bg游戏资讯:抓住隐藏在NAT后面的罪犯,一款流量

作者: 单机游戏资讯  发布:2019-05-23

 

擎企网络小草网络流量综合管理系统(以下简称小草网管软件/小草软路由)综合智能动态带宽保障,服务器流量分析与保障、虚拟多设备管理等多项突破性技术,涵 盖流量分析、带宽管理、上网行为管理、DMZ区服务器管理,专线集中管理、企业级防火墙与路由器、负载均衡、代理上网/共享上网等功能,在网络性能、质 量、安全等方面为客户提供完整的解决方案。本产品已获得各行业客户的广泛认可,成为企业网关综合管理软件产品第一品牌。
常见的有海蜘蛛、ikuai8、RouterOS、m0n0Wall、SmoothWall、Ipcop、CoyoteLinux[1]等,这些系统共有的特点是一般对硬件要求较低,甚至只需要一台486电脑,一张软盘,两块网卡就可以安装出一台非常专业的软件防火墙,

零、绪论:

bg游戏资讯:抓住隐藏在NAT后面的罪犯,一款流量审计框架的安装以及应用。  核心交换机镜像流量审计对于企业应急响应和防患于未然至关重要,本文想通过介绍ntopng抛砖引玉讲一讲流量审计的功能和应用。

bg游戏资讯:抓住隐藏在NAT后面的罪犯,一款流量审计框架的安装以及应用。  水一篇,很小,只是一点思路记录,在工作中经常遇到的一类小问题。NAT后面的地址如何追查下去,推动网络整改不现实,总还要有一些手段来确认。

  • 安装

smoothwall是防火墙,不是软路由。

一、背景:

  安装依赖环境:

海蜘蛛

  全球IPv4地址越来越少,也越来越贵,因此大到一个组织,小到一个家庭一个人都很难获得公网IP地址,所以只能使用内网地址,从而和别人共享一个公网IP地址。在这种情况下,NAT技术诞生,传统NAT将内网发其的请求报文原地址转换成自己发往远端服务器,对回来的响应报文做反向处理,看起来有点类似于一个网络层的代理。当然也有把内网服务端口映射在公网出口地址上的,称作DNAT。这类技术在方便我们使用,节约成本,网络互联互通方面做了很多贡献。但是也带来一个严重的问题,就是追踪溯源难度变大,一旦藏在NAT后面,就是一个大的黑洞。

sudo yum install subversion autoconf automake autogen libpcap-devel GeoIP-devel hiredis-devel redis glib2-devel libxml2-devel sqlite-devel gcc-c   libtool wget libcurl-devel pango-devel cairo-devel libpng-devel git

二、追踪溯源:

  安装nDPI:协议解析库

海蜘蛛路由系统对磁盘要求并不高,只要 1 GB 存储空间即可。现在随着电子盘、CF卡、SD卡价格的持续下滑及速度不断的提升,将其作为路由系统的存储设备,具备的可靠性、稳定性、抗震性、耐高温、长寿命等特点是现普通硬盘所无法相比的。并且海蜘蛛路由也支持SSD固态硬盘安装使用,不支持SCSI及SAS接口的磁盘安装,不支持RAID模式安装。

  一般的溯源思路是,收到了监控告警或设备服务异常引发应急排查。首先确定攻击IP,一般Linux系统日志和WEB日志都能查到尝试攻击的IP。如果日志没有,也可以通过netstat或者抓包异常进程连接,确定对端IP(当然这个IP很可能经过多次NAT)。以上内容一般属于应急响应的范畴,主要目的是保障业务损失最小(定损止损),保留证据以便于后续进一步溯源。根据IP、域名等信息查询对端物理地址或具体攻击者、攻击组织是溯源的目标。除了使用威胁情报、DNS记录等手段做安全分析之外,对IP追踪就是一个大的问题。这里主要讲解如何查询NAT后面的真实IP。

git clone https://github.com/ntop/nDPI.git

cd nDPI

./configure –with-pic

make

单击海蜘蛛路由左上方logo图标即可进入海蜘蛛路由首页界面。在线用户数是指用户在线半小时以上的主机数,活动用户指经过路由上网有流量的主机数,PPP用户指以PPPoE拨号方式连接到路由的主机数。当前Web登陆到路由的计算机数量

三、技术手段:

  安装PF_RING(有libcap可以考虑不安装)

如果路由上安装了多块磁盘,或者单个磁盘空间有剩余。可以创建分区用来存储日志或做FTP服务等。

1、直接证据类:

it clone https://github.com/ntop/PF_RING.git

cd PF_RING/kernel

make

sudo insmod ./pf_ring.ko

cd ../userland

make

远程唤醒技术(WOL,Wake-on-LAN)是由网卡配合其他软硬件,可以通过局域网实现远程开机的一种技术。通过它我们可以在需要时远程控制计算机的开机,它非常适合具有远程网络管理要求的环境。远程唤醒需要网卡、主板、电源的支持和配合才能实现。

  这个没办法,唯一的直接证据就是可信的NAT网络设备的日志,例如cisco的NAT映射关系:

  安装Ntopng

bg游戏资讯:抓住隐藏在NAT后面的罪犯,一款流量审计框架的安装以及应用。静态路由

1 #show ip nat translation
git clone https://github.com/ntop/ntopng.git

cd ntopng
./autogen.sh

./configure

/usr/bin/gmake geoip \安装geoip的数据库

make

make install

x.x.x.x/24  空白(自动)  本地

图片引自互联网

  可能会出现报错,解决方法如下:

目的网路即为用户所要访问的网络,出口网关即为路由器下一跳IP的地址。

bg游戏资讯 1

中途会出现MySQL libraries not found **** 错误
yum list *mysql* | grep dev
然后把出现的mysql程序都安装上,sudo yum install ***

多线路接入是指路由器通过多条线路接入互联网,这些线路可能是相同或不同网络运营商提供的。 这种情况下可能会出现两种问题:

  这是铁证,五元组齐全标明一条会话,源地址、源端口、目的地址、目的端口、协议。有了这个证据查询到转换的原始IP,继续追踪就可以了。

  • 重要功能
  • bg游戏资讯:抓住隐藏在NAT后面的罪犯,一款流量审计框架的安装以及应用。多条同一网络运营商提供线路时,一条线路流量很大,而另外的线路没有流量,也就是说所有数据只走一条线路。

  • 多条不同网络运营商提供线路时,访问某些网站时有时候很慢,有时候却很快。例如一条中国电信和一条中国网通线路接入时,访问位于中国电信的 海蜘蛛网络科技 网站时,有时候很快,有时候却很慢。这是因为您的访问请求有时候走了中国电信的线路,它们位于同一个网络中,所以速度会很快;但有时候访问请求会走中国网通的线路,它们位于不同的网络中,要走很多弯路才能到达我们的网站,所以速度会很慢。

2、间接证据:

  1. 单机历史流量审计

针对以上两种问题,海蜘蛛路由系统提供了多线路负载均衡、带宽叠加、策略路由等多种解决方案。

  没有如此详细的日志记录,没有直接证据怎么办。还是有一些其他办法找到一些关联证据:

bg游戏资讯:抓住隐藏在NAT后面的罪犯,一款流量审计框架的安装以及应用。    毫无疑问,流量审计最重要的功能就是历史流量审计。对于应急溯源有非常重要的作用,在确定攻击时间点和攻击者IP之后,我们可以通过搜索IP或者攻击点之后的流量确定攻击路径。同时在排查完应急事件之后,我们也可以借助流量审计判断是否真正达到了“灭火”的功效,内网内是否还存在被控的相关主机。所以流量历史在应急和流量审计中都起着无可替代的作用。Ntopng提供最基础的流量审计功能。

下面将以四种情况为例来说明多线路的设置:

  (1)例如看他还访问过其他的内部服务没有,是否有记录个人特征指纹数据的,例如同一时间段访问过QQ、邮箱、或其他带有身份验证的系统,去取下相关的身份信息。当然这需要内部其他多种安全防护和审计设备的配合与支持。这类主要针对内网或者内部人员发起的攻击比较有效,因为他的其他访问行为也可以被监控记录下来。

bg游戏资讯 2

  1. 两条相同网络运营商线路的叠加,例如:两条中国电信线路叠加或两条中国网通线路叠加。

  2. 两条不同网络运营商线路的策略路由,例如:一条中国电信线路和一条中国网通线路的策略路由。

  3. 多条不同网络运营商线路的策略路由,例如:一条中国电信、一条中国网通和一条中国铁通的策略路由。

  4. 多条不同网络运营商线路的带宽叠加和策略路由,例如:两条中国电信线路带宽叠加、两条中国网通线路带宽叠加再和一条中国铁通线路做策略路由。

  (2)观察时间段和频率,虽然没有对应映射关系,但是网络设备可能记录了类似一些日志信息。根据频率时间点吻合或相似的都具有较大的嫌疑。例如通过13:43:21.137发起了6次请求,同样的虽然NAT设备没有具体记录,但是在这个时间点前后,只有一个原始IP连续在极短时间内发起六次请求,那这个原始IP就有重大嫌疑。

bg游戏资讯:抓住隐藏在NAT后面的罪犯,一款流量审计框架的安装以及应用。    通过特定时间点的流量我们也可以发现一些问题,确定攻击时间点,分析异常服务器的IP流量信息,发送和接收数据包行为,来判定行为。

功能类别

  (3)反向证据链:分析攻击手法,例如access-log显示user-agent或者其他一些cookie的值、或者扫描器、样本、域名特征啊等等。也可以帮助追查,缩小嫌疑人范围,反推攻击流程,再和仅有的NAT日志匹配。

bg游戏资讯 3 

功能特性

       2 .GeoIP信息

网吧版/免费版

   在传统行业,IDC的服务器往往发起链接的地域性是非常有规律的,举个例子。一个内网OA服务器或者邮件服务器通常情况不会与一个香港或者韩国的IP发生三次握手,基于此。我们通过Ntopng的Geoip模块我们能分析发起链接的地域规律。

企业版

bg游戏资讯 4

ISP版

  3.协议分析

mini ISP版   (最多30个内网用户)

  同理如果我们能准确的分析流量协议,往往能发现很多端倪。从安全不相关的说,比如如果我们能审计出边界出口大量P2P协议数据,我们可以判定办公网内可能有人在挂BT或者迅雷下载东西,占用带宽。换做安全相关,在一些MSF或者Samba去控制服务器的时候,由于是shellcode驻留在内存中,从系统日志层面我们只能看到别人获取了一个交互式的Shell并且登录了服务器,至于通过何种漏洞入侵的我们很难发现,通过流量信息我们能准确的获得一些线索,同时当一些日志被删除,我们无法确认黑客是否登录服务器的时候,我们可以通过SSH协议流量去进行分析。

WR505G (wifi专用版硬件)

bg游戏资讯 5

BR403G (网吧版硬件)

  • 不足

网络接入、路由功能

     首先我在使用过程中隐约感觉到了性能瓶颈,对于中小型互联网不进行二次开发应该可以直接使用。但对于亿级PV的互联网,不借助Strom等框架去处理或者二次开发,目测会血崩。其大数据的延展性并不是很好。  

支持 xDSL/PPPoE、DHCP、光纤等多种接入方式

   用过商业流量审计的同学应该知道,流量审计最重要的一点就是联合查询,然而Ntopng并没有。确切说是社区版并没有,企业版通过描述或许有这种功能。不过由于费用问题,本文没有研究。企业版的Lisence是一年490欧元,对于预算紧又需要做安全的是个不错的选择。

6 条

 

12 条

 

24 条

 

24 条

   

3 条

 

3 条

动态静态路由功能 (静态路由动态更新)

动态域名解析

动态接入方式(ADSL/PPPoE)的双线策略路由

路由表在线自动更新

外网接口绑定多个IP地址

X

X

多线路带宽/流量叠加/带宽汇聚

VLAN网络环境支持(用于有三层交换机划分VLAN的场合)

X

X

X

端口镜像(针对IP/数据包/源目的端口等复制流量)

X

X

X

端口分流 (针对IP、端口指定线路走向)

3G 移动上网接入支持 (WCDMA/CDMA2000/TD-SCDMA)

X

X

X

加无线网卡提供无线接入服务(AP)

X

VPN 功能

支持 PPTP VPN/SSL VPN/L2TP VPN/IP 隧道虚拟线路接入

X

X

通过 VPN 借线实现多线策略路由及负载

X

X

IP隧道服务端 (IPIP/GRE)

X

X

X

X

防火墙功能

支持 UPnP (即插即用)

端口映射

本文由bg游戏资讯发布于单机游戏资讯,转载请注明出处:bg游戏资讯:抓住隐藏在NAT后面的罪犯,一款流量

关键词: Linux安全基础 安全分

上一篇:进退两难,那一个夏季的沉默
下一篇:没有了