tag 标签: 网络安全

相关博文
  • 热度 3
    2024-6-7 17:48
    241 次阅读|
    0 个评论
    你是否曾因网络异常而感到困扰?在数字化时代,网络流量异常可能给企业带来巨大损失。但别担心,我们为您准备了一份详尽的解决方案!想知道如何利用ntopng及时发现异常流量,并通过企业微信等渠道通知你的团队吗?跟随我们的指南一起探索吧! 告警示例 环境:CentOS Linux release 7.9.2009 (Core) ntopng版本: # ntopng -V Version: 6.1.240510 GIT rev: dev:afbdf91abe535ef7415dfbbca34f3707257df3fb:20240510 Pro rev: r6507 Built on: CentOS Linux release 7.9.2009 (Core) System Id: L3B050EC176066B13--U3B050EC181ADB966--OL Platform: x86_64 Edition: Enterprise M ntopng监测单台主机的流量 ntopng 可根据本地主机流量时间序列(或指定 “*”时的所有本地主机)或本地网络接口触发自定义警报。这对于识别在指定时间段内触发过多流量的主机或接口非常有用。 下面是一些规则示例: ens160 网络接口的每日总流量不得超过 15 GB; 192.168.2.28 的每日总流量不得少于 2 GB; 192.168.1.1 的 NTP 日总流量不得超过 2 GB; 1.1.1.1 每 5 分钟的 1kxun 流量不得超过前 5 分钟总流量的 15%; 1.1.1.1 每 5 分钟的流量不得超过 1 Mbps; 每当满足条件时,ntopng 就会触发警报,下面我们来看看操作。 在Host菜单上选择Local Traffic Rules 要添加新规则,请单击表格上方的“+”符号 添加一个本地流量规则 目标:插入要分析的本地主机 IP 或 *(表示必须分析所有本地主机),或选择本地网络接口、网段等 DNS 流量),比如上下行流量、主机得分,某协议或者应用程序的流量等 每 5 分钟分析一次)1小时、1天 阈值:选择阈值类型(流量、吞吐量或百分比)、下限或上限,以及一旦超过将触发警报的阈值 百分比变化:计算最近两次频率检查之间的百分比变化(例如,频率为 5 分钟的百分比变化小于 1%;如果前一次频率检查和最后一次 5 分钟检查之间的百分比变化小于 1%,则触发警报)。 从现在开始,带有已配置字段的新条目将添加到表中,并且每当超过阈值时,就会触发新警报。 流量规则根据指定的规则频率进行评估。例如,每日规则会在每个午夜根据前一天的流量进行评估。 配置了检查流量的规则,下面我们来看看如何配置wechat告警吧! 配置wechat告警 通过在 ntopng 中配置 URL,微信可用于将警报信息传递到微信 HTTP 端点。 要获取微信的有效 WebHook URL,用户必须在企业微信上注册。之后,需要创建一个群聊并添加一个群机器人,以便获取群机器人的WebHook URL。欲了解更多信息,请查看此处。 警报将发送给收件人。收件人及其关联的端点是通过系统界面进行管理的。 收件人只与一个端点相关联,但同一端点可与多个收件人共享。 端点和收件人都有一种类型和一组配置参数,具体取决于类型。本节将介绍所有可用的端点和收件人。 端点包含通用配置,然后通过收件人配置进行扩展。例如,电子邮件端点包含 SMTP 服务器地址,而电子邮件收件人则包含目标电子邮件地址。这样就可以创建多个电子邮件收件人,他们共享同一个端点,因此也共享同一个 SMTP 服务器地址。 然后去增加一个收件人 警报信息通过 POST 请求以 JSON 格式提供给 Webhook。 当我们的流量超过阈值时,我们将在企业微信上收到告警信息 除了监控本地主机的各种流量之外,我们还有很多其他的监控指标,可以检查主机行为、系统行为、流量等,如下图所示: 多个指标可编辑,自定义阈值,对于多种网络行为都可以监测和掌控,特别是里面有网络安全相关指标,对于我们防范不法分子的攻击是十分有利的! 友情提醒:ntopng的Local Traffic Rules和告警到企业微信是企业版特有的功能哦,欢迎申请免费试用,具体的信息访问主页,通过简介找到我们~也可以关注公众号~
  • 热度 1
    2024-4-17 13:27
    150 次阅读|
    0 个评论
    如何结合使用 ntopng和NetFlow/IPFIX检测Dos攻击,在上一篇文章中,我们已经做足了铺垫,本期我将会为大家展示并分析实操步骤。话不多说,直接进入正题。 一、 Ntopng在模拟中发出的警报 应根据监控需求和可用资源对 Ntopng 进行配置和优化。在本研究中,大多数警报和警告都是以默认值激活的。显然,每个警报和警告都必须根据 Ntopng 的工作环境和网络拓扑结构进行评估。 模拟过程中的 Ntopng 检测列表: 1、SYN FLOOD(SYN 泛洪攻击) 通过发送大量的 SYN请求来耗尽目标系统的资源,使其无法处理正常的连接请求。在TCP协议中,当客户端尝试建立到服务器的连接时,会发送一个SYN(同步)请求,服务器在收到该请求后会回复一个SYN-ACK(同步-确认)以表示连接的建立,最后客户端发送一个ACK(确认)以确认连接的建立。在SYN泛洪攻击中,攻击者发送大量的SYN请求但不发送最后的ACK,导致服务器在等待确认的状态下消耗资源,从而耗尽系统的资源,使得合法用户无法建立连接。 简而言之, SYN 泛洪攻击就是用虚假的连接请求使服务器饱和,从而阻止服务器处理真正的连接,造成服务中断。实施这种攻击有两种技术: 1. 使用假IP,即用不同的 IP 地址伪装自己的 IP 地址,这样服务器就会向一个假 IP 发送 SYN-ACK 回复。 2. 客户端故意不响应服务器,保持连接开放 当发送 256 SYN/秒时,NTOPNG 就会触发警报,阈值可以更改。 2、TCP SYN SCAN(SYN扫描) SYN 扫描是一种扫描类型,包括发送 SYN 标志激活的 TCP 数据包。 如果要检查的端口是开放的,攻击者将收到一个激活 SYN 和 ACK 标志的 TCP 数据包作为回复,并通过一个激活 RST 标志的 TCP 数据包关闭连接。 如果要控制的端口已关闭,攻击者将收到一个激活 RST 标志的 TCP 数据包,从而关闭连接。 在这两种情况下,连接都不会完成,因此几乎不会出现在日志文件中。 当 256 SYN/分钟时,Ntopng 会触发警报。阈值可以更改。 3、TCP FIN SCAN(FIN扫描) FIN 扫描是一种扫描类型,包括向受害者端口发送仅激活 FIN 标志的 TCP 数据包。在 RFC793 技术规范中,如果端口是关闭的,主机接收到 FIN 标志激活的数据包后,必须回复一个 RST 标志激活的数据包;如果端口是开放的,则应忽略该数据包。这样,攻击者就能知道哪些端口是开放的。但并非所有系统都遵守这些规范,在任何情况下都会返回一个 RST 标志激活的 TCP 数据包,从而使扫描失去作用。 当发送 256 FINs/分钟时,Ntopng 会触发警报。阈值可以更改。 4、SCAN DETECTED(扫描检测) 当检测到扫描(主机 32 流量(分钟)。阈值可以更改。 5、FLOWS FLOOD 当新的客户端 256 流量/秒(分钟)时,Ntopng 会触发警告。阈值可以更改。 6、异常分数行为 注意异常分数行为,以发现威胁或缺陷。 当界面出现意想不到的行为时, ntopng警报可能会被触发。 7、异常流量行为 意外行为检查。 警告不正常的流量行为,以发现威胁或缺陷。 当界面出现意想不到的行为时, ntopng警报可能会被触发。 8、超过分数阈值 每台主机都有一个非负数值,用于存储分数值。该值的计算时间间隔为 5000 时,ntopng警告就会激活。阈值可以更改。 补充信息: Ntopng 如何计算得分 分数是一个数字指标,如果不为零,则表示存在某种问题,分数越高,相关问题越严重。 分数主要有三个来源: 1. 数据流得分:表示数据流的糟糕程度,例如:有多次重传的数据流得分不为零。 2. 流量的源主机得分:与源主机相关联的数值,例如:在步骤 客户端的重传,则该流量的源主机得分为 0,但如果源端也有重传,则该值为正。 3. 流量的目的主机得分:与之前相同,但针对的是流量的目的主机。由于流量可能存在多个问题,因此流量上遇到的每个问题(例如流量上检测到的 TCP 重传或过时的 TLS 版本)都会影响得分。因此,得分是在该流量上发现的单个流量/源/目的得分的总和。 二、警告:最近的活跃流 “Warning Recently live flows”消息显示,Ntopng正在观察到网络中大量活跃的数据流,因此资源利用率很高,因此对安全的担忧;因此,有必要对此进行调查。 为了应付这一警告,可能需要 : 检查当前网络活动,查看流量模式是否符合预期或是否存在异常。 查找可能存在的安全威胁或异常网络行为。 三、一个攻击和检测过程示例 使用 slowhttptest进行 HTTP慢速攻击 HTTP慢速攻击允许单个客户端使用最小带宽使服务器资源饱和。具体做法是尽可能保持与目标服务器的连接处于开放状态,恶意客户端连接到目标服务器并向其发送部分请求,即未完成 http 头的发送;具体来说,当客户端发出 HTTP 请求时,网络服务器只能在请求头发送完成后才能关闭 TCP 连接。这种技术迫使服务器保持连接开放,从而达到服务器可用连接的最大数量,使其无法访问其他客户端的合法请求。 下面是 " slowhttptest"命令的示例: slowhttptest -H -c 2000 -g -o output -i 10 -r 300 -t GET -u http://10.0.20.10 -x 24 -p 3 l -H: 启用慢速HTTP攻击中的Slow Headers攻击模式。 l -c 2000: 模拟的客户端数量,这里设置为2000个客户端。 l -g: 启用慢速HTTP攻击中的Slow Read攻击模式。 l -o output: 指定输出文件的名称为output。 l -i 10: 设置攻击间隔为10秒。 l -r 300: 设置攻击持续时间为300秒(5分钟)。 l -t GET: 指定HTTP请求的类型为GET。 l -u http://10.0.20.10: 指定目标服务器的URL为http://10.0.20.10。 l -x 24: 设置攻击时使用的线程数为24。 l -p 3: 设置慢速攻击的延迟参数,这里设置为3秒。 解释: 通过这个命令, slowhttptest将会模拟2000个客户端对http://10.0.20.10的GET请求,其中会包含Slow Headers攻击和Slow Read攻击,并持续5分钟。攻击过程中每10秒执行一次攻击,攻击的延迟设置为3秒,使用24个线程进行攻击。最后,攻击结果会输出到名为output的文件中。 在上面第一张图片中,您可以看到攻击的开始,在第二张图片中,您可以看到攻击的结束,每 5 秒钟就会更新一次状态,实时报告已建立的连接、打开的连接和关闭的连接。 如上图片是 ntopng的主屏幕。 大约 30 秒后,Ntopng 检测到一次检测到的扫描,特别是Slow Header攻击没有扫描到,但 Ntopng 报告主机 10.0.10.10 和服务器 10.0.20.10 之间发生了超过 32 个不完整的 HTTP 流。当数据流得分/源数据流/目标数据流之和大于设定值(本例中为默认值 5000)时,Ntopng 会报告警报 SCORE THRESHOLD EXCEED,即 "超过得分阈值(在上一主题中解释过)"。 Ntopng 还会报告与 HTTP 数据流相关的警告,这种情况发生在网络中存在大量活动数据流、资源利用率高、安全隐患大的时候。显然,有必要了解流量模式是预期的还是异常的。在我们的案例中,显然存在持续的 DoS 攻击,因为有数以百计的数据流具有相同的源 IP。 F1 F2 这两张图是 -o -g 选项创建的 HTML 输出图,从图 F1 中可以看出,在前 10 秒内建立了 750 个连接,并打开了另外 750 个连接,这反映了命令中设置的选项,即以每秒 300 个连接的速度连接 2000 个连接。然而,在达到所需的 2000 个连接之前,服务器由于响应时间超过 3 秒而不可用,选项 -p 3 F1→ slowhttptest -H -c 2000 -g -o output -i 10 -r 300 -t GET -u http://10.0.20.10 -x 24 -p 3 第二张图表示始终可用的服务(绿色区域),这是因为我出于测试目的将 -p(http 响应的等待时间间隔)设置为 225,在现实中,服务器响应的等待时间如此之长是不可想象的。 F2→slowhttptest -H -c 2000 -g -o output -i 10 -r 300 -t GET -u http://10.0.20.10 -x 24 -p 225 时间戳显示帧与帧之间的间隔为 10 秒;该间隔与命令中的 -i 设置相对应。 一个小问题是,所有 HTTP 请求都会超时关闭,这意味着连接会被服务器强制关闭。 HTTP状态代码408 "请求超时 "表示服务器因请求超时而终止连接。当服务器在允许的最长时间内没有收到客户端的完整请求时,就会返回该代码。所有请求都以这种方式结束,因此我们可以说服务器在应用层受到了 DoS 攻击。 通过观察 ntopng提供的流量数据,可以发现可能的DoS攻击迹象,比如异常的流量模式、异常的连接请求等。ntopng能够提供关于网络流量的实时和历史信息,这使得管理员能够观察流量变化并可能识别出与DoS攻击相关的异常模式。 要更好地检测和应对 DoS攻击,通常需要结合使用多种安全工具和技术,包括入侵检测系统(IDS)、入侵防御系统(IPS)、防火墙、负载均衡器等。这些工具可以帮助监控和过滤网络流量,并采取相应的措施来防御和减轻DoS攻击的影响。
  • 热度 2
    2024-4-17 13:21
    259 次阅读|
    0 个评论
    为了和大家探讨网络安全领域中的关键问题,我将分两期来展示如何使用 ntopng和NetFlow/IPFIX检测Dos攻击。在本篇中,我先简单介绍网络安全面临的挑战、为何网络流量分析在应对网络安全挑战中起重要作用,此外,我会介绍在此次检测中使用到的工具软件。 一、网络安全挑战 近年来,由于网络攻击和在线安全威胁的增加令人担忧,造成这种增长的原因包括以下几个方面: l l 对技术的依赖性越来越强: 随着我们对各种设备的依赖性增加,与互联网的连接也日益紧密,这为攻击者提供了更多的机会。网络中的每个连接点都可能成为攻击的目标,因此对网络流量进行持续的监控变得至关重要。 l l 攻击的复杂化: 网络攻击变得越来越复杂。网络犯罪分子不断开发先进技术,如更具说服力的社会工程学攻击、更先进的恶意软件以及能够绕过安全防御的针对性攻击。这些攻击形式的演变使得传统的安全措施往往难以应对。 l l 动机多样: 网络攻击者的动机多种多样,包括窃取个人、财务或企业数据、工业间谍活动、勒索软件、破坏活动等。这种多样性使得攻击更加广泛,也更加难以防范。 l l 物联网 (IoT) 的发展: 物联网的发展引入了大量的网络连接设备,而这些设备往往缺乏足够的安全标准。这些设备不仅可能成为攻击的目标,还可以作为攻击者实施更广泛攻击的接入点。 l l 威胁全球化: 互联网的普及使得威胁变得全球化,攻击者可以从世界任何地方采取行动。这种全球化的威胁加大了网络安全的挑战,需要全球范围内的合作和协调来应对。 l l 缺乏意识和培训: 缺乏网络安全意识和培训是一个关键因素。许多用户缺乏对网络安全的基本理解,容易成为网络钓鱼攻击的受害者,或者忽视安全最佳实践,使攻击者更容易侵入系统。 l l 与加密有关的问题: 加密是网络安全的重要工具,但攻击者也可以利用它来隐藏自己的活动。端到端加密会使当局难以监控和防止非法在线活动,这使得追踪和阻止网络威胁变得更加困难。因此,解决加密技术与安全之间的平衡成为一项重要挑战。 二、网络流量分析的作用 网络实现了快速可靠的数据传输,促进了通信发展,并支持从交换个人信息到执行复杂业务流程的广泛应用。然而,这种互联性也使网络更易受到网络攻击,如何应对此类威胁?方法如下: l l 流量实时监控和回溯分析: 网络流量代表设备和服务器之间的数据流,网络流量分析可以实时监控网络中的数据流量和通信模式。通过持续监测网络流量,可以及时发现异常行为和潜在的安全威胁,从而采取及时的防御措施。 l l 异常检测: 通过分析网络流量,可以识别可疑活动,如未经授权的访问尝试、如大量的数据包丢失、不寻常的通信模式、异常的数据传输、恶意软件或异常行为。异常流量可能是正在进行的攻击或试图破坏安全的迹象。 分布式拒绝服务( DoS/DDoS)攻击可通过监控试图压垮目标系统的异常流量峰值来检测。 l l 威胁识别: 网络流量分析可以帮助识别各种类型的网络安全威胁,包括恶意软件传播、网络入侵、数据泄露等。通过分析网络流量中的特征和模式,可以识别出潜在的攻击行为,并采取相应的应对措施。 l l 安全事件响应: 了解网络流量对于快速事件响应至关重要。及早识别攻击可隔离威胁、减轻损害并恢复安全。网络流量信息可用于追踪攻击来源、识别被利用的漏洞并制定适当的应对措施。 l l 安全策略改进: 通过对网络流量的长期分析,可以识别出网络安全策略的漏洞和不足之处。这有助于安全团队改进现有的安全措施和策略,加强网络的防御能力,提高网络安全水平。 l l 保护敏感数据: 网络流量可能包含敏感信息,仔细监控这些流量有助于识别和保护敏感数据,防止数据丢失、被盗或未经授权的访问。 总之,网络流量是了解、检测和应对网络攻击的宝贵信息来源。对网络流量的准确分析可帮助企业加强安全,有效应对新出现的威胁。 三、 DOS 攻击 DOS(denial of service,拒绝服务)攻击是一种计算机攻击,其目的是通过各种手段使合法用户无法正常使用资源或严重降低服务速度。这种攻击的实施通常是通过限制或拒绝合法客户端的访问,从而耗尽系统(服务器)的资源,如网络带宽、CPU 处理能力或系统内存。 DoS 攻击可由单个主机实施,并且有可能被追踪到攻击源。其运行模式主要包括以下几种: l 流量泛洪: DoS 攻击通常会导致目标系统遭受大量的网络流量。例如,SYN 泛洪攻击的目的是通过向目标系统发送大量的SYN请求(TCP连接的三方握手的第一步),从而使系统超载,因为它不断等待着从未到达的回复。 l 耗尽资源攻击: DoS 攻击可能旨在耗尽系统的资源,包括内存或 CPU。攻击者通过向系统发送大量的请求或占用大量的系统资源,以使系统无法正常工作。 l 协议攻击: 有些 DoS 攻击会利用通信协议中的特定漏洞。例如,ICMP 泛洪攻击利用 ICMP 数据包淹没目标系统,从而消耗带宽并使系统不可用。 l 低速 DoS攻击: 有些 DoS 攻击并不完全中断服务,而是试图使服务严重减速,从而使合法用户无法正常访问服务。这种方式下,攻击者可能会利用系统的弱点或缺陷来减慢其响应速度,导致服务的延迟或不稳定性。 四、 DDoS攻击 DDoS(Distributed Denial of Service,分布式拒绝服务)是一种 DoS 攻击的变体,涉及分布在不同地理位置的多个设备,以增强攻击的威力。这些被攻击的系统通常是 BotNet(僵尸网络) 的一部分,即一组受恶意软件感染的机器,它们会响应攻击者的命令,但也可以自主行动。其目的与 DoS 攻击相同,即通过限制或拒绝合法客户端的访问,耗尽系统(服务器)的资源,如网络带宽、CPU 处理能力或系统内存。 为了防止 DoS/DDoS 攻击,企业通常会采取一些安全措施,如防火墙、入侵检测和防御系统(IDS 入侵检测系统/IPS 入侵防御系统)。 在我的模拟中,我将使用 Ntopng ,这是一个网络分析和监控应用程序,能够实时分析从思科路由器传入的 NetFlow 流量,也可以离线分析。 五、 Netflow NetFlow 是思科开发的一种用于收集、监控和分析网络流量的协议。Netflow 用于获取网络活动的详细信息,以进行性能优化、安全、带宽使用、流量和异常行为检测。 Netflow 可以发送大量信息,以下是主要信息: 图 1 Netflow字段格式 数据通过数据报( UDP)从路由器或其他网络设备发送到收集器。 NetFlow 对带宽和网络开销的影响非常小,因此非常高效。以下是 NetFlow 的一些特性: l 聚合数据表示: NetFlow 为通过网络的每个数据包发送部分信息,因此轻便高效。它以 "流 "的形式发送汇总信息。每个流由具有共同特征(如协议、IP 地址和源/目的端口)的数据包序列表示。 l 取样: 取样只允许收集部分数据包,从而进一步减少了开销,同时仍保留了具有代表性的流量样本。 l 协议效率: NetFlow 的设计轻便高效。数据包头的结构设计可将开销降至最低,数据以紧凑的方式传输,从而提高通信效率。 这些功能可以监控和分析大量数据,而不会使系统资源超负荷,因此非常实用。 六、使用的基础设施和软件 为了实现虚拟网络,我们使用了 GNS3 软件。 GNS3 是一款开源软件,可真实模拟复杂网络,无需专用网络硬件。它有一个图形界面,可在多个操作系统上运行: l Dynamips, 一种可模拟思科 IOS 操作系统的软件 l VirtualBox 是运行虚拟机的免费开放源码软件(见下文 GNS3 - VirtualBox 集成允许虚拟机连接并放置在由思科虚拟网络设备(路由器和交换机)组成的网络中。) 图 2 GNS3 - VirtualBox 集成 网络内有: l 一个客户端网络( 10.0.10.0/24), 其中有一个装有 Kali Linux 操作系统的客户端,这是一个以内置多种渗透测试工具而闻名的 Unix 发行版。 l 服务器网络( 10.0.20.0/24), 其中有一台可提供网络服务的服务器,这就是目标服务器,为简化场景,该网络没有防火墙保护。 l NetFlow 服务器网络(10.0.30.0/24), 我们的 NetFlow 服务器就在其中,它负责接收和收集思科路由器发送的 NetFlow 数据。 l 在这里,我们连接了一个 Ntopng 服务器 (https://www.Ntopng.org/), 它可以 "读取 "并处理 Cisco 路由器发送的 NetFlow 数据。 l GNS3 软件使用的 NAT 网络(192.168.56.0/24), 通过 "云 NAT "设备执行输出和互联网导航。 l 在上述不同子网之间路由的 Cisco 路由器, 对流量进行采样并将其详细信息发送到 NetFlow 服务器。 图 3 网络拓扑图 七、 Ntopng 为了处理 NetFlow 数据,我们决定使用 Ntopng 软件。 Ntopng 是一款高效网络流量监控应用程序,旨在提供有关网络活动的详细信息。它的主要功能是实时流量分析,使网络管理员能够深入了解网络活动、性能和可能存在的安全问题。 Ntopng 可以通过以下两种主要方式读取 NetFlow 数据: 1. NetFlow 收集器(NetFlow 收集器模式): 在此模式下, Ntopng 充当 NetFlow 收集器。它接收并分析由路由器和交换机等网络设备发送的 NetFlows,这些设备会生成此类数据。这些 NetFlows 包含网络流量信息,如源和目标 IP 地址、端口、协议、连接持续时间和传输数据量。Ntopng 会处理这些 NetFlows,生成详细的网络流量报告。 这就是我们的基础设施所使用的模式。 2. NetFlow 探测(NetFlow 探测模式): 在这种模式下, Ntopng 充当 NetFlow 探测器。它可以向要监控的网络设备发送 NetFlow 数据包,并分析其响应以获取流量信息。当网络设备不支持 NetFlow 本机生成,但仍允许流量监控时,这种方法尤其有用。 这两种模式都允许 Ntopng 提供有关网络流量的详细信息,识别模式和异常情况,并促进网络资源的有效管理。在 NetFlow 收集模式和 NetFlow 探测模式之间做出选择,取决于网络环境的具体要求以及相关网络设备中 NetFlow 功能的可用性。 在实施过程中,我们在 Ubuntu Linux 20.04lts 服务器上安装了 Ntopng 软件。 通过该许可证,我们可以不受限制地管理 NetFlow 流量的数量,并利用一些附加功能,如警报管理。 八、 VirtualBox Oracle VM VirtualBox 是一款免费开源软件,用于运行 x86 和 64 位架构的虚拟机(根据 GNU 通用公共许可证条款发布的精简版),支持将 Windows、GNU/Linux 和 macOS 作为主机操作系统,并能够将 Windows、GNU/Linux、OS/2 Warp、BSD(如 OpenBSD、FreeBSD)以及 Solaris 和 OpenSolaris 作为客户操作系统。 在我们的基础架构中,我们在 Windows 主机上安装了 Virtualbox,并安装了以下虚拟机: l Kali Linux 虚拟机,如上所述,在客户端网络中模拟恶意和/或受感染的客户端 l 安装了 Ntopng 和 Nprobe 软件的 Ubuntu 虚拟机,用于接收和管理 NetFlow 流量 l Ubuntu 服务器虚拟机,扮演目标/靶标角色 网络地址 描述 网络地址 子网掩码 主机 客户端网络 10.0.10.0 255.255.255.0 路由器 10.0.10.1 Kali Linux 客户端 10.0.10 服务器网络 10.0.20.0 255.255.255.0 路由器 10.0.20.1 服务器 Ubuntu 10.0.20.10 NetFlow服务器组网 10.0.30.0 255.255.255.0 路由器 10.0.30.1 NetFlow服务器Ntopng 10.0.30.10 互联网络 192.168.56.0 255.255.255.0 路由器 (DHCP)
  • 热度 2
    2024-1-17 11:06
    216 次阅读|
    0 个评论
    来源:艾特保IT 虹科分享丨利用ProfiShark 构建便携式网络取证工具包 原文链接:https://mp.weixin.qq.com/s/T0cIPmoF85N0Cyu2xicP2A 欢迎关注虹科,为您提供最新资讯! #网络安全 #便携式网络取证工具 #ProfiShark 网络安全领域日益重视便携式取证工具的灵活应用。本文介绍了如何构建一个以ProfiShark 1G为核心的便携式网络取证工具包,以提高网络取证的效率和实效性。 文章速览: l 为什么要使用便携式网络取证工具? l 构建便携式网络取证套件 l 法证分析 l ProfiShark 1G作为便携式分路器的优点 一、为什么要使用便携式网络取证工具? 1、企业自身需求 网络取证和网络安全团队需要具备拦截网络流量和实时捕获数据包的能力,以防止威胁和实时攻击。企业组织需要根据其网络的规模和架构建立网络拦截和流量捕获机制。例如,拥有分布式数据中心的大型网络的公司必须部署多个捕获点,并将数据包送至中央数据包分析设备(网络分析仪),该设备能够以10 Gbps甚至高达100 Gbps的速度接收和分析数据。 2、企业面临的困境 然而,并非所有公司都在分布式架构中拥有多个数据中心。大多数中小型企业的整个IT基础设施都托管在一个站点上。这些公司大多没有能力投资网络安全分析产品。那这些中小型企业该如何改善企业网络安全呢? 答案是,便携式网络取证工具包。成本低得多,但仍能按需对网络的任何网段进行实时取证分析。 即使是大型多分支机构也不能否认它的实用性和好处。在网络攻击案例中,分支机构与总部断开连接,而本地IT团队希望对分支机构的内部网络进行取证分析。或者,如果由于内部连接问题,网络分析仪设备被隔离在数据中心内,该怎么办?在这种情况下,即使是大型企业,在很短得调查时间内,也会青睐便携式取证工具包。 二、构建便携式网络取证套件 接下来我们将介绍构建用于取证分析的便携式套件的三个基本工具。 1、一台笔记本电脑 首先需要一台笔记本电脑。 1)最低规格:4GB内存、容量至少500GB的快速存储设备(SSD)、1Gbps网卡、USB 3.0端口和3小时的备用电池。 2)我们强烈推荐使用基于SSD(固态硬盘)的存储设备,因为它们比硬盘快得多,这种速度有利于正确捕获。开始对网络进行取证分析之前,首先需要在笔记本电脑上捕获和存储数据包。如果能在安全危机期间尽快存储和解析数据包,固态硬盘存储将为您带来显著的时间优势。硬盘的最大磁盘写入速度一般为 100 MB/s,相比之下,固态硬盘的磁盘写入速度要快得多,可达500MB/s(某些固态硬盘甚至更高)。 3)这台笔记本电脑不应该是IT团队日常使用的机器,因为这意味着上面安装了大量应用程序,注册表会发生重大变化,内存负荷也会增加,从而导致性能降低。相反,这台笔记本电脑应该是专用于特殊用途的特定机器,如取证分析或现场故障排除。下一节将解释对USB 3.0端口的要求。 2、数据包分析器 接下来,需要一个数据包分析器(也称为数据包嗅探器),它是一种可以记录、解析和分析通过网络的流量的工具(软件或硬件)。当数据在网络上流动时,数据包分析器接收捕获的数据包并解码数据包的原始数据,显示数据包中各个字段的值(例如 TCP 标头、会话详细信息等)。你可以根据相应的 RFC 规范分析这些值,以推断数据包在网络点之间传输期间是否存在任何异常行为。 3、便携式网络分路器 为了进行网络取证,需要有一个特定的数据包捕获设备,可以拦截并捕获实时流量中的数据包。在端口镜像(SPAN)和网络TAP两种捕获数据包的方法中,后者更可靠、更准确。TAP能够捕获线路上的数据包,保证100%实时捕获实时流量中的数据包。TAP被广泛用于安全应用程序,因为它们是非侵入式的,并且在网络上无法检测到,并且没有物理或逻辑地址。因此,取证团队可以以隐形模式执行他们的活动。 在当今可用的各种类型的TAP中,便携式TAP能够灵活地在现场携带并在任何位置立即部署,因而迅速普及开来。如何选择便携式TAP呢?必要的两个条件的是:一是功能足够强大,足以承担全部流量;二是便携容易部署。 三、法证分析 这里给大家补充一些关于法证分析的知识,你可以从几个基本步骤开始,进行取证分析。 1、检查活动时间 事件计时(即事件之间的时间)对于识别网络中是否存在恶意活动至关重要。在短时间内(例如几百毫秒甚至几秒)发生的事件表明这些事件是由机器人或恶意软件生成的。例如,在几毫秒内从同一源IP接收到针对单个网站的数十个DNS请求,或者在几毫秒内从多个源IP接 收到针对单个网站的多个DNS请求,这些示例表明这些请求可能是由自动化生成的。由机器人或恶意软件启动的脚本。 2、检查DNS流量 由于DNS是所有发送到 Internet 的请求的主要处理程序,因此应检查DNS服务器的流量活动。如果网络中存在流氓系统或网络蠕虫,并且有可能与Internet建立出站连接,那么你可以在DNS服务器上检测到其恶意活动。如果在短时间内(例如几百毫秒)看到来自同一源IP的连接请求数量异常高,那么这可能是恶意活动,可以深入挖掘数据包标头以进一步调查。如果你的DNS服务器受到大量请求的轰炸,它很可能受到DoS攻击。 3、检查中间人攻击 这是组织网络中最常见的攻击之一,中间人(MitM)攻击是攻击者试图通过充当网络中可信系统之一来渗透到网络中的攻击。使用过滤器选项,过滤所有数据包以仅查看ARP数据包。如果您看到大量ARP流量(广播和回复),那么这很可疑。因为在运行的网络中,所有受信任的系统通常在其缓存中都有MAC到IP的映射,所以您不应该看到一长串ARP消息。深入研究数据包标头中的源地址和目标地址,并进一步调查以查明是否正在发生MitM攻击。 4、检查DOS (DDOS)攻击 这也是最常见的攻击之一,可以在网络内部或从网络外部进行。DoS(拒绝服务)攻击的目的是消耗机器或网络的资源,最终导致实际用户无法使用。要快速识别是否发生DoS攻击,请在Wireshark中过滤查看TCP数据包。使用Wireshark上的选项查看数据包序列图,该图通过源系统和目标系统之间的箭头说明TCP连接流。如果您看到大量TCP/SYN数据包从单个源IP轰炸到目标服务器IP,并且服务器IP没有回复,或者只有SYN-ACK消息但没有来自源的ACK回复,那么您最有可能正在观看实际的DoS攻击。如果您看到一长串TCP/SYN请求从多个源IP轰炸到目标服务器P,则这是DDoS(分布式拒绝服务)攻击,其中多个流氓系统攻击目标服务器,并且更具致命性比DoS攻击。 四、ProfiShark 1G作为便携式分路器的优点 1、体积小巧,真正便携,不依赖于外部电源,可以再任何位置使用。 2、2个千兆位网络端口,可以完美地结合两个流量流,通过单个监控端口进行传输。 3、利用USB 3.0的强大功能,数据传输速度高达5 Gbps。通过USB 3.0链路轻松传输2 Gbps的聚合流量流。这意味着缓冲存储器不需要丢弃任何数据包,也不需要将数据包存储足够长的时间来影响它们的时序。因为它可以轻松连接到笔记本电脑的USB端口,即插即用的最佳部分。 4、ProfiShark 1G配备了自己的基于GUI的配置软件ProfiShark Manager,它与任何网络分析仪(WireShark、Omnipeek等)并行工作,并且与Windows和Linux平台兼容。 5、ProfiShark Manager允许直接在笔记本电脑上一键捕获流量,而无需特别需要网络分析仪来捕获流量。当您需要捕获远程网段上的流量并希望通过导出PCAP文件在笔记本电脑以外的另一台计算机上分析流量时,这尤其有用。GUI还有一个计数器部分,显示两个网络端口A和B的内部计数器。这显示了有效/无效数据包的数量、CRC错误、冲突和不同的数据包大小。这是一种无需打开网络分析仪即可查看每个端口接收的流量质量的快速方法。
  • 热度 3
    2024-1-10 11:26
    370 次阅读|
    0 个评论
    来源:艾特保IT 虹科分享丨一种动态防御策略——移动目标防御(MTD) 原文链接:https://mp.weixin.qq.com/s/UrXAolKxy0735RVDEMN5ZA 欢迎关注虹科,为您提供最新资讯! 网络攻击的技术变得愈发难测,网络攻击者用多态性、混淆、加密和自我修改乔装他们的恶意软件,以此逃避防御性的检测,于是移动目标防御(MTD)技术出现了,通过动态地改变攻击面,有效地对抗日益复杂和隐蔽的网络攻击。 文章速览: 1、高级规避攻击 2、用移动目标防御对抗欺骗 -常见做法 -操作系统和应用程序才是真正的战场 -打破游戏规则 一、高级规避攻击 高级规避攻击技术可以反复修改网络攻击,包括其源、静态签名和行为签名。这些欺骗手段使传统的防御机制力不从心,攻击者明确地知道他们要攻击谁,何时何地,使用什么武器,而防御者却始终处于不确定状态。我们来看一些常见的高级规避攻击技术。 1、多态性通常被攻击者用来躲避反病毒软件的检测 通过加密恶意软件的有效载荷(包括代码和数据),攻击者可以获得两大优势:首先,攻击者可以通过使用多个加密密钥轻松生成同一恶意软件的不同实例,从而基于签名的反恶意软件设施失去作用。其次,恶意软件可以绕过更深入的静态分析,因为其代码和数据是加密的,因此不会暴露在扫描仪面前。因此防御恶意软件检测变得更加复杂。 2、多态性和变态性的目的是躲避自动扫描和内存扫描 利用混淆技术,恶意软件的编写者可以编写出人类分析人员难以理解的代码。具体做法是在有效载荷中加入模糊字符串、虚假代码和复杂的函数调用图,这些代码可以在恶意软件的每个实例中随机生成。 3、反虚拟机和反沙箱机制是另一种先进的攻击方法 沙箱和虚拟机是恶意软件分析人员必不可少的工具。这些方法可以检测恶意软件是否在虚拟化或沙盒环境中运行。如果检测到虚拟机或沙箱,恶意软件就会改变其行为,避免任何恶意行为。一旦在真实系统上执行,在被标记为良性后,恶意软件就会开始其恶意活动。 4、反调试技术被用来来避免调试和运行时分析 如果在运行过程中,恶意软件检测到调试工具正在运行,它就会改变执行路径,执行良性操作。一旦恶意软件不受运行时检查,它就会开始其恶意行为。 5、加密和有针对性的漏洞利用 为了避免被发现,URL模式、主机服务器、加密密钥和漏洞名称在每次发送时都会改变。这些漏洞利用程序还可以通过限制从同一IP地址访问漏洞利用程序的次数来躲避蜜罐。最后,某些类型的攻击只有在真正的用户交互(如网页滚动)之后才开始利用阶段。这样,攻击者就能确保在真实机器上执行,而不是进行自动动态分析。 二、用移动目标防御对抗欺骗 然而,攻击者使用的欺骗技术也可以被防御者利用来反向平衡。 移动目标防御(MTD) 就是这样一种防御技术。 (一)常见做法 在实践中,移动目标防御安全主要分为三类: -网络级MTD -主机级MTD -应用程序级MTD 1、网络级MTD 包括多年来开发的几种机制。IP跳转会改变主机的IP地址,从而增加攻击者看到的网络复杂性。后来,这一想法被扩展为允许以透明方式保持主机IP变更。通过保留真实主机的IP地址,并将每台主机与一个虚拟随机IP地址关联起来,从而实现了透明性。有些技术的目的是在网络映射和侦察阶段欺骗攻击者。这些技术包括使用随机端口号、额外开放或关闭的端口、伪造监听主机和混淆端口跟踪。 2、主机级MTD 包括更改主机和操作系统级资源、命名和配置,以欺骗攻击者。 3、应用程序级MTD 包括更改应用程序环境以欺骗攻击者。 (二)操作系统和应用程序 ——真正的战场 移动目标防御模式打破了攻防双方之间的不对称。 现在,攻击者也必须在不确定和不可预测的情况下行动。 相比网络级MTD,系统和应用程序层面的MTD更有效。 为了成功发起攻击,攻击者必须收集切实的情报,并对目标操作系统和应用程序做出假设。这些信息需要包括相关版本、配置、内存结构、资源名称等因素。如果攻击者将攻击步骤建立在错误元素(即使是一个内存地址)的基础上,攻击就会失败。 (三)打破游戏规则 Morphisec以攻击者无法追踪的方式对应用程序和操作系统进行环境修改,从而将移动目标防御提升到一个新的水平 。因此,对攻击者而言,每次函数调用、地址跳转或资源访问都有可能失败,同时攻击、其发起者和来源也会完全暴露。在这种情况下,攻击的成本会急剧上升,而成功的概率则会下降到接近于零。这些因素加在一起,使得攻击在实际和经济上都不那么可行。 移动目标防御与基于检测的保护模式截然不同 。后者必须首先检测或预测恶意活动,才能阻止其发生。人工智能和机器学习确实能更好、更快地进行检测,但也受到限制,因为要检测到威胁,需要对威胁有一定程度的了解,且高级闪避攻击仍具有不可预测性。而移动目标防御迫使攻击者在不确定的战场上作战,从而彻底改变了冲突规则。
相关资源