核心交換機鏡像流量審計對於企業應急響應和防患於未然至關重要,本文想通過介紹ntopng拋磚引玉講一講流量審計的功能和應用。
- 安裝
安裝依賴環境:
sudo yum install subversion autoconf automake autogen libpcap-devel GeoIP-devel hiredis-devel redis glib2-devel libxml2-devel sqlite-devel gcc-c++ libtool wget libcurl-devel pango-devel cairo-devel libpng-devel git
安裝nDPI:協議解析庫
git clone https://github.com/ntop/nDPI.git cd nDPI ./configure –with-pic make
安裝PF_RING(有libcap可以考慮不安裝)
it clone https://github.com/ntop/PF_RING.git cd PF_RING/kernel make sudo insmod ./pf_ring.ko cd ../userland make
安裝Ntopng
git clone https://github.com/ntop/ntopng.git cd ntopng ./autogen.sh ./configure
/usr/bin/gmake geoip \\安裝geoip的數據庫 make make install
可能會出現報錯,解決方法如下:
中途會出現MySQL libraries not found **** 錯誤 yum list \*mysql\* | grep dev
然后把出現的mysql程序都安裝上,sudo yum install ***
- 重要功能
- 單機歷史流量審計
毫無疑問,流量審計最重要的功能就是歷史流量審計。對於應急溯源有非常重要的作用,在確定攻擊時間點和攻擊者IP之后,我們可以通過搜索IP或者攻擊點之后的流量確定攻擊路徑。同時在排查完應急事件之后,我們也可以借助流量審計判斷是否真正達到了“滅火”的功效,內網內是否還存在被控的相關主機。所以流量歷史在應急和流量審計中都起着無可替代的作用。Ntopng提供最基礎的流量審計功能。
通過特定時間點的流量我們也可以發現一些問題,確定攻擊時間點,分析異常服務器的IP流量信息,發送和接收數據包行為,來判定行為。
2 .GeoIP信息
在傳統行業,IDC的服務器往往發起鏈接的地域性是非常有規律的,舉個例子。一個內網OA服務器或者郵件服務器通常情況不會與一個香港或者韓國的IP發生三次握手,基於此。我們通過Ntopng的Geoip模塊我們能分析發起鏈接的地域規律。
3.協議分析
同理如果我們能准確的分析流量協議,往往能發現很多端倪。從安全不相關的說,比如如果我們能審計出邊界出口大量P2P協議數據,我們可以判定辦公網內可能有人在掛BT或者迅雷下載東西,占用帶寬。換做安全相關,在一些MSF或者Samba去控制服務器的時候,由於是shellcode駐留在內存中,從系統日志層面我們只能看到別人獲取了一個交互式的Shell並且登錄了服務器,至於通過何種漏洞入侵的我們很難發現,通過流量信息我們能准確的獲得一些線索,同時當一些日志被刪除,我們無法確認黑客是否登錄服務器的時候,我們可以通過SSH協議流量去進行分析。
- 不足
首先我在使用過程中隱約感覺到了性能瓶頸,對於中小型互聯網不進行二次開發應該可以直接使用。但對於億級PV的互聯網,不借助Strom等框架去處理或者二次開發,目測會血崩。其大數據的延展性並不是很好。
用過商業流量審計的同學應該知道,流量審計最重要的一點就是聯合查詢,然而Ntopng並沒有。確切說是社區版並沒有,企業版通過描述或許有這種功能。不過由於費用問題,本文沒有研究。企業版的Lisence是一年490歐元,對於預算緊又需要做安全的是個不錯的選擇。