标签: IOTA

全文共计700字，预计阅读3分钟 在当前网络威胁日益频繁的背景下，企业迫切需要一种高效、智能的安全监测工具。本文深入介绍了 IOTA 在网络威胁识别中的实际应用价值。通过实时监控 TCP 连接、检测异常端口以及分析 SSL/TLS 加密强度，IOTA 能帮助企业快速识别潜在风险来源，并在攻击发生前及时响应。无论是边缘节点、分支机构，还是数据中心核心网络，IOTA 都能提供精准的流量数据分析与安全决策支持，助力企业构建更具韧性的防护体系。 IOTA简介：IOTA 是一款功能强大的网络捕获和分析解决方案，适用于边缘和核心网络。IOTA 系列包括便携式 EDGE 型号、高速 CORE 型号和 IOTA CM 集中设备管理系统。IOTA 解决方案可为分支机构、中小企业和核心网络（如数据中心）提供快速高效的网络分析和故障排除功能。 该工作流程展示了艾体宝的 IOTA 解决方案如何加强关键网络安全。在网络安全威胁不断的今天，监控和保护网络流量对任何企业都至关重要。 通过 TCP 分析识别漏洞 IOTA 可帮助跟踪进入网络的 TCP 连接。使用 TCP 分析仪表板有助于识别和分析这些连接。通过将目标 IP 地址设置为防火墙的外部 IP，您可以查看通过防火墙移动的所有 TCP 连接，这对于发现潜在的未授权访问企图至关重要。 重要的是要识别意外的开放端口，特别是 8080 端口，在我们的分析场景中，它不应该处于活动状态。确定不必要的开放端口后，下一步就是更新防火墙规则，阻止不必要的访问，确保更严密的安全边界。 增强加密安全： SSL/TLS 概述 除了监控 TCP 连接，IOTA 还可以分析 SSL/TLS 连接。通过使用 SSL/TLS 概述工具，他展示了网络工程师如何快速找出网络中的弱加密密码。例如，我们发现智能灯泡等物联网设备在 HTTPS 通信中使用了薄弱的密码，从而带来了潜在风险。 通过深入研究服务器的详细信息，IOTA 可以发现使用弱加密的设备、其地理位置、DNS 名称和相关 IP 地址。网络管理员可以利用这些信息隔离和解决漏洞，在所有设备上执行强加密标准。 IOTA 是一款功能强大的工具，可帮助网络工程师保持对入站连接和加密实践的控制。通过识别开放端口和弱 SSL/TLS 密码，IOTA 允许管理员主动加强网络防御，防止未经授权的访问和弱加密实践。利用 IOTA 的综合流量分析工具，在威胁造成破坏之前将其化解，从而确保安全。

OT（Operational Technology，运营技术）指的是用于监控和控制物理设备、流程和基础设施的技术，广泛应用于工业控制系统（ICS）、制造业、能源、电力、交通、水利等领域。OT网络主要包括SCADA（数据采集与监控系统）、DCS（分布式控制系统）、PLC（可编程逻辑控制器）等设备和协议，如Modbus、PROFINET、EtherCAT等。 随着 IT/OT 融合、工业物联网（IIoT）、NDR、零信任架构等技术的落地，OT 网络正在向更开放、智能和安全的方向发展。然而，针对 OT 设备的网络安全威胁也在增加，企业需要加强流量监测、资产管理和行为分析，以确保关键基础设施的安全和稳定运行。 在这样的环境下，OT 网络需要专业的监测与分析工具，而 IOTA 正是这一领域的理想选择。 OT网络的独特挑战 与传统 IT 网络不同，OT 网络主要用于实时控制和监测，广泛采用 PROFINET、Sercos III、Modbus 等工业协议。特别是在制造业的硬实时应用场景中，网络必须保持稳定的周期时间。而传统的网络分析工具往往无法精准解析 OT 网络的数据，难以满足工业环境的特殊需求。 IOTA如何助力OT网络优化 在这样的环境下，IOTA 成为 OT 网络流量捕获与分析的重要工具，帮助企业解决传统网络监测方案难以应对的问题。 精准捕获与实时分析 IOTA 提供高效的数据采集能力，可以实现在线或带外捕获，满足不同规模企业的需求。 IOTA EDGE型号 IOTA CORE型号 适用于中小型企业，支持在线或带外捕获，性能可达 3.2 Gbps，并具备 8ns 硬件时间戳。 专为大型网络设计，支持带外捕获，性能高达 20 Gbps，并具备多个高速接口。 查看我们的IOTA解决方案 关键部署策略 要充分发挥 IOTA 的作用，部署方式至关重要： 战略性TAP布局 ：在关键设备前后安装TAP（铜分路器），确保无干扰地捕获流量，支持数据双向比对。 实时分析与可视化 ：IOTA 通过主动监控流量，确保数据不丢失，构建全面的网络可视性。 协议深度解析 ：精准识别并解析工业以太网协议，实现毫秒级的时序分析。 IOTA让OT网络管理更智能 IOTA 不仅仅是一个流量分析工具，更是提升 OT 网络管理效率的强大助手： 更透明的网络环境：帮助企业清晰了解网络状态，快速发现异常。 更高效的运营支持：提供实时数据支持，优化生产节拍，减少宕机风险。 更可靠的安全保障：通过精准的流量指纹技术，识别潜在安全威胁，助力企业构建稳固的防御体系。 结语 在OT网络环境中，高效的数据捕获与分析至关重要。艾体宝IOTA 通过强大的实时监控、深度流量解析和智能化故障排查能力，助力企业优化网络管理，提升安全性和运营效率。如果您希望进一步了解 IOTA 如何满足您的 OT 网络需求，欢迎联系我们，我们的团队将为您提供专业的咨询与演示！

网络流量中的微突发问题常常难以察觉，但它们可能对网络性能产生显著影响。这篇文章深入探讨了如何利用IOTA来捕捉和分析微突发，帮助您快速有效地解决网络中的突发流量问题。 什么是微突发（Microburst）流量？ 微突发是指接口在极短时间（毫秒级别）内收到大量突发流量，以至于瞬时速率达到平均速率的数十倍、数百倍，甚至超过接口带宽的现象。网络流量通常使用链路的平均利用率来衡量，即5分钟的输入或输出率，单位为Mbps或Gbps。5分钟平均值，甚至1秒钟平均值通常都很平滑，显示了网络的稳定状态。如果以更细的粒度（如每毫秒）查看网络中的实际流量，则会发现突发流量要大得多。这些突发非常细微，以至于标准监控工具经常会忽略它们。微突发就是网络流量中的这些短时间峰值。 问题描述 网络中的短期过载（即所谓的 Microburst）会影响应用程序的服务质量。传统方法（如交换机和路由器上的接口统计数据以及SNMP数据）很难或根本无法检测到这种情况。这是因为这些方法通常只能评估较长的时间间隔。因此，微突发分析给IT经理的故障排除工作带来了真正的挑战。 入门 下面的示例逐步概述了如何使用IOTA进行微突发分析。 第一步，我们需要配置物理接口。为此，我们导航到左侧菜单树中的捕获菜单，然后导航到接口配置部分。在所示配置中，接口配置为10/100/1000 Mbit/s自动协商的内联模式，这意味着物理接口可以直接从内联链路看到并捕获要分析的流量。如果要将IOTA设置为带外捕获，以接收来自TAP或SPAN端口的流量，则必须取消勾选内联模式框，并单击保存按钮。 图1 物理接口的配置。在本例中，10/100/1000 Mbit/s自动协商为内联模式。 IOTA的放置 为进行微突发错误模式分析，应通过IOTA的集成端口或使用TAP内联部署IOTA。 为了获得真实的场景，IOTA应尽可能靠近发生错误的地点。但是，如果大量客户出现瓶颈，首先必须确定他们使用哪些组件和接口进行通信，以确定适当的点。这通常是向提供商的广域网过渡。 图2 IOTA的位置，用于数据包平均和随后的微突发分析。 开始捕获 放置好IOTA并准备好物理接口后，我们连接到适当的电缆，然后导航到捕获控制部分并单击屏幕底部的开始捕获按钮，开始捕获过程。 图3 使用“捕获控制”部分的“开始捕获”按钮开始捕获。 微突发分析 当用户报告性能问题时，我们首先会询问发生的时间。这通常只是一个非常粗略的时间：例如2023年5月20日，18:50至19:00。在后续工作中，我们首先将时间间隔限制在这个范围内。为此，我们使用时间范围的相对或绝对规格，或“向下钻取”。然后，我们使用导航菜单切换到Microburst仪表板。 图4 使用屏幕右上角的导航菜单切换到Microburst仪表板。 在该仪表板上，可以对负载范围进行下钻，以缩小时间范围。 如图5所示，微突发仪表板根据很短的时间间隔显示微突发。IOTA会自动选择适当的接口，并在右下方窗格中显示以Mb/s为单位的最大入站和出站微突发，以及上方时间间隔内传输的字节数和数据包数。在图表中，传出流量显示为红色，传入流量显示为蓝色。 向下钻取到相应的时间范围后，我们可以看到以200毫秒为时间间隔的微突发发显示。我们检测到1 Gbit/s连接的利用率为998 Mbit/s，相当于满负荷。这一瓶颈导致了性能问题。 图5 以200毫秒的时间间隔钻取后的Microburst仪表板。 不过，我们仍然需要分析是哪个网络流“拖慢”了应用程序。为此，我们需要通过导航菜单切换到应用程序概览仪表板。 图6 应用程序概览仪表板，其中指出了造成被检查微突发的根本原因。 在应用程序概览仪表板上，我们可以看到IOTA识别的应用程序。IOTA使用深度数据包检测来识别使用过的应用程序。如图6所示，Google共享服务的流量导致了微突发。因此，我们回到问题开始的客户端，查看此刻使用了哪些Google服务。我们看到，此时正在运行备份到Google Drive的服务，占用了整个链接容量。如果应用程序概览仪表板无法识别应用程序，IOTA可以选择在Microburst仪表板中导出相应的时间段。我们可以回到该仪表板，单击导航菜单左侧的下载按钮，这样就可以在需要时使用Wireshark等其他工具分析PCAP。 图7 从Microburst面板直接下载相应时间间隔的数据。 在Microburst面板的底部，我们还可以看到相应的PCAP文件，其中包含时间范围、持续时间和文件大小。我们可以复制这些文件名来下载我们需要的文件。 图8 微突发选定时间间隔内记录的PCAPNG文件列表。 在此基础上，我们导航到捕获文件页面，如图9所示。 图9 导航至“捕获的文件”页面。 在PCAPNG文件列表中，我们选择之前记下的文件名，然后点击下载按钮。 图10 选择和下载PCAPNG文件 IOTA的优势 由于测量时间间隔较短，IOTA可以检测活动网络组件上的普通接口工作负载无法捕获的临时瓶颈。此外，它还能通过应用识别对这些数据进行相应分析，或将其提供给进一步分析。因此，IOTA为我们分析瓶颈提供了更多可见性。

随着网络安全威胁的不断增加，了解并预防可能的攻击变得至关重要。 Blast-RADIUS 是一种严重影响 RADIUS 协议的安全漏洞，能够让攻击者绕过身份验证获取未经授权的访问权限。本篇文章将深入探讨该漏洞的工作原理、检测方法及应对措施，帮助您有效防范潜在的安全风险。 关于 Blast-RADIUS 的基础知识 Blast-RADIUS 是一种影响 RADIUS 协议（依据 RFC 2865）的安全漏洞。 它允许位于 RADIUS 客户端和服务器之间的中间人攻击者伪造一个有效的访问接受（access-accept）消息，来响应实际已经失败的认证请求。这种伪造使攻击者能够在无需猜测或强制破解密码和共享密钥的情况下，获得对网络设备和服务的访问权限。攻击者在请求中插入了一个恶意属性，导致合法服务器响应中的认证信息与攻击者伪造的消息发生碰撞。这使得攻击者能够将拒绝转变为接受，并添加任意的协议属性。然而，攻击者并不会获取任何用户凭据。该漏洞已在 CVE-2024-3596 中描述。 具体来说，该攻击是通过计算碰撞来攻击响应认证器的 MD5 签名。该攻击代表了一个协议漏洞，因此影响所有不使用 EAP 认证方法并通过 UDP 未加密工作的 RADIUS 实现。特别是，密码认证协议（PAP）和质询握手认证协议（CHAP）方法受到影响。 图1 对使用 PAP 方法进行 RADIUS 验证的 Blast-RADIUS 攻击 如果无法直接使用 TLS 或 DTLS 进行传输加密，可以使用 RFC 2869 中描述的可选 RADIUS 属性 "Message-Authenticator" 作为替代方法。 该方法为整个 RADIUS 数据包计算一个 HMAC-MD5 校验和。未通过此完整性检查的数据包必须被静默丢弃。根据当前的状态，没有共享密钥的情况下，HMAC-MD5 校验和无法被伪造。 如果在所有数据包中都要求使用有效的消息认证属性，这种攻击将变得不可能。然而，这个属性仅在 EAP 认证方法中是强制性的，而在 PAP 和 CHAP 中并不是。即使在 RFC 5080 中也只是定义了一个 "SHOULD"（建议使用）。 如何检查漏洞？ 要检查您的实现是否存在漏洞，可以捕获 RADIUS 服务器和 RADIUS 客户端之间的通信数据包，并根据受影响的协议特性进行筛选。我们可以使用 ProfiShark 或 IOTA 捕获数据包，基于 RADIUS 协议对 IOTA 进行预筛选，并使用 Wireshark 进行分析。需要捕获 RADIUS 客户端与服务器之间的数据包，例如，在图2所示的内联模式下进行捕获。 图2 在 RADIUS 客户端（交换机）和 RADIUS 服务器之间定位 IOTA 或 ProfiShark 使用 ProfiShark 进行捕获 在 ProfiShark Manager 中，我们需要在 "Network Ports" 选项卡中将 ProfiShark 设置为内联模式（即取消勾选 "Span Mode" 复选框，如图 3 所示），然后将其内联集成到我们的网络中（如图 2 所示）。 图3 在 ProfiShark Manager 中禁用 SPAN 模式，将 ProfiShark 内联集成到 RADIUS 客户端和 RADIUS 服务器之间 接下来，在 "Capture" 选项卡中，根据需要设置捕获目录，并通过点击 "Start Capture" 按钮开始捕获数据，直到我们获取到足够的数据为止。 图4 在 ProfiShark Manager 中设置捕获目录并开始捕获 使用 IOTA 进行捕获 Interface Configuration" 页面上，将 IOTA 的捕获接口设置为内联模式。 图5 将端口控制设置为内联模式 Capture Control" 页面上点击 "Start Capture" 按钮开始捕获数据。 图6 通过 "Capture Control" 页面上的 "Start Capture" 按钮开始捕获 现在，我们可以通过应用程序或协议栈过滤器对 RADIUS 协议进行过滤。最简单的方法是过滤 "APPLICATION" 属性，并将其值设置为 "RADIUS"（如图 7 所示），这样只会获取 RADIUS 数据包。另一种选择是通过 "PROTOCOL_STACK" 进行过滤，设置值为 "Ethernet | IPv4 | UDP | RADIUS"。 图7 过滤 RADIUS 数据包 在正确过滤协议后，我们可以滚动至概览仪表板的底部，直到看到流列表。接下来，我们需要选择要进一步分析的流，并点击左侧的下载按钮。 图8 可下载的流列表 分析易受攻击的执行方式 例如，我们可以使用 Wireshark 检查 RADIUS 请求中是否包含易受攻击的属性。首先，我们需要打开位于之前在 ProfiShark Manager 中配置的目录或从 IOTA 下载的文件夹中的 PCAPNG 文件。接下来，我们需要一个显示过滤器来获取 RADIUS Access-Requests（代码 1）、Access-Accepts（代码 2）、Access-Rejects（代码 3）和 Access-Challenges（代码 11），但不包括使用 EAP 方法或带有 "Message-Authenticator" 属性值对的 RADIUS 消息，因为它们不受此漏洞影响。为此，我们可以使用显示过滤器 “(radius.code in {1,2,3,11}) and not (radius.Message_Authenticator or eap)”，如图 9 所示。这样，我们只会获取受此协议漏洞影响的 RADIUS 数据包，并且可以看到受影响产品的源 IP 地址。 图9 在 Wireshark 中使用显示过滤器筛选潜在易受攻击的 RADIUS 数据包的截图 作为使用 “Message-Authenticator” 属性值对来实现解决方案的数据包示例，我们可以参考图10，其中展示了该解决方案的实现。 图10 Wireshark 中带有消息认证器属性/值对的 RADIUS 访问请求截图。在此情况下，它也是一个不易受攻击的 EAP 认证 结论 IOTA 和 ProfiShark 可以帮助我们轻松高精度地收集 RADIUS 数据包的包级数据并进行分析。Wireshark 通过使用上述显示过滤器支持我们高效分析收集到的数据，快速筛选出易受攻击的 RADIUS 实现。 作为应对 Blast-RADIUS 攻击的替代方案，可以使用 “Message-Authenticator” 属性值对，或者在 RADIUS 客户端到 RADIUS 服务器的传输过程中，通过 RadSec 或 IPSec 使用 TLS 传输加密来保护 RADIUS 数据包。

IOTA简介：IOTA 是一款功能强大的网络捕获和分析解决方案，适用于边缘和核心网络。IOTA 系列包括便携式 EDGE 型号、高速 CORE 型号和 IOTA CM 集中设备管理系统。IOTA 解决方案可为分支机构、中小企业和核心网络（如数据中心）提供快速高效的网络分析和故障排除功能。 问题描述 安全分析师和取证专家经常需要分析哪个客户端在什么时间与特定目标系统建立了连接。传统的外围防火墙可以记录来自广域网的连接尝试，但无法检测到内部网络的横向移动。因此，存在一个需要消除的 “盲点”。 下面的示例逐步概述了如何在发生安全事件后利用艾体宝 IOTA 分析连接设置。目标是识别受感染的主机或将恶意代码传播到网络内部文件服务器的主机。 准备工作 要想取得成功，IOTA 必须在事件发生前捕获网络流量，以便事后进行回顾分析。 第一步，准备物理接口。 为此，我们使用左侧菜单树导航到捕获页面，然后导航到接口配置部分。如下图所示，接口被配置为具有 10/100/1000 Mbit/s 自动协商功能的 SPAN（带外），这意味着两个物理接口都可以接收来自 SPAN 端口或 TAP 的待分析流量。 图1 物理接口的配置。在这种情况下，采用 SPAN 模式的 10/100/1000 Mbit/s 自动协商 IOTA 的部署或集成 交换机的上行链路可用作 SPAN 源，包括多个客户端 VLAN。如果要将 IOTA 内联集成到数据流中，例如在接入交换机和路由器之间或接入交换机和分配交换机之间，则必须勾选 “内联模式 ”旁边的复选框，并单击 “保存 ”按钮。这取决于 VLAN 网关的位置。如果要记录进出特定服务器的流量以便日后分析，也可以在数据中心的交换机和服务器之间进行内联操作。 图2 IOTA在数据包平均处理和后续安全事件分析中的位置 开始捕获 放置好 IOTA 并准备好物理接口后，我们连接适当的电缆，然后导航到捕获控制部分并单击屏幕底部的开始捕获按钮，启动捕获过程。或者，我们也可以按下 IOTA 设备上的物理 “开始捕获 ”按钮来启动捕获过程。这将加快整个过程，未经培训或没有权限的人员也可以进行操作。 图3 使用 “捕获控制 ”子菜单中的 “开始捕获 ”按钮启动捕获 仪表盘故障排除 要识别所谓的 “零号病人（patient zero）”，我们需要两种方法。第一种是确定哪个客户端连接到了命令和控制服务器 (C2) 或恶意软件分发服务器（如果已知）。第二种方法是将受影响的服务器或客户端作为基线，分析哪些其他系统与其建立了连接。 名词解释：在网络安全领域，“Patient Zero”（零号病人）是一个重要的概念，用于描述首次感染恶意软件或病毒的用户或设备。其识别和防御对于控制恶意软件的传播至关重要。 例如，如果这是一种已知的攻击，可以通过特定的勒索软件信息检测到，那么就有可能专门搜索通信模式，如特定的目标端口。我们也以此为例。我们假设一个文件服务器受到勒索软件攻击，该服务器通过网络上的服务器消息块（SMB）提供服务。服务器的 IPv4 地址是 192.168.178.6。 我们知道 SMB 通过 TCP 端口 445 运行，因此在概述仪表板上对该目标端口和之前提到的 IP 地址 192.168.178.6 进行了过滤。结果显示，在加密时间窗口内，只有 192.168.178.22 客户端与文件服务器建立了 SMB 连接。 图4 IP 地址 192.168.178.6 和目标端口 445 的过滤器 我们还可通过过滤器 “IP_SRC = 192.168.178.22 ”在 “概览 ”仪表板上检查客户端 192.168.178.22 在不久前建立了哪些通信关系，以确定是否发生了命令和控制流量或下载。 在仪表盘的底部，我们可以查看 “流量列表 ”中过滤后的流量数据。从中我们可以看到，之前只有一次通信尝试离开了内部网络。具体来说，这是一个目标端口为 443 的 TLS TCP 连接，即 HTTPS，目标 IP 地址为 91.215.100.47。 图5 基于概览仪表盘底部过滤源主机的通信关系 根据这些流量数据，我们可以通过屏幕右上角的导航菜单切换到 SSL/TLS 总览面板，查看与哪个服务器名称建立了连接。这可以在客户端 “hello” 中看到，或者更具体地说，在 TLS 扩展服务器名称指示（SNI）中看到。其中包含与客户端建立连接的主机名。 图6 通过导航菜单切换到 SSL/TLS 总览面板 在 SSL/TLS 总览面板的 SSL/TLS 服务器列表中，我们可以看到与客户端建立连接的服务器名称 “config.ioam.de”。 图7 SSL/TLS 概述仪表板，其中我们可以看到 TLS 客户端 hello 中的服务器名称 由于 TLS 加密意味着下载本身无法以纯文本形式识别，因此必须在日志文件中对客户端进行进一步分析。随后确定用户下载并安装了一个应用程序。这就通过分析的 SMB 网络共享执行了文件加密过程。这样，我们就掌握了导致攻击的 IP 地址、主机名和文件。不过，在某些情况下，下载恶意软件的服务器只是攻击者的 “前端服务器”，而这些服务器也会不时发生变化。 由于网络中的横向移动在攻击事件中经常被检测到，因此还应检查其他客户端，因为受影响的客户端也可能已经分发了恶意软件。如果在受影响的客户端上看不到任何外部通信关系，则应检查所有内部通信模式，以发现可能将恶意软件带到客户端 192.168.178.22 的异常情况。 如果我们需要检查哪些主机试图连接到似乎提供恶意软件的特定服务器，我们也可以使用 IOTA 进行检查。如果有已知的 FQDN 与这些服务器相关，我们可以使用 DNS 概述仪表板。 图8 通过导航菜单切换到 DNS 概述仪表板 我们切换到 “DNS 概述 ”控制面板，并使用 “搜索 DNS ”过滤器按名称进行搜索。我们使用了域名 akamaitechcloudservices.com，它听起来像是一个内容交付网络的连接尝试，但已知是一个在安全事件中使用的恶意服务器。 图9 通过名称 akamaitechcloudservices.com 进行搜索 搜索后，我们可以看到 DNS 在晚上 9:20 左右请求了该恶意服务器。要进一步调查哪个客户端试图连接到该服务器，我们可以进入 DNS 概述仪表板，查看请求 akamaitechcloudservices.com 的客户端 IP 地址。在图 10 的示例中，它是 192.168.178.22。现在我们知道是哪个客户端试图连接该服务器了。 图10 DNS查询/响应和相应的流量流表 IOTA 的优势 IOTA 提供多种选项，用于过滤相关通信模式和时间窗口，以进行安全分析。此外，与其他工具相比，它还提供了直观的仪表板，即使没有深入协议知识的人也能简化和加速分析。 了解 ITT-IOTA 更多信息，欢迎前往【艾体宝】官方网站！