《回溯分析案例》由会员分享,可在线阅读,更多相关《回溯分析案例(7页珍藏版)》请在金锄头文库上搜索。
1、某电信IDC机房一一 管服务器异常行为监控案例背景某电信 IDC 机房为数千家政企用户提供服务器托管业务,有些用户却利用托管服务器 为跳板从事一些非业务流量,比如代理上网、视频或下载,这不仅增加了IDC出口的负担, 也为IDC内部网络的安全带来了隐患。而 IDC 机房现有的网管及分析工具,对用户的这种用户非业务行为往往是事后才能发 现,而且缺乏足够的历史数据对过去发生的网络事件进行回溯,无法快速的通过量化的证据 对这些用户的行为进行通告和规范。科来网络分析系统通过数据包层面的分析,能够对用户的网络行为进行的可视化的监 控、分析,并支持 7*24 小时不间断的长期分析,掌握接入流量的负载及每日、
2、每周的流量 基准、变化趋势,为用户异常行为发现提供基准,从而及时的发现网络的流量突发与拥塞, 快速的定位到造成异常流量的 IP 源头,并对其行为进行深入分析,提供历史事件的证据, 及时发现危害网络的病毒、攻击行为,避免网络瘫痪。二、 设备部署在交换机上启动镜像功能,由科来网络回溯分析服务器采集用户接入IDC机房网络的流 量,部署示意图如下:科来网络冋溯分析服务器数蜡监控、分析服务器醤口用户路由器通过网络分析对网络进行可视性分析和专家级的诊断,对VPN接入用户的网络行为进行7*24 小时不间断的实时监控与分析,快速的发现异常行为的用户,并对潜在的安全隐患进行预警,并将关键的网络参数指标及原始数据
3、包保存、记 录,同时提供方便快捷的数据挖掘功能快速的对历史事件进行追溯,并能够通过 智能专家诊断系统,快速的发现问题.托管服务器异常行为监控IDC机房主要业务为托管web服务器等业务,其他代理上网、P2P下载都是非业务行为,而 且将消耗出口带宽资源,影响正常业务的效率。通过科来网络回溯分析系统,我们可以快速 的定位异常主机,通过其流量行为特征判断是否在从事非业务行为;通过一段时间的流量监 控后,可以获取各种网络参数的监控基准,从而设置合理的告警阀值,实现对网络异常主动 预警。快速的发现异常主机我们可以找出任意时间段所有主机的流量统计,统计参数包括流量大小、数据包量、收发流量及TCP层关键参数,
4、如下图所示:通过上图,我们把流量最大的四台机器几个关键参数提取出来,如下所示:IP主机流量流量发收比发TCP同步包收TCP同步包*.*.211.66180.23 MB0.461,044283*.*.69.53136.16 MB2.820934*.*.69.3271.57 MB28.520475*.*.211.4760.38 MB2.37260关键参数解读:流量:传输数据的大小,直接影响到总出口带宽,通过该参数,我们能够快速的发现对IDC出口影响最大的IP主机 流量发收比:上传流量和下载流量的比值,托管机房里的服务器,一般都是提供 网络服务供他人下载,正常情况下,上传流量应该大于下载流量,而“流
5、量发收 比”=上传流量/下载流量,该比值应该大于 1。流量最大的四台主机中,*.*.69.53、 *.*.69.32 和*.*.211.47 的“流量发收比”都大于 1,符合服务器特征,而流量最大的 *.*.211.66该参数为 0.46,下载流量大于上传流量,可能存在非业务流量“发TCP同步包”与收TCP同步包”:网页、邮件等基于TCP传输的网络应用,在 数据传输前必须先建立TCP连接,TCP连接的第一步便是有客户端发送“TCP同步包” 给服务器,IDC机房内的托管设备作为服务器,“收到TCP同步包”的数量应该远远大 于“发TCP同步包”的数量。主机*.*.69.53、*.*.69.32和*
6、.*.211.47“发TCP同步包” 的数量都很少,“收 TCP 同步包”的数量较多,符合托管服务器的业务特征;而主机 *.*.211.66“发TCP同步包”的数量达到1044,远超过“收TCP同步包” 283的数量, 这说明该主机向外发起大量的访问请求,不大符合托管服务器的特征。综合以上几个关键参数,我们可以确认主机*.*.211.66 的行为可疑,极可能存在非 业务流量,并且消耗了 IDC出口较高的带宽。科来网络回溯分析系统保存了该主机通信 的原始数据包,我们可以通过专家分析系统,对主机*.*.211.66的行为进行深度的分析, 进一步确认其是否异常。异常主机行为深度分析流量负载分析发现主
7、机*.*.211.66存在异常后,将进一步对其行为进行深度的挖掘、分析:8 月 24 号一天,该主机总共传输了 23.09G 字节的流量“,流量发送比”只有 0.38“发 TCP 同步包”的数量超过 26 万个,明显对外发起了大量请求流昼境收比岌TfP同步包0.砂21価23.03 GB59,457,071038265,544281.42 KB从流量分布特征来看,该主机流量主要集中在每天的白天上班时间短,消耗 带宽接近 1.5Mbps 左右:流量成分分析:RTP129%-dfHTTPS工39%确GCP0 49% NS1.50%#MSN327%jjHTTP Proxy7.62 % MTCP-Oth
8、er:X-Window::-.10%该主机 top n 的流量成分如上图所示:UDP-other:36.78%HTTP:29.36%TCP-other:20.12%HTTP-Proxy:7.62流量成分中存在大量的的UDP-other和TCP-other,该主机可能存在大量的视频、下载等非 业务流量。上网行为分析DNS 日志分析:我们查看 11 月 25 号 56 这一分钟该主机的 DNS 记录,可 以看到,主机*.*.211.66 在一分钟内,总共进行了 124 次域名解析请求,请求的域名 包括:“gamer sky”、“起点中文网”、“新浪微博”、“酷6视频”、“QQ空间”、“人人 网”、
9、“谷歌”很明显,*.*.211.66如果是托管服务器,不可能同时对外发起这么多、而且不重复 的DNS请求,有很多人通过*.*.211.66作为跳板上网。HTTP日志分析:*.*.211.66在12月25号56分这一分钟,总共有789条上网记录,这 同样不可能是托管服务器的行为:下载、视频行为分析从 DNS 记录中,可以发现大量的视频、下载门户网站查询:客户端DNS服务器查询内容对应网站*.*.211.66*.*迅雷看看*.*.211.66*.*PPLIVE*.*.211.66*.*酷六视频*.*.211.66*.*十豆网*.*.211.66*.*TOM365免费电影*.*.211.66*.*海
10、盗湾电影下载*.*.211.66*.*.199.8Iocal_QQ旋风下载通过HTTP日志记录,同样可以发现大量的P2P链接请求客户端服务器查询内容下载内容*.*.211.6661.164.118http:/61.164.118.217/FTP/fengyun/20110628/游戏“诸神之战”.217l/ZSZZ Setupl.9.0.105.exe客户端,1GB*.*.211.66down.qq.chttp:/ V5.236 Pack.exe户端,600MB*.*.211.66dow QQR2_v321_FULL.exeQQ音速游戏,3G*.*.211.66yxdown.cohtt p:/
11、 Full.exe游戏,700MB此外,我们还可以通过数据包特征码,找出存在下载行为的主机。比如,我们定义了 BT 握手的数据包特征的过滤器执行过滤功能之后,便能找到符合 BT 下载行为的通信主机:托管服务器异常行为总结通过对异常主机*.*.211.66 的行为分析后,我们发现该主机存在大量不符合托 管服务器特征的行为,包括: 对外发起了大量请求,下载流量远大于上传流量 每个时刻都有大量的DNS、HTTP请求,这是多人同时上网才能引起的现象 访问了许多视频网站 存在很多 BT 下载行为以上行为特征不应该是一台托管服务器所具有的,管理人员需要确认一下该IP地址的用途, 如果不是对外网关的地址,而
12、是托管服务器的地址,那么,该托管服务器已经被设置成对外 上网的代理。其他存在异常行为服务器汇总:,通过“流量发收比” “发TCP同步包”等参数能够快速的找出不符合托管服 务器特征的 IP 主机,那么,我们通过这连个参数的排序,便能找出比较异常的 托管服务器:“发TCP同步包”异常主机汇总:发KP同步包收TCP同步包0.282.379,118111.71 KB0.290300330.465.330380.230340.350.420.440370.170.400.220.2B0.240.290.180310.220.2B0.24践乩24gpll.66 afci.io5L2?g51.14 g519
13、51.1651.28I512番沙&1.12S30LWJ1.19I-fcE211.2p.211.6 L4.251.25|2.12 GB3/27.215175.18 KB69,25634f077|9.45 GB19,068,064782.87 KB62,61818,793|251GB4,268,717208.00 KB52,30998.811|1.72 6B3.093,280142.69 KB49,458178,122|1.68 GB2,72973213927 KB41,40791,686|1.76 GB2.835.536145.51 KB38r99438/05137 GB2.333/30113.86 KB38,91571,3272.03 GB3,620,818168.23 KB37,85524,5741.87 GB3.133.227155.16 KB37/95120,5492.1S3,637.021180.69 KB37,32198f0101J6GB2,188,667104.51 KB35,47298.3431.56 GB2.725,648123.9
