核心交换机镜像流量审计对于企业应急响应和防患于未然至关重要,本文想通过介绍ntopng抛砖引玉讲一讲流量审计的功能和应用。
- 安装
安装依赖环境:
sudo yum install subversion autoconf automake autogen libpcap-devel GeoIP-devel hiredis-devel redis glib2-devel libxml2-devel sqlite-devel gcc-c++ libtool wget libcurl-devel pango-devel cairo-devel libpng-devel git
安装nDPI:协议解析库
git clone https://github.com/ntop/nDPI.git cd nDPI ./configure –with-pic make
安装PF_RING(有libcap可以考虑不安装)
it clone https://github.com/ntop/PF_RING.git cd PF_RING/kernel make sudo insmod ./pf_ring.ko cd ../userland make
安装Ntopng
git clone https://github.com/ntop/ntopng.git cd ntopng
./autogen.sh ./configure /usr/bin/gmake geoip \\安装geoip的数据库 make make install
可能会出现报错,解决方法如下:
中途会出现MySQL libraries not found **** 错误
yum list \*mysql\* | grep dev
然后把出现的mysql程序都安装上,sudo yum install ***
- 重要功能
- 单机历史流量审计
毫无疑问,流量审计最重要的功能就是历史流量审计。对于应急溯源有非常重要的作用,在确定攻击时间点和攻击者IP之后,我们可以通过搜索IP或者攻击点之后的流量确定攻击路径。同时在排查完应急事件之后,我们也可以借助流量审计判断是否真正达到了“灭火”的功效,内网内是否还存在被控的相关主机。所以流量历史在应急和流量审计中都起着无可替代的作用。Ntopng提供最基础的流量审计功能。
通过特定时间点的流量我们也可以发现一些问题,确定攻击时间点,分析异常服务器的IP流量信息,发送和接收数据包行为,来判定行为。
2 .GeoIP信息
在传统行业,IDC的服务器往往发起链接的地域性是非常有规律的,举个例子。一个内网OA服务器或者邮件服务器通常情况不会与一个香港或者韩国的IP发生三次握手,基于此。我们通过Ntopng的Geoip模块我们能分析发起链接的地域规律。
3.协议分析
同理如果我们能准确的分析流量协议,往往能发现很多端倪。从安全不相关的说,比如如果我们能审计出边界出口大量P2P协议数据,我们可以判定办公网内可能有人在挂BT或者迅雷下载东西,占用带宽。换做安全相关,在一些MSF或者Samba去控制服务器的时候,由于是shellcode驻留在内存中,从系统日志层面我们只能看到别人获取了一个交互式的Shell并且登录了服务器,至于通过何种漏洞入侵的我们很难发现,通过流量信息我们能准确的获得一些线索,同时当一些日志被删除,我们无法确认黑客是否登录服务器的时候,我们可以通过SSH协议流量去进行分析。
- 不足
首先我在使用过程中隐约感觉到了性能瓶颈,对于中小型互联网不进行二次开发应该可以直接使用。但对于亿级PV的互联网,不借助Strom等框架去处理或者二次开发,目测会血崩。其大数据的延展性并不是很好。
用过商业流量审计的同学应该知道,流量审计最重要的一点就是联合查询,然而Ntopng并没有。确切说是社区版并没有,企业版通过描述或许有这种功能。不过由于费用问题,本文没有研究。企业版的Lisence是一年490欧元,对于预算紧又需要做安全的是个不错的选择。