【正文】 22 完善的系統(tǒng)功能 .....................................................................................................25 長遠(yuǎn)的發(fā)展 .............................................................................................................27第五章 ARBOR PEAKFLOW 產(chǎn)品介紹 .............................................................................28 產(chǎn)品概述 ........................................................................................................................28 ARBOR PEAKFLOW 系統(tǒng)平臺 ..........................................................................................28 Arbor Peakflow SP...................................................................................................30 Arbor Peakflow DoS ................................................................................................32TR 網(wǎng)絡(luò)流量分析解決方案第一章 前言 工程背景 網(wǎng)絡(luò)現(xiàn)狀 工程建設(shè)內(nèi)容本工程建設(shè)內(nèi)容為：建設(shè)一套流量分析系統(tǒng)對**電信公司骨干網(wǎng)內(nèi)的全部流量進(jìn)行分析。為了保證建設(shè)后的系統(tǒng)能在今后的一段時間內(nèi)能夠適應(yīng)新出現(xiàn)的應(yīng)用，需要將**電信公司骨干互聯(lián)網(wǎng)流量分析系統(tǒng)的技術(shù)水平定位于一個較高的層次上，從而保證系統(tǒng)的先進(jìn)性，以適應(yīng)未來數(shù)據(jù)發(fā)展的需要。 開放性和標(biāo)準(zhǔn)化原則方案所采用的技術(shù)和設(shè)備等，都必須符合相應(yīng)的國際標(biāo)準(zhǔn)或國家標(biāo)準(zhǔn)，或者符合相關(guān)系統(tǒng)內(nèi)部的相應(yīng)規(guī)范。Netflow 的比較典型的功能是對網(wǎng)絡(luò)數(shù)據(jù)的源地址、目的地址的分析，對流量中各種應(yīng)用的分析（基于協(xié)議或者端口）或者路由器上各個端口的負(fù)載等的分析。3. 能夠?qū)M(jìn)**電信公司骨干互聯(lián)網(wǎng)的流量按照網(wǎng)絡(luò)層協(xié)議類型（如TCP/UDP/ICMP 等）進(jìn)行分類和統(tǒng)計分析。3. 了解大客戶的流量情況，掌握大客戶的業(yè)務(wù)使用情況和熱點訪問地區(qū)等情況，并可以將流量分析的結(jié)果作為增值服務(wù)提供給大客戶。 獲取路由信息為利用 BGP 路由信息中的屬性對流量進(jìn)行深層次的分析，流量分析系統(tǒng)需要掌握**電信公司骨干互聯(lián)網(wǎng)的 BGP 路由情況。 流量分析系統(tǒng)在網(wǎng)管系統(tǒng)中的定位隨著網(wǎng)絡(luò)的發(fā)展和業(yè)務(wù)的需要，目前國內(nèi)電信運營商的網(wǎng)管系統(tǒng)正逐漸從面向面向網(wǎng)元的各專業(yè)網(wǎng)管系統(tǒng)和網(wǎng)管模塊向多專業(yè)的綜合網(wǎng)管平臺方向發(fā)展。采用 Collector 對多臺路由設(shè)備進(jìn)行實時分析，通過核心 Controller 對 Collector 進(jìn)行管理和對 Collector 分析到的數(shù)據(jù)進(jìn)行匯總關(guān)聯(lián)。在實際的網(wǎng)絡(luò)中存在一個 collector 同時實時性的分析管理多臺高端網(wǎng)絡(luò)設(shè)備，每個設(shè)備可擁有多個高帶寬鏈路（OC192/STM64） 。與那些單點解決方案或其他基于數(shù)據(jù)流收集的產(chǎn)品不一樣，Peakflow Traffic 連續(xù)跟蹤并且關(guān)聯(lián)骨干路由器上的網(wǎng)絡(luò)流量，而且使用非常詳細(xì)的拓?fù)淠Ｐ汀rbor Networks 目前已經(jīng)開發(fā)了 Management Portal 模塊（目前正在北美的商用網(wǎng)絡(luò)上進(jìn)行測試，并計劃在明年一季度正式商用） ，用來給運營商的大客戶提供增值自服務(wù)功能。 真正實現(xiàn)的攻擊病毒的源追蹤通過異常流量的觀察分析病毒源和攻擊源，這里分析的源不但包括病毒的源地址和目的地址、上層端口、協(xié)議類型等特點，同時包括進(jìn)入整體網(wǎng)絡(luò)的物理源頭，方便實現(xiàn)控制。 完善的系統(tǒng)功能 統(tǒng)一的系統(tǒng)管理界面與其它設(shè)備廠家的系統(tǒng)不同，Arbor Peakflow 系統(tǒng)能夠通過分析服務(wù)器（Controller）管理系統(tǒng)中的所有設(shè)備，而不需要逐一對所有設(shè)備進(jìn)行配置。系統(tǒng)支持對不同業(yè)務(wù)質(zhì)量等級的業(yè)務(wù)按照其 TOS 值進(jìn)行分析。Arbor Networks PeakflowTM 解決方案為大規(guī)模 IP 網(wǎng)絡(luò)提供實時監(jiān)控和異常現(xiàn)象的檢測。由于 Peakflow 靈活的圖形化能力和基于 XML 的 schema，用戶能夠建立各種各樣的圖表和報表，包括從詳細(xì)的統(tǒng)計分析到管理報表, 這樣可以使整個機構(gòu)的溝通變得容易。TR 網(wǎng)絡(luò)流量分析解決方案? 提供生成定制的網(wǎng)絡(luò)資源組“profiles” ，以 CIDR 塊（block） 、AS regexp、subAS 或者 BGP munity 屬性，并指定什么接口形成這些網(wǎng)絡(luò)資源的邊界。? 顯示最主要路徑的數(shù)據(jù)和進(jìn)出每一個 profile 的源/目的 ASN，顯示每一對profiles 之間的流量值。這種方案與侵?jǐn)_式（Intrusive）解決方案有著明顯的差別, 那些解決方案有必要在和平時期 的需求高峰時段把用戶流量轉(zhuǎn)移。這種方法依賴 Statistical Protocol Anomaly Detection （SPAD） 來鑒定攻擊。作為它的檢測和追蹤過程的一部分，Peakflow DoS 發(fā)現(xiàn)拒絕服務(wù)攻擊中不變的關(guān)系。連續(xù)的學(xué)習(xí)： Peakflow DoS 得到來自對等路由器輸出的數(shù)據(jù)流, 從而可以學(xué)習(xí)網(wǎng)絡(luò)用戶和運營商的行為。在資源統(tǒng)計方面，Peakflow SP 可以實現(xiàn)以下主要功能：? 提供進(jìn)/出每個跨越本地邊界（local boundary）和本地 BGP 邊界（local BGP boundary）的 profile 的流量值。? 提供一個自動一次或循環(huán)生成報告的機制。因此，在無需進(jìn)行大型的網(wǎng)絡(luò)升級或重新規(guī)劃的情況下，網(wǎng)絡(luò)管理人員就能夠得到整體網(wǎng)絡(luò)范圍的流量信息和拓?fù)湫畔⒌哪Ｐ汀eakflow 解決方案已經(jīng)出廠超過一年, 并且被廣泛部署在很多網(wǎng)絡(luò)里, 包括產(chǎn)品最初研究工作開展的密西根大學(xué)和Mich —— 一家在密西根地區(qū)服務(wù)于很多主要學(xué)術(shù)機構(gòu)的地區(qū)因特網(wǎng)運營商。系統(tǒng)還能夠通過 Email、SNMP TRAP、SYSLOG 等方式直接將不同級別的告警按照系統(tǒng)管理員的配置發(fā)送給系統(tǒng)管理員、日志服務(wù)器或者直接發(fā)送給網(wǎng)絡(luò)用戶。在 ATamp。這種方法對于新型和/或變種的攻擊是完全無效的。通過分析大型用戶的業(yè)務(wù)特點，提供運營商最需要的重要用戶的應(yīng)用特點和最多應(yīng)用 IP 的分析。系統(tǒng)能夠充分利用網(wǎng)絡(luò) BGP 信息對網(wǎng)絡(luò)與每個 PEER 和每個 AS 之間的流量進(jìn)行深入的分析。系統(tǒng)的分析服務(wù)器能夠?qū)π略龅氖占鬟M(jìn)行統(tǒng)一的管理，并可以在增加收集器時將原配置在其它收集器的路由器無縫移植到新增的收集器中以減少原有收集器的負(fù)載，原有的數(shù)據(jù)和結(jié)果并不會丟失。分析服務(wù)器可以網(wǎng)絡(luò)中的全部采集機進(jìn)行管理，負(fù)責(zé)對各個收集器進(jìn)行統(tǒng)一的配置并將采集機采集的數(shù)據(jù)進(jìn)行匯總并進(jìn)行全網(wǎng)的關(guān)聯(lián)性分析，并將結(jié)果統(tǒng)一展現(xiàn)和存儲。系統(tǒng)的控制器能夠?qū)π略龅氖占鬟M(jìn)行統(tǒng)一的管理，并可以在增加收集器時將原配置在其它收集器的路由器無縫移植到新增的收集器中以減少原有收集器的負(fù)載，原有的數(shù)據(jù)和結(jié)果并不會丟失。根據(jù) Cisco 和 Juniper 設(shè)備的配置原理，每臺設(shè)備只能夠配置一個全局的采樣比率，并可以選擇打開 Netflow 功能的端口（在 Juniper 路由器上還可以選擇在入/ 出方向打開Netflow 功能） 。2. 競爭對手業(yè)務(wù)分析。 Arbor 流量分析系統(tǒng)的功能流量分析系統(tǒng)的功能包括：1. 能夠支持接收 Netflow VVVV V9 格式的流量數(shù)據(jù)，能夠接收sFlow、 cFlow 和 Netstream 格式的流量數(shù)據(jù)，并對接收到的Netflow/sFlow/cFlow/Netstream 格式的流量數(shù)據(jù)進(jìn)行統(tǒng)一的統(tǒng)計分析。本方案介紹的流量分析系統(tǒng)是基于 Cisco 公司的 NETFLOW 技術(shù)的流量采集分析系統(tǒng)。在設(shè)計上采用恰當(dāng)?shù)募夹g(shù)手段為網(wǎng)絡(luò)分析系統(tǒng)提供等手段。**電信公司骨干互聯(lián)網(wǎng)流量分析系統(tǒng)的設(shè)計中，首先要考慮的是實用性和易于操作性，確保使用技術(shù)成熟的網(wǎng)絡(luò)產(chǎn)品和通信技術(shù)。流量分析系統(tǒng)主要由一臺數(shù)據(jù)流量收集器和一臺數(shù)據(jù)流量控制器組成。 “先進(jìn)性和成熟性，成熟性優(yōu)先”當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展迅速，新的產(chǎn)品不斷涌現(xiàn)并趨于成熟，在滿足實用性的基礎(chǔ)上，起點要高，應(yīng)盡量選用先進(jìn)的網(wǎng)絡(luò)技術(shù)及通信設(shè)施。便于系統(tǒng)的升級、擴充，以及與其它系統(tǒng)或廠家的設(shè)備的互連、互通。一個Flow 由 7 個因素構(gòu)成：? Source IP address? Destination IP address? Source port number? Destination port number? Protocol type? Type of service (ToS)? Input interfaceTR 網(wǎng)絡(luò)流量分析解決方案觀察上面 7 個要素可以發(fā)現(xiàn)它們可以唯一的標(biāo)識路由器上的一個網(wǎng)絡(luò)連接（Session） 。4. 能夠?qū)M(jìn)入**電信公司骨干互聯(lián)網(wǎng)的流量按照 TCP 和 UDP 的業(yè)務(wù)類型（如 HTTP/BT/FTP/EMAIL/OICQ/媒體點播等）進(jìn)行分類和統(tǒng)計分析。4. 發(fā)現(xiàn)潛在的用戶。根據(jù)本方案設(shè)計，收集器分別與被監(jiān)測路由器通過 MD5 認(rèn)證建立 iBGP 連接，從被監(jiān)測路由器學(xué)習(xí) BGP 路由信息。綜合網(wǎng)管平臺更加強調(diào)面向業(yè)務(wù)、面向用戶以及系統(tǒng)數(shù)據(jù)的綜合和統(tǒng)一。當(dāng)網(wǎng)絡(luò)擴容時，隨著網(wǎng)絡(luò)中路由氣臺數(shù)的增加通過增加 Collector 方式即可實現(xiàn)擴展，保護(hù)用戶的投資。單臺 Arbor Peakflow 設(shè)備在配置大量監(jiān)控條件，并學(xué)習(xí) Inter 全部國際路由的情況下，能夠處理 50,000session/s（150 萬 session/分鐘）的 Netflow 原始數(shù)據(jù)。這些模型很好的為 Peakflow 提供統(tǒng)計能力，超越以往只測量接口或者個別路由器的技術(shù)水平。運營商的大客戶可以對自己的流量進(jìn)行監(jiān)控，并自己配置監(jiān)控條件對其關(guān)心的內(nèi)容進(jìn)行分析。如果只找到源地址而無法知道病毒從哪里近來的話，現(xiàn)在大多數(shù)病毒都是通過地址欺騙來偽造的源地址，將無法實現(xiàn)病毒源頭的有效監(jiān)控。并且用戶可以通過一個界面了解到系統(tǒng)管理的所有設(shè)備和網(wǎng)絡(luò)的情況。 系統(tǒng)監(jiān)控Arbor Peakflow 系統(tǒng)能夠自動監(jiān)測系統(tǒng)所用設(shè)備的運行情況，以及系統(tǒng)監(jiān)控的Netflow Session 數(shù)量，并能夠監(jiān)控各個設(shè)備的 CPU/Memory/磁盤等使用情況。 使用非侵?jǐn)_的數(shù)據(jù)收集方法，Peakflow 持續(xù)從用戶的路由基礎(chǔ)設(shè)施中獲取流量和路由數(shù)據(jù), 從而建立和維護(hù)一個高顆粒度網(wǎng)絡(luò)信息的數(shù)據(jù)庫。TR 網(wǎng)絡(luò)流量分析解決方案安全保護(hù)Peakflow 平臺的異?，F(xiàn)象檢測引擎不僅能夠?qū)φ`用或異常協(xié)議發(fā)出告警而且能夠發(fā)覺很多細(xì)微的用法或帶寬上的異常。? 收集和數(shù)據(jù)庫化出入這些 profile 的流量和路由信息。? 統(tǒng)計出哪些對 profile 產(chǎn)生了最大流量并給出其流量值。為了迎合這些“在線” （Inline ）設(shè)備而定期地轉(zhuǎn)移用戶流量會導(dǎo)致顯著的用戶連接不穩(wěn)定，因為 BGP 路由需要時間穩(wěn)定下來。 SPAD 結(jié)構(gòu)包括下表的 4 個組成部分。而且，這些關(guān)系在整個網(wǎng)絡(luò)的角度下被相互關(guān)聯(lián)形成對攻擊真實的網(wǎng)絡(luò)范圍內(nèi)的觀點。通過監(jiān)控從運營商網(wǎng)絡(luò)的對等路由器輸出的數(shù)據(jù)流（如思科的 NetFlow） ，Peakflow DoS 提供網(wǎng)絡(luò)安全攻擊的連續(xù)監(jiān)控，允許網(wǎng)絡(luò)管理人員在用戶發(fā)出投訴之先主動地監(jiān)測和管理安全事件。TR 網(wǎng)絡(luò)流量分析解決方案? 顯示對于任何一個給定的邊緣路由器，在數(shù)據(jù)流量上哪些是最主要的源／目的 AS，流量的大小。這些報告提供可配置時間周期的數(shù)據(jù)和基于特殊條件。利用現(xiàn)有路由器收集信息的協(xié)議如思科的 NetFlow 和 Juniper 的 cFlowd，Peakflow 能夠?qū)Ω咚俚木W(wǎng)絡(luò)鏈路（高達(dá)OC192/STM64）進(jìn)行測量, 并不會成為網(wǎng)絡(luò)的瓶頸或故障點。TR 網(wǎng)絡(luò)流量分析解決方案第五章 Arbor Peakflow 產(chǎn)品介紹 產(chǎn)品概述Arbor Networks Peakflow 平臺是一個分布式、非侵?jǐn)_、可擴展的解決方案，它能夠檢測網(wǎng)絡(luò)異常，例如拒絕服務(wù)（DoS）攻擊和蠕蟲的傳播，并且使網(wǎng)絡(luò)管理人員能夠迅速解除這些安全威脅從而保證網(wǎng)絡(luò)的可用性和性能。同時系統(tǒng)還可以根據(jù)用戶的定義將不同級別的告警以 Trap 的方式發(fā)送到網(wǎng)管系統(tǒng)中的告警模塊。網(wǎng)絡(luò)管理員可以參考系統(tǒng)自動產(chǎn)生的配置文件來阻止該安全攻擊，只需要將系統(tǒng)自動生成的配置 Copy 到系統(tǒng)指定的源頭設(shè)備上即可，操作簡便。其他競爭產(chǎn)品如 IDS、防火墻依賴已知的特征數(shù)據(jù)庫來識別網(wǎng)絡(luò)攻擊。運營商可以根據(jù)端口、地址、AS 等條件定義用戶，并對用戶的全部流量進(jìn)行關(guān)聯(lián)分析。Arbor Peakflow 通過與路由器建立 IBGP 的 PEER 學(xué)習(xí)網(wǎng)絡(luò)的 BGP 信息，從而掌握了每個 IP 地址段的 AS PATH 等信息。Arbor Peakflow 的產(chǎn)品可以根據(jù)用戶的網(wǎng)絡(luò)規(guī)模和流量的增加而進(jìn)行平滑的升級，只需要根據(jù)網(wǎng)絡(luò)流量的情況增加收集器即可增加系統(tǒng)的處理能力。Arbor