回溯分析案例-某电信IDC机房-服务器异常行为监控.docVIP

某电信IDC机房——托管服务器异常行为监控 案例背景 某电信IDC机房为数千家政企用户提供服务器托管业务，有些用户却利用托管服务器为跳板从事一些非业务流量，比如代理上网、视频或下载，这不仅增加了IDC出口的负担，也为IDC内部网络的安全带来了隐患。 而IDC机房现有的网管及分析工具，对用户的这种用户非业务行为往往是事后才能发现，而且缺乏足够的历史数据对过去发生的网络事件进行回溯，无法快速的通过量化的证据对这些用户的行为进行通告和规范。 科来网络分析系统通过数据包层面的分析，能够对用户的网络行为进行的可视化的监控、分析，并支持7*24小时不间断的长期分析，掌握接入流量的负载及每日、每周的流量基准、变化趋势，为用户异常行为发现提供基准，从而及时的发现网络的流量突发与拥塞，快速的定位到造成异常流量的IP源头，并对其行为进行深入分析，提供历史事件的证据，及时发现危害网络的病毒、攻击行为，避免网络瘫痪。 设备部署 在交换机上启动镜像功能，由科来网络回溯分析服务器采集用户接入IDC机房网络的流量,部署示意图如下： 通过网络分析对网络进行可视性和专家级的诊断，，，并对潜在的安全隐患进行预警 IP主机 流量 流量发收比 发TCP同步包 收TCP同步包 *.*.211.66 180.23 MB 0.46 1,044 283 *.*.69.53 136.16 MB 2.82 0 934 *.*.69.32 71.57 MB 28.52 0 475 *.*.211.47 60.38 MB 2.37 2 60 关键参数解读： 流量：传输数据的大小，直接影响到总出口带宽，通过该参数，我们能够快速的发现对IDC出口影响最大的IP主机 流量发收比：上传流量和下载流量的比值，托管机房里的服务器，一般都是提供网络服务供他人下载，正常情况下，上传流量应该大于下载流量，而“流量发收比”=上传流量/下载流量，该比值应该大于1。流量最大的四台主机中，*.*.69.53、*.*.69.32和*.*.211.47的“流量发收比”都大于1，符合服务器特征，而流量最大的*.*.211.66该参数为0.46，下载流量大于上传流量，可能存在非业务流量 “发TCP同步包”与“收TCP同步包”：网页、邮件等基于TCP传输的网络应用，在数据传输前必须先建立TCP连接，TCP连接的第一步便是有客户端发送“TCP同步包”给服务器，IDC机房内的托管设备作为服务器，“收到TCP同步包”的数量应该远远大于“发TCP同步包”的数量。主机*.*.69.53、*.*.69.32和*.*.211.47“发TCP同步包”的数量都很少，“收TCP同步包”的数量较多，符合托管服务器的业务特征；而主机*.*.211.66“发TCP同步包”的数量达到1044，远超过“收TCP同步包”283的数量，这说明该主机向外发起大量的访问请求，不大符合托管服务器的特征。 综合以上几个关键参数，我们可以确认主机*.*.211.66的行为可疑，极可能存在非业务流量，并且消耗了IDC出口较高的带宽。科来网络回溯分析系统保存了该主机通信的原始数据包，我们可以通过专家分析系统，对主机*.*.211.66的行为进行深度的分析，进一步确认其是否异常。 异常主机行为深度分析 流量负载分析 发现主机*.*.211.66存在异常后，将进一步对其行为进行深度的挖掘、分析： 8月24号一天，该主机总共传输了23.09G字节的流量，“流量发送比”只有0.38， “发TCP同步包”的数量超过26万个，明显对外发起了大量请求 从流量分布特征来看，该主机流量主要集中在每天的白天上班时间短，消耗带宽接近1.5Mbps左右： 流量成分分析： 该主机top n的流量成分如上图所示： UDP-other：36.78% HTTP：29.36% TCP-other：20.12% HTTP-Proxy：7.62 流量成分中存在大量的的UDP-other和TCP-other，该主机可能存在大量的视频、下载等非业务流量。 上网行为分析 DNS日志分析：我们查看11月25号56这一分钟该主机的DNS记录，可以看到，主机*.*.211.66在一分钟内，总共进行了124次域名解析请求，请求的域名包括： “gamer sky”、“起点中文网”、“新浪微博”、“酷6视频”、“QQ空间”、“人人网”、“谷歌”…… 很明显，*.*.211.66如果是托管服务器，不可能同时对外发起这么多、而且不重复的DNS请求，有很多人通过*.*.211.66作为跳板上网。 HTTP日志分析：*.*.211.66在12月25号56分这一分钟，总共有789条上网记录，这同样不可能是托管服务器的行为： 下载、视频行为分析 从DNS记录中，可以发现大量的视频、下载门