分析收集Netflow资料来判断骇客入侵及攻击-curelancom.DOC

分析收集Netflow資料來判斷駭客入侵及攻擊目前一般在市場上的IPS (Intrusion Prevention System)設備都是用signature技術來過濾、比對經過設備的packet，藉以偵測駭客入侵，並利用threshold功能來判斷駭客攻擊。以signature技術偵測駭客入侵的架構並不是不好，但是此技術的主要缺點是當異常packet來攻擊或relay attack時，這些巨大的異常packet會使得利用packet來進行分析、過濾的設備其硬體效能耗費甚鉅 (如：C P U運轉過高、記憶體資源使用過多…等)，進而產生當機現象。其次，由於這類型的設備是利用signature技術來進行比對，因此必須針對新型的攻擊去更新signature，方得能辨識出哪些是屬於異常流量。使用Netflow資料來分析駭客入侵及攻擊，包括利用來源位址(the source IP address)、目的位址(the destination IP address)、時間(time duration)、傳輸協定與埠號(transport protocol and port number)、連線數(the number of session/ flow)、封包數(the number of packet )與傳輸量(traffic)。就像大數據的原理一般，我們可以透過分析龐大的IP資料，找出其行為規律性等規則，藉以分辨是否為駭客入侵或攻擊的行為，在IEEE的論文期刊中也都可以看到有人發表與這項技術原理相關的文章。而利用Netflow資料來分析時，就不免要談到另一個問題：Netflow輸出的取樣率(sample rate)。假如Netflow輸出的取樣率設定為1 : 1000，其意義就是在1000個flow中取1個flow作為代表。所以當使用單位採購的設備是接收1:1000的Netflow資料時，就一定不能準確地判斷駭客入侵及攻擊。因為當使用單位遭受駭客1百萬個flow攻擊時，在設備上只有顯示1000個flow。如此巨大誤差，這個設備當然就不能準確地判斷出攻擊，這是無庸置疑的。另外，如果你們有人質疑Cisco設備在輸出Netflow samplerate是1:1 時，是否會影響設備本身的效能。我們可以告訴各位，依我們設備實際在使用單位接受sample rate 1:1測試時，該單位網路管理者告訴我們，那項設定並不會影響設備本身的效能，Cisco設備沒有如此差。如果是產品本身接受sample rate 1 : 1時會產生當機現象，就應該致力改善設備效能，而不是把責任推到Cisco設備上。我們治科資訊(Curelan Technology Co. Ltd)開發出的設備：Flowviewer，就是採用分析Netflow資料的技術。由於Flowviewer是接收Netflow sample rate 1 : 1的資料，不需要利用signature過濾、分析巨大異常攻擊的packet，因此當設備被放置在Inline模式下，不會發生硬體效能急速被耗損的現象，當然也不會有因此當機的問題。此種技術是優於signature技術的，在此種架構亦可以使用Listen模式，但是為什麼我們要採用Inline模式?原因在於每天駭客以robot入侵實在太多，以我們在使用單位測得的結果。平均每天進行入侵的I P數量(不是packets)就有300多個，有時候一天就有高達600多個I P在進行入侵。如果在core switch下ACL (Access Control List )的阻擋(deny)指令太多，會影響core switch的效能。由於考量到這點，我們才會建議使用者將Flowviewer放置在Inline模式，利用Flowviewer設備本身去阻斷入侵的IP。但放置在Inline模式下，使用者必定會擔心萬一設備發生損壞時，會對網路環境造成影響。所以我們在2008年就採用當硬體(hardware)或韌體(firmware)損壞時，設備會進入automatic bypass模式。如此一來，即便是設備損壞時，也不會造成使用單位對外連線中斷。此功能是預設搭載於Flowviewer上，不須額外添加費用加購。一般而言，我們會建議使用者將Flowviewer設置於router與core switch 中間。但如果使用單位有IPS設備，我們則會建議將Flowviewer放置在IPS與core switch中間。因為大部分癱瘓使用單位的攻擊都來自被駭客relay attack的外部IP而造成。以下我們會用數個實際例子來說明。接著我們來分析為什麼網路會癱瘓的原因，駭客攻擊有二種攻擊方式：UDP Flood Attack：被植入木馬程式(Trojan horse)的IP產生大量UDP封包來