该链路的网络流量从
2007 2008
1.51-32增加了20多倍，但网络带 2008 2008
宽也从3-310增加了近100倍，可 2008
网络的利用率在不断下降。增加
2008 2008
带宽带来利用的下降，从而使用 2009
正常运行的行为
个人目标
掌握流量分析原理、技巧 娴熟使用流量分析工具 从容应对网络安全事件
北京数字证书认证中心 2011年
2
目录
1. 关于网络流量分析 2. 网络流量分析工具 3. 网络链路利用率监控分析 4. 数据包数量监控分析 5. 危害网络的异常流量分析 6. TCP连接建立关闭过程分析 7. TCP数据传输分析 8. 应用流量分析 9. 实例抓取明文传输的密码
CISCO技术白皮书阐述平均队列长度与利用率间的关系，其公式为Q=u/(1-u)，Q是队列 长度，u是利用率，从中得出利用率越高平均队列长度就越大，从而数据包的延时会增大， 同时会有丢包现象产生，一般建议用户广域网实际利用率不高于50%
制定合适的网络流量健康基准线，以天、周、月、年的方式，以形成参照对比。
19
4.3对每秒数据包数量的监控分析
网络中数据包数量的异常增大一般是由网络主机不正常的大量发我所致。 通过对网络中数据包数量的长期监控和分析能及时发现异常，从而尽量避免异常流量对
网络性能造成的影响。 对网络中数据包数量的监控一般包括如下：
- 每秒数据包数量（pps） - 每秒广播包数量 - 每秒组播包数量 - 不同大小数据包数量，如64B数据数量、1500B数据包数量等 如何利用工具监控网络中的数据包数量
8
3.24
8
3.88
8
4.2
8
5.05
8
5.14
8
5.66
8
6.2
8
8.78
24
9.41
24
10.63
32
10.03
32
11.62
32
13.26
32
15.52
56
17源自文库81
56
15.92
64
19.94
155
24.86
155
28.37
155
28.75
310
32
310
平均利用率（%） 50.40 63.3 66.3 73.6 67.6 65.4 71.4 39.7 35.9 40.5 48.5 52.5 63.1 64.3 70.7 77.5 36.6 39.2 33.2 31.3 36.3 41.4 27.7 31.8 24.9 12.9 16 18.3 9.3 10.3
的。
- 小包：tcp syc/ack、ack、rst、fin等
- 大包：数据传输过程的数据包 如图所示对1000M以太网传输不同大小数据
包的效率趋势图。从中可以清楚得出网络中 包分布对网络吞吐率的影响，当网络中的数 据帧大小大于1000时，网络的效率是趋于高 的，反之则底。
北京数字证书认证中心 2011年
北京数字证书认证中心 2011年
20
4.4案例分析
IDC网络性能异常下降原因分析 网络环境：用户的网络是一个IDC网络环境，包括局域网和互联网接入，其中互联网接
入为两条1000M以太网接入，内部局域网多是在线授课和课程交易主机，网络拓扑如下 图所示：
北京数字证书认证中心 2011年
9
3.2网络链路利用率对网络丢包和传输延迟的影响
网络链路利用率代表网络拥塞程度，由于网络流量有突发特性，所有高利用率将导致丢 包、大延时。
当需要传输的流量大于网络链路的传输能力时，此时形成传输瓶颈，网络设备会把数据 包放到传输队列等待，当数据包无法被放到队列时就出现去包现象。
网络流量分析过程
- 网络总体流量监控如下图所示
北京数字证书认证中心 2011年
14
- 从以上监控结果可以得出流量大约为96M，考虑到路由器上联端口的速率为100M端 口，则此时的网络链路利用率为100%！
- 通过sniffer对该链路流量进行监控分析，此链路出现严重的拥塞现象，与网络中出现 严重的丢包现象相吻合，所以可以这种流量的异常峰值是导致网络中大量丢包的重 要原因。
强大的捕捉和解码能力 - 支持580多种协议解码 - 过滤器设置 - 实时告警功能 - 专家系统智能分析 - 可视化过滤 - 配合sniffer reporter 生成报表 - 应用智能分析：提供对应用交易处理时间、网络传输延时、TCP层数包重传等分析
北京数字证书认证中心 2011年
8
3.1网络链路利用率
北京数字证书认证中心 2011年
13
分析手段：
- 可能造成的网络丢包原因有很多，包括链路层和网络层问题，但网络拥塞也是造成 网络丢包的一个重要原因。因前期未发现链路层和网络层异常故障，所以分析是否 是由于拥塞引起的丢包，于是采用流量分析手段进行分析定位。
- 对二级网路由器的100M上联端口进行网络流量监控，在此链路上串行接入一台 100M交换机，配置SPAN将流量引入到抓包计算机的网卡。
找出产生网络流量最大的主机
- 当网络出现拥塞现象时，一般首先分析产生流量最大的主机，此处采用host table功 能实现。如下图所示：
- 从图中分析出192.168.60.48的主机发出的数据包最多，远远超过其它主机。
北京数字证书认证中心 2011年
15
分析异常主机的网络流量
- 确定该异常主机后，进一步分析其 网络行为，也就是它在做什么？
有密切关系，所以一般不建议在核心交换机上配置ACL、PBR等策略。 真实的网络环境会有多种网络设备存在，从而对数据包处理能力差的设备就会成为瓶颈，
甚至会造成网络设备异常、丢包，有时能直接导致网络系统瘫痪。
北京数字证书认证中心 2011年
18
4.2包大小分布和网络传输效率
IP包最小为40字节，最为1500字节 一般网络中的数据包最小包和最大包是最多
网络拓扑如下图所示,用户的网络是一 个覆盖全国的网络环境，包括省中心 局域网核心和跨地市的广域网并与全 国的广域网相连。
网络异常现象详细描述：该网络去包 现象严重，通过省局域网向地市网络 发包，每发10个PING包只能收到7个 确认，丢包率在30%，从而对应用业 务产生很大的影响。期间网络设备运 行正常，局域和广域网链路未见异常。
• span • tap
流量分析主要依靠软件实现，一般具备统计分析、智能分析、捕获和解码分析 - 统计分析：针对一段时间内数据包的统计，包括数据包数、字节数等 - 智能分析：根据数据流特征匹配比对，提供针对性的分析结果
北京数字证书认证中心 2011年
7
2.2sniffer功能
实时网络流量监控分析 - 网络总体流量实时监控统计 - 协议使用和分布统计 - 包尺寸分布统计 - 错误信息统计：如CRC - 主机流量实时监控统计 - 会话对流量实时监控统计 - 历史抽样统计：如传输率、利用率
北京数字证书认证中心 2011年
10
3.3如何利用sniffer监控网络带宽利用率
25分钟到一天的监控时间，但要考虑SPAN端口的SPEED配置，否则会导致结果不准确
北京数字证书认证中心 2011年
11
3.4IP数据包identification TTL值
IP数据包的identification值是标志IP数据包 的唯一识码，一般同一主机在一定时间范 围内发生的IP包的identification都是不同 的值，最多有65536个，一般后一个数据 包的该值是前一个数据包的加1.
- 经过与网络管理人员沟通并审核设备配置文件，发现二级路由器到地市管理地址的 路由为静态详细路由，地市到省为缺省静态路由，由此形成乒乓现象。
- 事实上当时的地市网络网络并未调通，但网络的路由为离线配置完成，各地的地市 路由器的管理地址都已增加到安管系统中，网管系统会定期发送ICMP包，以检测其 是否存活，此ICMP被放大形成乒乓现象，从而造成网络的丢包现象。
- 通过matrix功能发现其发出的数据 包很分散，通过调查得知发包对象 为地市级路由器的管理地址（内）。
- 发现此新问题后，第一时间将该主 机的网络连接解除，网络立即恢复 正常。该主机为安管服务器
- 经过对该主机的数据包解码分析发 现如下所示
北京数字证书认证中心 2011年
16
- 通过解码分析后发现一个奇怪现象，正如上页两图所示，同一个数据包反复在网络 中被转发，TTL值在不断减1，同样的现象在其它数据包也存在。至此可以断定网络 中存在路由环路，所有发向地市边界路由器的管理地址被反弹回到二级路由器，从 而形成乒乓现象。
- 上案例从安全角度告诉我们，在配置静态路由时要小心，最好不要在网络中随意使 用静态缺省路由
北京数字证书认证中心 2011年
17
4.1每秒数据包数量
pps为每秒数据包数量，表示网络中每秒传输的数据包数量，是网络流量的一个重要特征 参数
对网络数据包的处理能力是标志网络设备性能的重要参数。 实际的网络环境中，网络设备对数据包的处理能力与设备的传输策略、访问控制策略等
6
2.1网络流量分析工具的工作原理
软件和硬件共同组成，硬件负责流量的取得，软件负责流量的分析和数据展示 网络流量的取得
- 网络流量分析的对象是网络流量，而网络流量的获取是分析的基础和前提 - 硬件网络接口卡：不同类型的网卡分析不同类型的网络，最早用来做流量分析的网
卡是以太网卡和token ring romom网卡，随着技术发展很多厂商生产专用的流量分 析网卡，后者性能比普通网卡提高很多。 - 获取网络流量时网卡要处于promiscuous模式，否则只能收广播和单播数据 - 流量映射方式
TTL:值决定数据包在网络中的“存活期”， 以此来杜绝网络路由死循环。
该TTL值一般不相同，windows为 128,solaris为255
北京数字证书认证中心 2011年
12
3.5网络丢包原因分析
现象简述：用户的网络丢包很严重， 给用户造成了很大的困扰，我们试图 通过流量分析的手段来分析造成丢我 包的原因。
- 网络运行规律的了解 - 网络应用运行规律的了解 - 网络用户的网络行为 发现 - 网络运行异常的发现 - 网络应用运行的异常发现 - 网络用户的异常网络行为
北京数字证书认证中心 2011年
5
1.3网络流量分析的意义
有助于维护网络持续、高效、安全运行的一种手段 取得对网络运行管理、应用运行管理 、网络应用问题分析有意义的数据