一、Netflow技術(shù)簡介

????????? Netflow是一種Cisco開發(fā)的基于流的流量分析技術(shù)，其中每條流主要包含以下字段，源IP地址，目的IP地址，源端口號，目的端口號，IP協(xié)議號，服務(wù)類型，TCP標記，字節(jié)數(shù)，接口號等，所以一條流就是網(wǎng)絡(luò)上的一次連接或者會話。Netflow可以采集進出端口的所有流量，通過分析這些數(shù)據(jù)，網(wǎng)絡(luò)管理員可以確認一些事情，比如源和目標的流量，網(wǎng)絡(luò)擁塞的原因等。Netflow采集的數(shù)據(jù)除了存放在本地的cache中，也可以采用UDP協(xié)議的9996端口輸送給第三方的Netflow分析器，借助可視化的分析工具可以快速排錯。Netflow是一個輕量級的分析工具，它只取了報文中的一些重要字段而沒有包含原始數(shù)據(jù)，如果要對數(shù)據(jù)進行深度分析還得抓包。下圖是用wireshark抓包工具抓到的Netflow原始報文，見（圖一）：

圖一 Netflow協(xié)議報文

二、案例分析

??????? 邊界路由器出口的流量異常增大，平時端口的流入速率為1.5-2Mbps，突然陡增到30-40Mbps，見（圖二）

圖二 異常的路由器端口流量圖

圖三 應(yīng)用流量分布圖

分析應(yīng)用流量分布，發(fā)現(xiàn)排名第一的應(yīng)用竟然是ICMP（圖三），第一反應(yīng)是網(wǎng)絡(luò)遭到Ping of death攻擊，接著對ICMP應(yīng)用的來源和目的進行分析，發(fā)現(xiàn)兩個疑點，一個是本端邊界路由器的IP與遠端互聯(lián)設(shè)備的IP源發(fā)出的流量最多，見（圖四）；另一個是邊界路由器上有大量目標非本地網(wǎng)絡(luò)的流量；從第一點的現(xiàn)象看，好像存在路由環(huán)；從第二點的現(xiàn)象看是有一條匯總路由指向這臺邊界路由器。登錄路由器查看路由表和配置，發(fā)現(xiàn)自己在引入路由時由于疏忽把一條匯總路由誤引入到了錯誤的路由區(qū)域中，導(dǎo)致了整個企業(yè)網(wǎng)上的未知流量都向邊界路由器上來回丟，直到icmp報文的ttl值耗盡才被丟棄。問題解決辦法是在引入路由時采用策略路由，對相應(yīng)的路由進行過濾。

圖四 ICMP協(xié)議報文分布圖

圖五 正常的路由器端口流量圖

? ? ? ? 本案例是由于配置錯誤導(dǎo)致的流量異常，病毒和惡意軟件也會引起流量異常，它們會經(jīng)常利用一些系統(tǒng)漏洞來進行流量攻擊，當然網(wǎng)絡(luò)資源總是有限的，一些正常的應(yīng)用也會把網(wǎng)絡(luò)帶寬耗盡，造成網(wǎng)絡(luò)延時和網(wǎng)絡(luò)丟包，所以具體情況要具體分析。