标签: IOTA

网络流量中的微突发问题常常难以察觉，但它们可能对网络性能产生显著影响。这篇文章深入探讨了如何利用IOTA来捕捉和分析微突发，帮助您快速有效地解决网络中的突发流量问题。 什么是微突发（Microburst）流量？ 微突发是指接口在极短时间（毫秒级别）内收到大量突发流量，以至于瞬时速率达到平均速率的数十倍、数百倍，甚至超过接口带宽的现象。网络流量通常使用链路的平均利用率来衡量，即5分钟的输入或输出率，单位为Mbps或Gbps。5分钟平均值，甚至1秒钟平均值通常都很平滑，显示了网络的稳定状态。如果以更细的粒度（如每毫秒）查看网络中的实际流量，则会发现突发流量要大得多。这些突发非常细微，以至于标准监控工具经常会忽略它们。微突发就是网络流量中的这些短时间峰值。 问题描述 网络中的短期过载（即所谓的 Microburst）会影响应用程序的服务质量。传统方法（如交换机和路由器上的接口统计数据以及SNMP数据）很难或根本无法检测到这种情况。这是因为这些方法通常只能评估较长的时间间隔。因此，微突发分析给IT经理的故障排除工作带来了真正的挑战。 入门 下面的示例逐步概述了如何使用IOTA进行微突发分析。 第一步，我们需要配置物理接口。为此，我们导航到左侧菜单树中的捕获菜单，然后导航到接口配置部分。在所示配置中，接口配置为10/100/1000 Mbit/s自动协商的内联模式，这意味着物理接口可以直接从内联链路看到并捕获要分析的流量。如果要将IOTA设置为带外捕获，以接收来自TAP或SPAN端口的流量，则必须取消勾选内联模式框，并单击保存按钮。 图1 物理接口的配置。在本例中，10/100/1000 Mbit/s自动协商为内联模式。 IOTA的放置 为进行微突发错误模式分析，应通过IOTA的集成端口或使用TAP内联部署IOTA。 为了获得真实的场景，IOTA应尽可能靠近发生错误的地点。但是，如果大量客户出现瓶颈，首先必须确定他们使用哪些组件和接口进行通信，以确定适当的点。这通常是向提供商的广域网过渡。 图2 IOTA的位置，用于数据包平均和随后的微突发分析。 开始捕获 放置好IOTA并准备好物理接口后，我们连接到适当的电缆，然后导航到捕获控制部分并单击屏幕底部的开始捕获按钮，开始捕获过程。 图3 使用“捕获控制”部分的“开始捕获”按钮开始捕获。 微突发分析 当用户报告性能问题时，我们首先会询问发生的时间。这通常只是一个非常粗略的时间：例如2023年5月20日，18:50至19:00。在后续工作中，我们首先将时间间隔限制在这个范围内。为此，我们使用时间范围的相对或绝对规格，或“向下钻取”。然后，我们使用导航菜单切换到Microburst仪表板。 图4 使用屏幕右上角的导航菜单切换到Microburst仪表板。 在该仪表板上，可以对负载范围进行下钻，以缩小时间范围。 如图5所示，微突发仪表板根据很短的时间间隔显示微突发。IOTA会自动选择适当的接口，并在右下方窗格中显示以Mb/s为单位的最大入站和出站微突发，以及上方时间间隔内传输的字节数和数据包数。在图表中，传出流量显示为红色，传入流量显示为蓝色。 向下钻取到相应的时间范围后，我们可以看到以200毫秒为时间间隔的微突发发显示。我们检测到1 Gbit/s连接的利用率为998 Mbit/s，相当于满负荷。这一瓶颈导致了性能问题。 图5 以200毫秒的时间间隔钻取后的Microburst仪表板。 不过，我们仍然需要分析是哪个网络流“拖慢”了应用程序。为此，我们需要通过导航菜单切换到应用程序概览仪表板。 图6 应用程序概览仪表板，其中指出了造成被检查微突发的根本原因。 在应用程序概览仪表板上，我们可以看到IOTA识别的应用程序。IOTA使用深度数据包检测来识别使用过的应用程序。如图6所示，Google共享服务的流量导致了微突发。因此，我们回到问题开始的客户端，查看此刻使用了哪些Google服务。我们看到，此时正在运行备份到Google Drive的服务，占用了整个链接容量。如果应用程序概览仪表板无法识别应用程序，IOTA可以选择在Microburst仪表板中导出相应的时间段。我们可以回到该仪表板，单击导航菜单左侧的下载按钮，这样就可以在需要时使用Wireshark等其他工具分析PCAP。 图7 从Microburst面板直接下载相应时间间隔的数据。 在Microburst面板的底部，我们还可以看到相应的PCAP文件，其中包含时间范围、持续时间和文件大小。我们可以复制这些文件名来下载我们需要的文件。 图8 微突发选定时间间隔内记录的PCAPNG文件列表。 在此基础上，我们导航到捕获文件页面，如图9所示。 图9 导航至“捕获的文件”页面。 在PCAPNG文件列表中，我们选择之前记下的文件名，然后点击下载按钮。 图10 选择和下载PCAPNG文件 IOTA的优势 由于测量时间间隔较短，IOTA可以检测活动网络组件上的普通接口工作负载无法捕获的临时瓶颈。此外，它还能通过应用识别对这些数据进行相应分析，或将其提供给进一步分析。因此，IOTA为我们分析瓶颈提供了更多可见性。

随着网络安全威胁的不断增加，了解并预防可能的攻击变得至关重要。 Blast-RADIUS 是一种严重影响 RADIUS 协议的安全漏洞，能够让攻击者绕过身份验证获取未经授权的访问权限。本篇文章将深入探讨该漏洞的工作原理、检测方法及应对措施，帮助您有效防范潜在的安全风险。 关于 Blast-RADIUS 的基础知识 Blast-RADIUS 是一种影响 RADIUS 协议（依据 RFC 2865）的安全漏洞。 它允许位于 RADIUS 客户端和服务器之间的中间人攻击者伪造一个有效的访问接受（access-accept）消息，来响应实际已经失败的认证请求。这种伪造使攻击者能够在无需猜测或强制破解密码和共享密钥的情况下，获得对网络设备和服务的访问权限。攻击者在请求中插入了一个恶意属性，导致合法服务器响应中的认证信息与攻击者伪造的消息发生碰撞。这使得攻击者能够将拒绝转变为接受，并添加任意的协议属性。然而，攻击者并不会获取任何用户凭据。该漏洞已在 CVE-2024-3596 中描述。 具体来说，该攻击是通过计算碰撞来攻击响应认证器的 MD5 签名。该攻击代表了一个协议漏洞，因此影响所有不使用 EAP 认证方法并通过 UDP 未加密工作的 RADIUS 实现。特别是，密码认证协议（PAP）和质询握手认证协议（CHAP）方法受到影响。 图1 对使用 PAP 方法进行 RADIUS 验证的 Blast-RADIUS 攻击 如果无法直接使用 TLS 或 DTLS 进行传输加密，可以使用 RFC 2869 中描述的可选 RADIUS 属性 "Message-Authenticator" 作为替代方法。 该方法为整个 RADIUS 数据包计算一个 HMAC-MD5 校验和。未通过此完整性检查的数据包必须被静默丢弃。根据当前的状态，没有共享密钥的情况下，HMAC-MD5 校验和无法被伪造。 如果在所有数据包中都要求使用有效的消息认证属性，这种攻击将变得不可能。然而，这个属性仅在 EAP 认证方法中是强制性的，而在 PAP 和 CHAP 中并不是。即使在 RFC 5080 中也只是定义了一个 "SHOULD"（建议使用）。 如何检查漏洞？ 要检查您的实现是否存在漏洞，可以捕获 RADIUS 服务器和 RADIUS 客户端之间的通信数据包，并根据受影响的协议特性进行筛选。我们可以使用 ProfiShark 或 IOTA 捕获数据包，基于 RADIUS 协议对 IOTA 进行预筛选，并使用 Wireshark 进行分析。需要捕获 RADIUS 客户端与服务器之间的数据包，例如，在图2所示的内联模式下进行捕获。 图2 在 RADIUS 客户端（交换机）和 RADIUS 服务器之间定位 IOTA 或 ProfiShark 使用 ProfiShark 进行捕获 在 ProfiShark Manager 中，我们需要在 "Network Ports" 选项卡中将 ProfiShark 设置为内联模式（即取消勾选 "Span Mode" 复选框，如图 3 所示），然后将其内联集成到我们的网络中（如图 2 所示）。 图3 在 ProfiShark Manager 中禁用 SPAN 模式，将 ProfiShark 内联集成到 RADIUS 客户端和 RADIUS 服务器之间 接下来，在 "Capture" 选项卡中，根据需要设置捕获目录，并通过点击 "Start Capture" 按钮开始捕获数据，直到我们获取到足够的数据为止。 图4 在 ProfiShark Manager 中设置捕获目录并开始捕获 使用 IOTA 进行捕获 Interface Configuration" 页面上，将 IOTA 的捕获接口设置为内联模式。 图5 将端口控制设置为内联模式 Capture Control" 页面上点击 "Start Capture" 按钮开始捕获数据。 图6 通过 "Capture Control" 页面上的 "Start Capture" 按钮开始捕获 现在，我们可以通过应用程序或协议栈过滤器对 RADIUS 协议进行过滤。最简单的方法是过滤 "APPLICATION" 属性，并将其值设置为 "RADIUS"（如图 7 所示），这样只会获取 RADIUS 数据包。另一种选择是通过 "PROTOCOL_STACK" 进行过滤，设置值为 "Ethernet | IPv4 | UDP | RADIUS"。 图7 过滤 RADIUS 数据包 在正确过滤协议后，我们可以滚动至概览仪表板的底部，直到看到流列表。接下来，我们需要选择要进一步分析的流，并点击左侧的下载按钮。 图8 可下载的流列表 分析易受攻击的执行方式 例如，我们可以使用 Wireshark 检查 RADIUS 请求中是否包含易受攻击的属性。首先，我们需要打开位于之前在 ProfiShark Manager 中配置的目录或从 IOTA 下载的文件夹中的 PCAPNG 文件。接下来，我们需要一个显示过滤器来获取 RADIUS Access-Requests（代码 1）、Access-Accepts（代码 2）、Access-Rejects（代码 3）和 Access-Challenges（代码 11），但不包括使用 EAP 方法或带有 "Message-Authenticator" 属性值对的 RADIUS 消息，因为它们不受此漏洞影响。为此，我们可以使用显示过滤器 “(radius.code in {1,2,3,11}) and not (radius.Message_Authenticator or eap)”，如图 9 所示。这样，我们只会获取受此协议漏洞影响的 RADIUS 数据包，并且可以看到受影响产品的源 IP 地址。 图9 在 Wireshark 中使用显示过滤器筛选潜在易受攻击的 RADIUS 数据包的截图 作为使用 “Message-Authenticator” 属性值对来实现解决方案的数据包示例，我们可以参考图10，其中展示了该解决方案的实现。 图10 Wireshark 中带有消息认证器属性/值对的 RADIUS 访问请求截图。在此情况下，它也是一个不易受攻击的 EAP 认证 结论 IOTA 和 ProfiShark 可以帮助我们轻松高精度地收集 RADIUS 数据包的包级数据并进行分析。Wireshark 通过使用上述显示过滤器支持我们高效分析收集到的数据，快速筛选出易受攻击的 RADIUS 实现。 作为应对 Blast-RADIUS 攻击的替代方案，可以使用 “Message-Authenticator” 属性值对，或者在 RADIUS 客户端到 RADIUS 服务器的传输过程中，通过 RadSec 或 IPSec 使用 TLS 传输加密来保护 RADIUS 数据包。

IOTA简介：IOTA 是一款功能强大的网络捕获和分析解决方案，适用于边缘和核心网络。IOTA 系列包括便携式 EDGE 型号、高速 CORE 型号和 IOTA CM 集中设备管理系统。IOTA 解决方案可为分支机构、中小企业和核心网络（如数据中心）提供快速高效的网络分析和故障排除功能。 问题描述 安全分析师和取证专家经常需要分析哪个客户端在什么时间与特定目标系统建立了连接。传统的外围防火墙可以记录来自广域网的连接尝试，但无法检测到内部网络的横向移动。因此，存在一个需要消除的 “盲点”。 下面的示例逐步概述了如何在发生安全事件后利用艾体宝 IOTA 分析连接设置。目标是识别受感染的主机或将恶意代码传播到网络内部文件服务器的主机。 准备工作 要想取得成功，IOTA 必须在事件发生前捕获网络流量，以便事后进行回顾分析。 第一步，准备物理接口。 为此，我们使用左侧菜单树导航到捕获页面，然后导航到接口配置部分。如下图所示，接口被配置为具有 10/100/1000 Mbit/s 自动协商功能的 SPAN（带外），这意味着两个物理接口都可以接收来自 SPAN 端口或 TAP 的待分析流量。 图1 物理接口的配置。在这种情况下，采用 SPAN 模式的 10/100/1000 Mbit/s 自动协商 IOTA 的部署或集成 交换机的上行链路可用作 SPAN 源，包括多个客户端 VLAN。如果要将 IOTA 内联集成到数据流中，例如在接入交换机和路由器之间或接入交换机和分配交换机之间，则必须勾选 “内联模式 ”旁边的复选框，并单击 “保存 ”按钮。这取决于 VLAN 网关的位置。如果要记录进出特定服务器的流量以便日后分析，也可以在数据中心的交换机和服务器之间进行内联操作。 图2 IOTA在数据包平均处理和后续安全事件分析中的位置 开始捕获 放置好 IOTA 并准备好物理接口后，我们连接适当的电缆，然后导航到捕获控制部分并单击屏幕底部的开始捕获按钮，启动捕获过程。或者，我们也可以按下 IOTA 设备上的物理 “开始捕获 ”按钮来启动捕获过程。这将加快整个过程，未经培训或没有权限的人员也可以进行操作。 图3 使用 “捕获控制 ”子菜单中的 “开始捕获 ”按钮启动捕获 仪表盘故障排除 要识别所谓的 “零号病人（patient zero）”，我们需要两种方法。第一种是确定哪个客户端连接到了命令和控制服务器 (C2) 或恶意软件分发服务器（如果已知）。第二种方法是将受影响的服务器或客户端作为基线，分析哪些其他系统与其建立了连接。 名词解释：在网络安全领域，“Patient Zero”（零号病人）是一个重要的概念，用于描述首次感染恶意软件或病毒的用户或设备。其识别和防御对于控制恶意软件的传播至关重要。 例如，如果这是一种已知的攻击，可以通过特定的勒索软件信息检测到，那么就有可能专门搜索通信模式，如特定的目标端口。我们也以此为例。我们假设一个文件服务器受到勒索软件攻击，该服务器通过网络上的服务器消息块（SMB）提供服务。服务器的 IPv4 地址是 192.168.178.6。 我们知道 SMB 通过 TCP 端口 445 运行，因此在概述仪表板上对该目标端口和之前提到的 IP 地址 192.168.178.6 进行了过滤。结果显示，在加密时间窗口内，只有 192.168.178.22 客户端与文件服务器建立了 SMB 连接。 图4 IP 地址 192.168.178.6 和目标端口 445 的过滤器 我们还可通过过滤器 “IP_SRC = 192.168.178.22 ”在 “概览 ”仪表板上检查客户端 192.168.178.22 在不久前建立了哪些通信关系，以确定是否发生了命令和控制流量或下载。 在仪表盘的底部，我们可以查看 “流量列表 ”中过滤后的流量数据。从中我们可以看到，之前只有一次通信尝试离开了内部网络。具体来说，这是一个目标端口为 443 的 TLS TCP 连接，即 HTTPS，目标 IP 地址为 91.215.100.47。 图5 基于概览仪表盘底部过滤源主机的通信关系 根据这些流量数据，我们可以通过屏幕右上角的导航菜单切换到 SSL/TLS 总览面板，查看与哪个服务器名称建立了连接。这可以在客户端 “hello” 中看到，或者更具体地说，在 TLS 扩展服务器名称指示（SNI）中看到。其中包含与客户端建立连接的主机名。 图6 通过导航菜单切换到 SSL/TLS 总览面板 在 SSL/TLS 总览面板的 SSL/TLS 服务器列表中，我们可以看到与客户端建立连接的服务器名称 “config.ioam.de”。 图7 SSL/TLS 概述仪表板，其中我们可以看到 TLS 客户端 hello 中的服务器名称 由于 TLS 加密意味着下载本身无法以纯文本形式识别，因此必须在日志文件中对客户端进行进一步分析。随后确定用户下载并安装了一个应用程序。这就通过分析的 SMB 网络共享执行了文件加密过程。这样，我们就掌握了导致攻击的 IP 地址、主机名和文件。不过，在某些情况下，下载恶意软件的服务器只是攻击者的 “前端服务器”，而这些服务器也会不时发生变化。 由于网络中的横向移动在攻击事件中经常被检测到，因此还应检查其他客户端，因为受影响的客户端也可能已经分发了恶意软件。如果在受影响的客户端上看不到任何外部通信关系，则应检查所有内部通信模式，以发现可能将恶意软件带到客户端 192.168.178.22 的异常情况。 如果我们需要检查哪些主机试图连接到似乎提供恶意软件的特定服务器，我们也可以使用 IOTA 进行检查。如果有已知的 FQDN 与这些服务器相关，我们可以使用 DNS 概述仪表板。 图8 通过导航菜单切换到 DNS 概述仪表板 我们切换到 “DNS 概述 ”控制面板，并使用 “搜索 DNS ”过滤器按名称进行搜索。我们使用了域名 akamaitechcloudservices.com，它听起来像是一个内容交付网络的连接尝试，但已知是一个在安全事件中使用的恶意服务器。 图9 通过名称 akamaitechcloudservices.com 进行搜索 搜索后，我们可以看到 DNS 在晚上 9:20 左右请求了该恶意服务器。要进一步调查哪个客户端试图连接到该服务器，我们可以进入 DNS 概述仪表板，查看请求 akamaitechcloudservices.com 的客户端 IP 地址。在图 10 的示例中，它是 192.168.178.22。现在我们知道是哪个客户端试图连接该服务器了。 图10 DNS查询/响应和相应的流量流表 IOTA 的优势 IOTA 提供多种选项，用于过滤相关通信模式和时间窗口，以进行安全分析。此外，与其他工具相比，它还提供了直观的仪表板，即使没有深入协议知识的人也能简化和加速分析。 了解 ITT-IOTA 更多信息，欢迎前往【艾体宝】官方网站！

一、网络分析的本质 要了解分析流程，就必须认识到这不仅仅是查看数据，而是要解读数据包所讲述的故事。这需要将多个数据包和数据流中的信息关联起来，识别模式和异常，并将数据与更广泛的网络环境联系起来。这一过程既需要技术技能，也需要直观理解，将数据解读的科学性与解决问题的艺术性融为一体。 二、关键分析技术 1、模式识别 有效分析的核心在于模式识别。分析人员必须练就一双慧眼，从异常模式中分辨出正常的流量模式，识别出可能预示着问题或攻击的标准协议行为偏差，并识别出可能预示着性能问题或可疑活动的异常定时模式。Wireshark 的 IO Graphs 和 IOTA 的各种仪表盘等工具在这一过程中非常有用，它们提供了一段时间内流量模式的可视化表示，使分析人员能够快速发现趋势和异常。 2、性能分析 性能分析是这一阶段的另一个重要方面。在这一阶段，分析人员通过测量数据包在网络点之间传输所需的时间、评估实际数据传输速率与预期值之间的差异以及了解数据包重传的原因，深入研究延迟、吞吐量和重传率等指标。Wireshark 的 TCP 流图和 IOTA 的 TCP 流功能为这种深入的性能评估提供了强大的功能，使分析人员能够剖析单个数据流的行为。 图1：TCP连接中的序列号(Stevens)随时间变化的情况 3、安全分析 在当今充满威胁的数字环境中，安全分析已成为数据包检查不可或缺的一部分。分析人员必须善于通过识别可能表明存在未经授权访问企图的流量模式来检测潜在的入侵。他们需要识别网络流量中恶意软件活动的蛛丝马迹，并警惕可能预示着数据外渗企图的异常出站流量。Wireshark 的协议剖析器可以帮助识别可疑的有效载荷，其对话统计数据可以突出显示不寻常的通信模式，而 IOTA 的安全仪表板则在此基础上更进一步，针对潜在的安全威胁提供实时洞察力和详细的数据包信息。 4、应用程序行为分析 通过网络流量了解应用程序行为是分析师的另一项重要技能。这包括检查应用层协议的复杂性以了解应用程序如何通信，识别表明网络资源使用效率低下的模式，以及将应用程序性能与网络指标相关联。Wireshark 的特定协议分析功能和 IOTA 的应用程序仪表板等工具为这一领域提供了宝贵的洞察力，使分析人员能够弥合网络性能与应用程序行为之间的差距。 图2：IOTA的应用概览页面 三、高级分析技术 1、基于时间的分析 随着分析人员经验的积累，他们经常会发现自己需要使用更高级的技术。例如，基于时间的分析包括检查相关数据包之间的时间差，以识别延迟或低效，以及了解数据包序列的顺序和时间，以诊断协议或应用程序问题。Wireshark 的 TCP 流时间序列图对这类分析特别有用，它提供了数据包定时的可视化表示，可以揭示微妙的问题。 图3：IOTA的TCP分析页面 2、对比分析 对比分析是高级分析师工具包中的另一项强大技术。通过将当前流量模式与已建立的基线进行比较，或对网络更改进行前后分析，分析师可以识别正常行为的偏差，并评估网络更改的影响。Wireshark 和 IOTA 都支持加载和比较多个捕获文件，为这类深入比较研究提供了便利。 3、启发式分析 有时，传统的分析技术不足以发现复杂的问题。这就是启发式分析发挥作用的地方。启发式分析包括利用经验和直觉来识别数据中可能无法立即发现的潜在问题，应用网络架构、协议和常见问题的知识来指导调查，以及根据观察到的数据来开发和测试有关网络行为的假设。这种类型的分析通常需要创造性地使用 Wireshark 和 IOTA 中的工具，以新颖的方式结合不同的功能，从而获得新的见解。 4、从分析到行动 分析阶段的最终目标是将洞察力转化为行动。这可能涉及生成报告，以清晰、可操作的格式为利益相关者总结发现，根据分析结果推荐具体的变更或干预措施，或建立持续的分析流程以跟踪已实施解决方案的有效性。Wireshark 和 IOTA 都提供了报告功能，可帮助有效传达分析结果，确保分析成果可以轻松共享并付诸行动。 图4：分析到行动的工作流程 四、分析的反复性 重要的是要记住，有效的分析往往是反复进行的。最初的发现可能会引发新的问题，要求分析人员重新审视 OIDA 的早期阶段。 关键是要保持好奇心，有条不紊，并对意想不到的发现持开放态度。 分析过程中的每一次迭代都会带来新的见解，完善理解，并带来更有效的解决方案。 五、分析中的自我反思 分析人员在分析阶段工作时，应不断向自己提出探究性问题： 是否已经确定并检查了所有相关的交通模式？是否进行了全面的性能分析？是否考虑了潜在的安全影响？应用程序行为如何影响网络性能？是否进行了基于时间的分析，以了解网络事件的顺序和时间？是否进行了比较分析？是否采用启发式分析来发现不太明显的问题？ 结论：综合分析的力量 通过解决这些问题并应用所讨论的分析技术，分析人员可以全面检查网络数据。这种全面的方法可以带来有意义的见解和有效的问题解决方案，将数据包分析的艺术和科学转化为对网络性能、安全性和可靠性的切实改进。 总之，OIDA 的分析阶段是数据包检查真正发挥作用的地方。在这一阶段，观察、识别和剖析的辛勤工作得到了回报，产生的洞察力可以推动网络运营的实际改进。 当您掌握了分析技术并学会利用 Wireshark 和 IOTA 等工具的强大功能时，您会发现自己不仅仅是在阅读网络流量，而是真正理解了支撑我们互联世界的复杂数字对话。 了解 ITT-IOTA 更多信息，欢迎前往【艾体宝】官方网站

艾体宝小贴士： 网络基线（Network baselining）： 是指对网络性能进行实时测量和评估的过程。其目的是通过测试和报告物理连接性、正常网络利用率、协议使用情况、峰值网络利用率和平均吞吐量等指标，提供一个网络基线。这个基线可以帮助网络管理员识别和解决网络中的问题，如速度问题等。 对于企业来说，及早识别和应对潜在威胁至关重要。有时，网络的异常行为表明需要进行调查。在根本原因分析过程中，你可能会看到一些流量，如看起来可疑的高带宽模式，但你不知道这是正常行为还是攻击模式。 此时，网络基线就开始发挥它的作用。通过网络基线，你可以在网络正常情况下捕获一段时间内的网络流量。只有知道基线，才能验证是否存在异常。在基线法中，我们定义了通信网络的特征曲线。这些配置文件基于使用 IOTA 网络流量捕获和分析解决方案收集的网络流量指标。 一、网络基线管理面临的挑战 1、传统捕获方法的缺陷 1）速度： 传统的捕获网络流量的方法，例如使用Wireshark的笔记本电脑等旧版硬件和软件，由于需要收集网络中所有特定流量模式的时间过长，实际上并不适合进行网络基线管理。流量的巨大体量和对合适接口的需求进一步使过程变得复杂。 2）捕获性能： 此外，在收集用于网络基线管理的流量时，捕获性能是一个关键挑战。旧版工具和方法通常难以应对高速和大容量的网络流量，导致数据包丢失、不完整的捕获和不可靠的数据。这会显著影响基线的准确性和完整性，导致误报或漏报问题。 一旦捕获数据后，需要高效地进行分析。带有仪表板的图形界面可以让你快速概览，并深入查看具体的流量。 二、使用IOTA进行网络基线管理 1、基线管理的前提条件 在开始网络基线管理之前，必须决定是否要对整个网络、特定终端或特定应用程序进行基线管理。还需要定义基线管理的时间框架。正确的时间框架并没有统一标准，这取决于你的应用程序。你需要捕获网络中的每一种可能情况。因此，如果你的网络中有持续的流量，例如网页和电子邮件流量、VoIP（网络电话）和文件服务器访问流量，以及每周的备份任务，则需要捕获整个星期的流量，以便观察网络中的所有模式。 2、流量捕获 下一步，你需要确定捕获流量的位置。IOTA的放置位置取决于你要进行的基线管理类型。如果你只想对网络中的某个客户端或服务器进行基线管理，可以将IOTA直接放置在交换机和客户端或服务器之间。 你可以在中央交换机处捕获整个网络的流量，或者使用来自VLAN的SPAN端口将流量导向IOTA。你还可以将IOTA放置在交换机和WAN路由器之间，以对WAN流量进行基线管理。 图 1：IOTA 串联在客户端和交换机之间 3、基于 IP 的流量和协议使用情况 我们可以使用 IOTA 中的 “概览 ”仪表板来全面了解网络流量模式。我们首先来看看基于 IP 的流量模式。IP 地址之间的线表示这两个 IP 地址之间至少存在一个通信流。 图 2：基于 IP 的通信模式概览仪表板 我们可以将鼠标悬停在 IP 地址上，突出显示相应的通信模式。 图 3：鼠标悬停在 IP 地址上可突出显示相应的通信模式 只需在 IP 地址上单击鼠标，即可对悬停地址进行过滤。该过滤器作为 “IP ”过滤器应用于仪表盘顶部。 图 4：根据特定 IP 地址过滤 IP 关系 概览控制面板还提供了一个流量列表，其中包含 UDP 或 TCP 等第 4 层协议信息以及客户端和服务器端口信息，还有识别出的应用程序。如果需要更深入地查看可疑流量，了解更多流量细节，我们可以点击检查栏中的放大镜。 如果需要在 Wireshark 或其他数据包分析应用程序中查看有效载荷数据，我们可以点击下载栏中的箭头按钮，将相应的数据流下载为经过过滤的 PCAPNG 文件，以便进一步分析。 图 5：概览仪表板上的流量列表 4、网络利用率 网络利用率在基线管理中也是一个重要的指标，可以帮助我们了解异常利用情况。我们应该知道网络中的平均利用率和正常峰值。在特定情况下，我们需要了解整个网络的平均值和峰值，但在其他情况下，我们需要了解特定客户端或服务器以及一些特定应用程序的情况。 由于备份流量或文件传输等原因，我们可以看到一些高流量模式，这些峰值是预期的。为了帮助分析网络利用率，IOTA提供了一个专门的带宽仪表板。要进入该仪表板，我们点击右上角的“导航”按钮，然后选择“带宽”。 图 6：导航至带宽仪表板 在该仪表板上，我们可以看到每个方向的平均带宽使用情况。红线代表出站流量，蓝线代表入站流量。在右上方，我们可以看到所选时间段内的总字节数和数据包数。在下方，我们可以找到每个方向的峰值带宽使用情况。结合安全性，这可以帮助我们评估是否正在经历大规模 DoS 或 DDoS 攻击。 图 7：带宽仪表板上的全局平均带宽值和峰值带宽值 要区分正常应用行为和资源耗尽攻击，我们需要每个应用的带宽、正常流量计数和特定时间范围内的传输字节数。高流量计数可能指向资源耗尽攻击，如试图达到防火墙上的每秒最大数据包数。 在此，我们需要切换到应用程序概览仪表板。 图 8：导航至应用程序概览仪表板 该仪表板显示图形概览和按应用程序分类的带宽使用情况。要进一步调查特定应用程序，我们可以单击应用程序概览表中应用程序左侧的下载按钮，下载该应用程序类型的所有相关流量。 图 9：按应用分列的带宽和流量计数 在 DoS 或 DDoS 攻击下，网络延迟会在服务无法访问之前增加。这意味着我们需要了解正常的服务器延迟，以区分正常延迟值和攻击条件下的较高延迟值。我们可以在 “应用程序概览 ”仪表板下按服务器 IP 查看延迟概览，其中包括最小值、平均值和最大值。 图 10：每个服务器 IP 的延迟概览 我们可以向下滚动带宽仪表板，了解每个客户端和服务器的带宽使用情况。我们可以获得每个客户端的带宽使用信息，并可在右侧按最高通话者进行排序。在下表中，我们还可以看到与这些客户端相对应的命名信息，以及所选时间段内传输的有效载荷数据。 图 11：按客户端分列的带宽使用情况 5、主机概览 要识别网络中的新客户端或服务器，我们需要一个已知良好或可信主机的基线。我们还需要将正确的 IP 地址与它们的 MAC 地址关联起来，以便在发生可能的 IP 欺骗攻击时及时发现。 在某些组织中，我们可以在库存数据库或网络访问控制系统中找到这些数据，但如果我们没有这些数据，我们也可以通过 IOTA 基线来获取。要做到这一点，我们可以导航到本地资产仪表板。 图 12：导航至本地资产仪表板 如果使用 DHCP 服务且 IOTA 可识别操作系统，则该仪表板会显示客户端和服务器库存列表，其中包含它们的 IP 和 MAC 地址以及 DHCP 主机名和操作系统名称。 图 13：本地资产仪表板 6、已使用的TLS版本和密码套件 一些攻击者尝试进行所谓的降级攻击，以传输像TLS这样的加密流量。IOTA允许对每个服务器使用的TLS版本进行基线管理，并评估密码套件，并将其分类为每个服务器的安全、弱安全和不安全。 首先，我们需要导航到SSL/TLS概览仪表板。 图 14：导航至 SSL/TLS 概览仪表板 通过对 TLS 版本和密码套件类别数据进行基线管理并稍后进行比较，我们可以轻松地发现可能的降级攻击，方法是查找从更安全的 TLS 类别到较弱 TLS 类别的切换。这可以是从具有 DHE 密码套件的 TLS 1.3 到没有前向保密性的 TLS 1.1。 在 SSL/TLS 服务器下，我们可以在“版本”列中看到使用的 TLS 版本，在“配置”列下看到密码套件的类别。我们还可以看到警报比例，以识别对 TLS 握手的潜在攻击。 图 15：SSL/TLS 概览仪表板，包括 TLS 版本和密码套件类别 7、异常流量检测 在进行网络基线分析时，检测异常连接尝试模式至关重要。正如在“基于IP的流量和协议使用”部分讨论的那样，我们可以在概览仪表板中对通信模式进行基线管理。这使我们能够通过查找与特定子网或多个子网中的所有其他主机进行通信的主机，来检测端口扫描活动。 端口扫描可能是更高级网络攻击的前兆，因为它可以识别网络中的易受攻击的服务或系统。因此，在基线管理中，我们需要识别通常与许多其他主机进行通信的主机，例如域控制器、DNS或备份服务器。 在基线管理中，我们还应该识别失败的TCP握手。起初，这可以帮助我们看到我们典型网络中的错误行为并加以纠正。在第二阶段，我们可以将它们与恶意行为者区分开来，后者试图通过所谓的SYN泛洪攻击来耗尽资源，例如防火墙中的最大会话数，这导致TCP半开放状态。 半开放状态意味着三次握手未完成。我们可以在TCP分析仪表板中看到不完整的三次握手。我们可以在名为“TCP分析”的右列中看到它们，其中包含“不完整的3次”语句，以及在TCP事件下的“未答复的SYN”。 图 16：带有异常情况的TCP分析仪表板 我们应该在特定时间范围内对连接尝试次数或新流量进行基线管理。在概览仪表板中，我们可以在“新流量/秒”图表中看到连接尝试的突增。看到超过正常行为的突增可能表明潜在攻击者试图访问大量系统，例如尝试分发恶意软件。这也可能表明僵尸网络活动。 图 17：尝试连接的次数 8、过滤提示 IOTA 提供多种过滤器，可以使用 “AND ”和 “OR ”关系将其组合起来。从安全角度来看，过滤流向其他国家的长期流量可能很有趣，因为这可能是命令和控制流量。在下面的示例中，我们过滤了持续时间超过 1000000 毫秒且目标 IP 地址不在荷兰的流量。IOTA 允许我们将其与逻辑 “或 ”过滤器相结合。 图 18：流量持续时间和目的地国家过滤器的组合 我们最简单但最有效的过滤器是基于单个 IP 地址的 IP 过滤器，无论源地址还是目的地。我们只需在仪表板上的 “IP ”旁边输入即可。如果要对源 IP 地址或目的地 IP 地址进行特定过滤，我们可以对 “ip_src ”或 “ip_dst ”进行过滤。 图 19：过滤简单的 IP 地址（无论源地址还是目标地址） 如果我们深入研究一下我们的安全问题，我们可以通过 “tls_client_version ”或 “tls_server_version ”过滤客户端或服务器提供的 TLS 版本低于当前推荐版本 TLSv1.2，且低于过滤器和版本 “TLSv1.2”。 图 20：根据低于 1.2 版的 TLS 客户端版本进行过滤 还可以在 TCP 分析仪表板中过滤特定的 TCP 分析行为。我们可以根据 “TCP 分析 ”过滤器和 “不完整的三方握手 ”值过滤不完整的三方握手。 图 21：根据不完整的三方握手进行过滤 结论 基线管理网络有助于区分恶意行为和正常行为。IOTA使耗时的任务，例如理解网络中的流量模式，变得简单，并提供必要的高捕获准确性。IOTA有助于根据需要有效地捕获特定时间段内的所有流量模式，并利用灵活的过滤器对其进行图形化分析。