Contents ...
udn網路城邦
如何從P2P報表看隱藏式網路瓶頸及危機
2012/04/27 03:40
瀏覽7,906
迴響1
推薦53
引用0

    此篇文章刊登在TWCERT/CC電子報2012 15期發行日期:2012/03/05專題報導內容主要描述網路使用者在使用公司單位、政府單位、學校單位之內部網路上網連線時,何種因素會對內部網路產生效能降低之因素,事實上內行人都知道是"網路連線數(Sessions)",所以有些管理者購置IDP(或者防火牆)設備具備限制網路連線數功能來解決此問題,但是這篇文章從P2P報表來探討上述解決方案是錯誤觀念,由於現今的CoreSwitch(L3)的背板頻寬及封包交換效能提升很多,但是Edge CoreSwitch(L3)的背板頻寬及封包交換效能就沒有CoreSwitch(L3)來得強,所以內部隱藏式網路瓶頸就因此產生,或許這篇文章有人同意此觀念有人不同意,我只是闡述我看到的數據,科學來自人性需求,但是科學也是要數據證明,這個發現我不敢居功,是中興大學網路管理者賴莉菲老師發現告訴我,我才深入探討,學校單位已購置阻擋P2P下載功能設備,但是網路使用者心存僥倖心態,反正P2P下載軟體起動後就會自動連線也不用人守在軟體旁邊,但是這些眾志成城的使用者已經影響到其他遵守規則使用者的權益,因為這些旁大的網路連線數已經對效能比較低的Edge CoreSwitch(L3)產生效能降低的影響。

刊登在TWCERT/CC電子報網址: 

http://newsletter.certcc.org.tw/epaper/201203/report1_1.html

. 前言

. P2P報表看到隱藏式網路瓶頸(Analysis)

. 真實案例

. 建議方案(Implementation proposal)

. 隱藏式網路危機之一

. 隱藏式網路危機之二(UDP Flood Attack)

. 結論

 

1.          前言

造成內部網路瓶頸的顯著因素有網路流量太高及網路Sessions(flows)數太多,這是一般網路管理者都了解的知識,而網路流量太高一般使用單位都購置網路流量配額功能(Quota)設備來解決這個問題。至於造成網路Sessions數太多之因素有很多,例;蠕蟲(Worm)P2P下載等問題是比較明顯因素,蠕蟲(Worm)造成內部網路癱瘓問題一般網路管理者已經知道最嚴重有CoreRed Sassar等蠕蟲(Worm),對於P2P下載問題一般網路管理者都會購置過濾P2P下載程式功能設備或防火牆(IPS)設備啟動過濾Sessions(flows)數功能來解決這個問題,購買上述這些設備真的能解決P2P下載程式造成Sessions(flows)數太多的因素嗎?或許有些網路管理者會說購置過濾P2P下載程式功能設備是為了解決P2P下載程式侵犯軟體著作權法,這也是很多網路管理者真正購買此設備的真正原因。

 

2.    P2P報表看到隱藏式網路瓶頸

    一般使用單位網路管理者認為購置過濾P2P下載程式功能設備,可避免使用者侵犯軟體著作權法這是正確觀念,又購買防火牆(IPS)設備來限制Sessions(flows)數,這是望梅止渴方式並不能解決久旱逢甘霖的需求,何以見得?從下列之網路架構圖來了解此問題:

 

  

 

 

  藍色線條表示在Firewall(IPS)設備啟動限制”Sessions(flows),連線數”功能,可以限制從InternetIntranet(內部網路)的連線數,所以此功能只能限制從InternetIntranet的連線數,但是如果產生大量Sessions(flows)數的源頭是在內部網路呢?

 

    紅色線條表示從內部網路到網際網路連線,當使用者在個人電腦啟動P2P軟體下載功能,雖然濾P2P下載程式功能設備及Firewall(IPS)設備都有啟動P2P軟體過濾功能但是都只能阻擋在Gateway端,P2P下載軟體的連線數會流經L2

SwitchL3 Core Switch,所以就會產生使用P2P下載軟體所造成太多”連線數”而影響內部網路之L3 Core Switch效能,這是Firewall(IPS)設備啟動限制連線數功能也無效用之原因,因為產生大量Sessions(flows)數的源頭是在內部網路使用P2P下載軟體所造成。

 

  有些網路管理者也了解此道理所以提出將此設備放置在L3 Edge Core SwitchL3 Core Switch之間,如此就可解決大量連線數流經L3 Core Switch而避免承載過重影響效能,這是錯誤觀念?因為L3 Core Switch一定比L3 Edge Core Switch效能更好所以才會放置在網路主幹位置,L3 Core Switch都會承載過重更何況L3 Edge Core Switch

 

3.    真實案例

 

  此真實案例是由吳鳳科技大學詹明傑圖資長提供,詹圖資長認為提供這些P2P報表有助於其他單位了解P2P下載程式,對於內部網路造成瓶頸之嚴重性,所以由下列P2P日報表得知,過濾P2P下載程式功能設備放置在網路最出口端也就是Gateway端,已經成功將使用者啟動P2P下載程式功能阻擋,使用者是不能使用P2P連線,但是使用者還一直在P2P連線,主要希望是否有漏網之魚,使用者不知道這會造成內部網路隱藏式瓶頸,因為Sessions(flows)數太多也會造成網路瓶頸的產生,一般網路管理者認為將P2P下載程式阻擋就沒事,殊不知,使用者一直嘗試P2P連線而造成網路隱藏式瓶頸。

 

      P2P報表如下圖,有助於網路管理者更了解內部網路瓶頸,但是;了解此方面 瓶頸是否有解決之道才是最終目的。

 

 

 

4.    建議方案(Implementation proposal)

      中興大學網路管理者賴莉菲老師提出將使用者之P2P連線報表,統計累積到一定Sessions(flows)數也就是由各單位自行制定Sessions(flows)數之數目,然後由放置在Inline Mode的設備系統來阻斷一小時讓使用者不能網際網路連線以示懲處。

 

      吳鳳科技大學詹明傑圖資長提出除了上述功能,還必須搭配P2P公開報表可以讓使用者查詢自己所使用累積的Sessions(flows)數,此目的讓使用者心服口服,設備系統還要提供被斷線的使用者會在電腦開啟IE時,在使用者電腦顯示被斷線的原因狀態,讓使用者趕快關掉P2P連線。以下就是吳鳳科技大學使用此功能的範例:設定使用者一天內P2P報表之Sessions(flows)數達到1,000,000個,放置在Inline Mode的設備系統阻斷一小時讓使用者不能網際網路連線,如下列報表:此IP的使用者因為執行PPStream,被設備系統偵測到Sessions(flows)數超過1,000,000個而被阻斷網際網路一小時。當然也可以設定100,000個為標準,從上述報表得知還有12IP也會被阻斷網際網路連線。

 

 

5.    隱藏式網路危機之一

     蠕蟲(Worm)造成內部網路癱瘓問題一般網路管理者已經知道最嚴重有CoreRed Sassar等蠕蟲(Worm),當時發生這二個事件時防火牆(IPS)的病毒碼一直趕不上蠕蟲的變種變化速度,導致全球網路經濟損失高達上千億美元,所以IEEE學會才會提出NBAD(Network Behavior Anomaly Detection)技術的論文; “簡單說此技術是採用行為模式來偵測蠕蟲(Worm),而不是跟防火牆(IPS)設備採用蠕蟲病毒碼”,採用行為模式來偵測蠕蟲(Worm)是根據有破壞性而且會快速感染每個IP,其感染後會造成大量Sessions(flows)數來癱瘓整個內部網路,此技術判定蠕蟲跟P2P下載軟體和執行VOD(隨選視訊)是不同的,在此不針對理論細節探討,因為IEEE學會有很多篇論文描述此技術,要探討以行動模式偵測到蠕蟲決絕對不是以會造成大量Sessions(flows)數為判斷標準,當然蠕蟲(Worm)有分為快速劇烈型造成大量Sessions(flows)數和緩慢型,以下提供報表就是在同一天真正偵測到蠕蟲(Worm) P2P下載軟體和執行VOD(隨選視訊)是不同的。

  20111227日有蠕蟲(Worm)報表跟P2P下載軟體和執行VOD(隨選視訊)報表。從下列報表得知被偵測到感染蠕蟲(Worm)IP產生2,279,462Sessions(flows)數和P2P下載軟體所產生的Sessions(flows)數不相上下。

 

  因為報表IP有被遮蔽,為了防止作弊由P2P報表中來比對蠕蟲(Worm)報表的IP是否有重複。如下列報表;被蠕蟲(Worm)感染的IP 140.XXX.XXX.110使用Windows作業系統的尋找功能,在P2P報表中找不到相符項目,所以準確以行動模式來偵測蠕蟲(Worm)絕不是以大量Sessions(flows)數為判斷標準,否則容易將執行P2P下載軟體和執行VOD(隨選視訊)誤判。

 

 

6. 隱藏式網路危機之二(UDP Flood Attack)

 

   駭客是用被假借之IP單點發送大量的UDP偽造網路封包,來攻擊某一特定網站使該網站造成癱瘓之目的,而目前最常使用就是UDP Flood攻擊,因為駭客只需要一台電腦即可攻擊,所以攻擊程式是屬於”劇烈型”會對被假借IP之內部網路產生Core Switch效能下降之影響,當然駭客也會同時假借很多個IP來攻擊目標,有些警告性UDP Flood攻擊所產生的UDP偽造網路封包比較小,對於被假借使用單位的Core Switch效能也影響較小,有些嚴重性惡意攻擊所產生大量UDP偽造網路封包除了會癱瘓被攻擊網站,同時也會對被假借IP的使用單位Core Switch產生嚴重效能下降之影響,幾乎造成被假借IP的使用單位內部網路全面癱瘓,所以使用單位開始注意到這個嚴重問題。

 

   何謂警告性跟嚴重性惡意攻擊,我們從網路流量收集設備之報表來了解,例;從下列報表了解,平均2分鐘產生927,182個封包數以UDP方式,產生傳輸量為33.60 MB

 

  從報表得知使用單位有二個IP同時被假借來攻擊同一IP,但是報表並沒有顯示攻擊方式細節何以見得是UDP Flood攻擊,細節之報表以第1IP來顯示。

  從上述的網路流量報表得知平均2分鐘產生927,182UDP封包數,產生傳輸量為33.60 MB之方式來攻擊,共經過3小時產生55,097,285UDP封包數,產生總傳輸量為1.95 GB。此方式我把它歸類為警告性攻擊,這種歸類是見仁見智,因為還有更嚴重會把2萬多台電腦之使用單位內部網路癱瘓的UDP Flood攻擊方式。

 

   何謂嚴重性惡意攻擊?我們從網路流量收集設備之報表來了解,例;從下列報表了解,共經過5小時產生1,816,579,314UDP封包數,產生總傳輸量為77.69 GB

 

  從報表得知使用單位有三個IP同時被假借來攻擊同一IP,細節之報表以第1IP來顯示。

 

7.    結論

(1)P2P報表得知尋找最佳方式解決隱藏式網路瓶頸,避免錯誤投資設備節省預算。

(2)採用行為模式來偵測蠕蟲(Worm)是根據有破壞性,絕不是以會造成大量Sessions(flows)數為標準,否則會將P2P下載軟體和執行VOD(隨選視訊)誤判為蠕蟲(Worm)

(3). UDP Flood Attack會造成被假借IP之內部網路癱瘓及被攻擊端之網路癱瘓,絕不是只有被攻擊端才是受害者,所以每個使用單位不可以用自掃門前雪,莫管他人瓦上霜的心態來看UDP Flood Attack

有誰推薦more
迴響(1) :
1樓. mate :感恩「和平繁榮」
2013/12/14 17:00
無可奈何 !
非專業的人上網遇駭太普遍
發表迴響

會員登入