Wurmerkennung via Netflow

Mit Hilfe von Netflow kann man sehr viel mehr Informationen sammeln und somit besser auf eine Bedrohung reagieren.
Zum Aktivieren von Netflow muss zunächst "ip cef" aktiv sein, dann muss auf dem betroffenen Interface, über das der zu untersuchende Traffic hereinkommt, das Kommando "ip route-cache flow" konfiguriert werden.

Beispiel:
interface FastEthernet0
ip address 172.16.203.201 255.255.255.0
ip route-cache flow

Zum Ansehen der Caches wird der Befehl "sh ip cache flow" verwendet, zum zurücksetzen der Counter der Befehl "clear ip flow stats".

  • Was kann man nun heraus lesen?

    cisco_router#sh ip cache flow
    IP packet size distribution (196113 total packets):
       1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
       .000 .890 .085 .000 .005 .004 .004 .000 .002 .000 .000 .000 .000 .001 .000
    89% der Flows sind kleiner 64 Byte
        512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
       .000 .000 .000 .000 .004 .000 .000 .000 .000 .000 .000
    IP Flow Switching Cache, 278544 bytes
      3633 active, 463 inactive, 86349 added
      490470 ager polls, 0 flow alloc failures
      Active flows timeout in 30 minutes
      Inactive flows timeout in 15 seconds
      last clearing of statistics never
    <— Statistik ist seit dem Aktiveren nicht zurückgesetzt worden
    Protocol          Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
    --------          Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
    TCP-WWW              18      0.0         2   126      0.0       3.5      11.1
    TCP-other         81106      0.0         2    57      0.0       3.0      17.2
    —> 81106 TCP Flows waren aktive, jeweils 2 Packete, 57 Byte und nur 3 Sekunden aktiv
    UDP-DNS            1567      0.0         7    68      0.0      11.3      17.0
    UDP-NTP               2      0.0         1    76      0.0       0.0      17.8
    UDP-other            22      0.0        73    78      0.0      55.8      17.2
    ICMP                  1      0.0         1    64      0.0       0.0      17.5
    Total:            82716      0.0         2    58      0.0       3.2      17.2

    SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
    Fa0           192.168.203.118 Se0.101       192.168.233.1   06 0ED8 01BD     2
    Fa0           192.168.203.121 Se0.101       192.168.102.152 06 1379 01BD     1
    Fa0           192.168.203.126 Se0.101       192.168.241.97  06 06B4 01BD     1
    Fa0           192.168.203.126 Se0.101       192.168.33.152  06 067A 01BD     2
    Fa0           192.168.203.123 Se0.101       192.168.172.29  06 0DFD 01BD     2
    Fa0           192.168.203.123 Se0.101       192.168.44.196  06 0D26 01BD     2
    Fa0           192.168.203.125 Se0.101       192.168.154.52  06 0F8E 01BD     2
    Fa0           192.168.203.118 Se0.101       192.168.217.114 06 0E47 01BD     2
    Fa0           192.168.203.126 Se0.101       192.168.67.229  06 05C2 01BD     2
    Fa0           192.168.203.123 Se0.101       192.168.28.200  06 0D24 01BD     2
    Fa0           192.168.203.119 Se0.101       192.168.250.47  06 0F82 01BD     2
    Fa0           192.168.203.123 Se0.101       192.168.73.151  06 0E75 01BD     1
    Fa0           192.168.203.128 Se0.101       192.168.244.14  06 052F 01BD     2
    Fa0           192.168.203.125 Se0.101       192.168.122.130 06 0F47 01BD     2
    Fa0           192.168.203.121 Se0.101       192.168.148.247 06 12C9 01BD     2
    Source Interface: Fa 0
    Source IP Address: 192.168.203.121
    Destination Interface: Serial 0.101
    Destination IP Address: 192.168.148.247
    Protocol: 06 = TCP , 01 = ICMP, 11 = UDP
    Source Port: 0x12C9 = 4809
    Destination Port: 0x01BD = 445
    Packete: 2

    Zur Identifizierung des möglichen Wurms kann man dann auf der CERT-Seite nach dem Destinationen Port suchen und ggf. den Verursacher herausfinden oder zumindest sehen welche Schwachstelle angegriffen wird und wie sich der Wurm verbreitet.