為了和大家探討網(wǎng)絡(luò)安全領(lǐng)域中的關(guān)鍵問(wèn)題，我將分兩期來(lái)展示如何使用ntopng和NetFlow/IPFIX檢測(cè)Dos攻擊。在本篇中，我先簡(jiǎn)單介紹網(wǎng)絡(luò)安全面臨的挑戰(zhàn)、為何網(wǎng)絡(luò)流量分析在應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)中起重要作用，此外，我會(huì)介紹在此次檢測(cè)中使用到的工具軟件。

夏雨

資深網(wǎng)絡(luò)工程師

網(wǎng)絡(luò)工程師，專(zhuān)攻網(wǎng)絡(luò)通信，負(fù)責(zé)網(wǎng)絡(luò)流量監(jiān)控的產(chǎn)品技術(shù)服務(wù)和售后服務(wù)，經(jīng)驗(yàn)豐富，響應(yīng)迅速。

一

網(wǎng)絡(luò)安全挑戰(zhàn)

近年來(lái)，由于網(wǎng)絡(luò)攻擊和在線安全威脅的增加令人擔(dān)憂，造成這種增長(zhǎng)的原因包括以下幾個(gè)方面：

對(duì)技術(shù)的依賴性越來(lái)越強(qiáng)：

隨著我們對(duì)各種設(shè)備的依賴性增加，與互聯(lián)網(wǎng)的連接也日益緊密，這為攻擊者提供了更多的機(jī)會(huì)。網(wǎng)絡(luò)中的每個(gè)連接點(diǎn)都可能成為攻擊的目標(biāo)，因此對(duì)網(wǎng)絡(luò)流量進(jìn)行持續(xù)的監(jiān)控變得至關(guān)重要。

攻擊的復(fù)雜化：

網(wǎng)絡(luò)攻擊變得越來(lái)越復(fù)雜。網(wǎng)絡(luò)犯罪分子不斷開(kāi)發(fā)先進(jìn)技術(shù)，如更具說(shuō)服力的社會(huì)工程學(xué)攻擊、更先進(jìn)的惡意軟件以及能夠繞過(guò)安全防御的針對(duì)性攻擊。這些攻擊形式的演變使得傳統(tǒng)的安全措施往往難以應(yīng)對(duì)。

動(dòng)機(jī)多樣：

網(wǎng)絡(luò)攻擊者的動(dòng)機(jī)多種多樣，包括竊取個(gè)人、財(cái)務(wù)或企業(yè)數(shù)據(jù)、工業(yè)間諜活動(dòng)、勒索軟件、破壞活動(dòng)等。這種多樣性使得攻擊更加廣泛，也更加難以防范。

物聯(lián)網(wǎng) (IoT) 的發(fā)展：

物聯(lián)網(wǎng)的發(fā)展引入了大量的網(wǎng)絡(luò)連接設(shè)備，而這些設(shè)備往往缺乏足夠的安全標(biāo)準(zhǔn)。這些設(shè)備不僅可能成為攻擊的目標(biāo)，還可以作為攻擊者實(shí)施更廣泛攻擊的接入點(diǎn)。

威脅全球化：

互聯(lián)網(wǎng)的普及使得威脅變得全球化，攻擊者可以從世界任何地方采取行動(dòng)。這種全球化的威脅加大了網(wǎng)絡(luò)安全的挑戰(zhàn)，需要全球范圍內(nèi)的合作和協(xié)調(diào)來(lái)應(yīng)對(duì)。

缺乏意識(shí)和培訓(xùn)：

缺乏網(wǎng)絡(luò)安全意識(shí)和培訓(xùn)是一個(gè)關(guān)鍵因素。許多用戶缺乏對(duì)網(wǎng)絡(luò)安全的基本理解，容易成為網(wǎng)絡(luò)釣魚(yú)攻擊的受害者，或者忽視安全最佳實(shí)踐，使攻擊者更容易侵入系統(tǒng)。

與加密有關(guān)的問(wèn)題：

加密是網(wǎng)絡(luò)安全的重要工具，但攻擊者也可以利用它來(lái)隱藏自己的活動(dòng)。端到端加密會(huì)使當(dāng)局難以監(jiān)控和防止非法在線活動(dòng)，這使得追蹤和阻止網(wǎng)絡(luò)威脅變得更加困難。因此，解決加密技術(shù)與安全之間的平衡成為一項(xiàng)重要挑戰(zhàn)。

二

網(wǎng)絡(luò)流量分析的作用

網(wǎng)絡(luò)實(shí)現(xiàn)了快速可靠的數(shù)據(jù)傳輸，促進(jìn)了通信發(fā)展，并支持從交換個(gè)人信息到執(zhí)行復(fù)雜業(yè)務(wù)流程的廣泛應(yīng)用。然而，這種互聯(lián)性也使網(wǎng)絡(luò)更易受到網(wǎng)絡(luò)攻擊，如何應(yīng)對(duì)此類(lèi)威脅？方法如下：

01

流量實(shí)時(shí)監(jiān)控和回溯分析

網(wǎng)絡(luò)流量代表設(shè)備和服務(wù)器之間的數(shù)據(jù)流，網(wǎng)絡(luò)流量分析可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)流量和通信模式。通過(guò)持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)流量，可以及時(shí)發(fā)現(xiàn)異常行為和潛在的安全威脅，從而采取及時(shí)的防御措施。

02

異常檢測(cè)

通過(guò)分析網(wǎng)絡(luò)流量，可以識(shí)別可疑活動(dòng)，如未經(jīng)授權(quán)的訪問(wèn)嘗試、如大量的數(shù)據(jù)包丟失、不尋常的通信模式、異常的數(shù)據(jù)傳輸、惡意軟件或異常行為。異常流量可能是正在進(jìn)行的攻擊或試圖破壞安全的跡象。分布式拒絕服務(wù)（DoS/DDoS）攻擊可通過(guò)監(jiān)控試圖壓垮目標(biāo)系統(tǒng)的異常流量峰值來(lái)檢測(cè)。

03

威脅識(shí)別

網(wǎng)絡(luò)流量分析可以幫助識(shí)別各種類(lèi)型的網(wǎng)絡(luò)安全威脅，包括惡意軟件傳播、網(wǎng)絡(luò)入侵、數(shù)據(jù)泄露等。通過(guò)分析網(wǎng)絡(luò)流量中的特征和模式，可以識(shí)別出潛在的攻擊行為，并采取相應(yīng)的應(yīng)對(duì)措施。

04

安全事件響應(yīng)

了解網(wǎng)絡(luò)流量對(duì)于快速事件響應(yīng)至關(guān)重要。及早識(shí)別攻擊可隔離威脅、減輕損害并恢復(fù)安全。網(wǎng)絡(luò)流量信息可用于追蹤攻擊來(lái)源、識(shí)別被利用的漏洞并制定適當(dāng)?shù)膽?yīng)對(duì)措施。

05

安全策略改進(jìn)

通過(guò)對(duì)網(wǎng)絡(luò)流量的長(zhǎng)期分析，可以識(shí)別出網(wǎng)絡(luò)安全策略的漏洞和不足之處。這有助于安全團(tuán)隊(duì)改進(jìn)現(xiàn)有的安全措施和策略，加強(qiáng)網(wǎng)絡(luò)的防御能力，提高網(wǎng)絡(luò)安全水平。

06

保護(hù)敏感數(shù)據(jù)

網(wǎng)絡(luò)流量可能包含敏感信息，仔細(xì)監(jiān)控這些流量有助于識(shí)別和保護(hù)敏感數(shù)據(jù)，防止數(shù)據(jù)丟失、被盜或未經(jīng)授權(quán)的訪問(wèn)。

總之，網(wǎng)絡(luò)流量是了解、檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)攻擊的寶貴信息來(lái)源。對(duì)網(wǎng)絡(luò)流量的準(zhǔn)確分析可幫助企業(yè)加強(qiáng)安全，有效應(yīng)對(duì)新出現(xiàn)的威脅。

三

DOS 攻擊

DOS（denial of service，拒絕服務(wù)）攻擊是一種計(jì)算機(jī)攻擊，其目的是通過(guò)各種手段使合法用戶無(wú)法正常使用資源或嚴(yán)重降低服務(wù)速度。這種攻擊的實(shí)施通常是通過(guò)限制或拒絕合法客戶端的訪問(wèn)，從而耗盡系統(tǒng)（服務(wù)器）的資源，如網(wǎng)絡(luò)帶寬、CPU 處理能力或系統(tǒng)內(nèi)存。

DoS 攻擊可由單個(gè)主機(jī)實(shí)施，并且有可能被追蹤到攻擊源。其運(yùn)行模式主要包括以下幾種：

流量泛洪：

DoS 攻擊通常會(huì)導(dǎo)致目標(biāo)系統(tǒng)遭受大量的網(wǎng)絡(luò)流量。例如，SYN 泛洪攻擊的目的是通過(guò)向目標(biāo)系統(tǒng)發(fā)送大量的SYN請(qǐng)求（TCP連接的三方握手的第一步），從而使系統(tǒng)超載，因?yàn)樗粩嗟却鴱奈吹竭_(dá)的回復(fù)。

耗盡資源攻擊：

DoS 攻擊可能旨在耗盡系統(tǒng)的資源，包括內(nèi)存或 CPU。攻擊者通過(guò)向系統(tǒng)發(fā)送大量的請(qǐng)求或占用大量的系統(tǒng)資源，以使系統(tǒng)無(wú)法正常工作。

協(xié)議攻擊：

有些 DoS 攻擊會(huì)利用通信協(xié)議中的特定漏洞。例如，ICMP 泛洪攻擊利用 ICMP 數(shù)據(jù)包淹沒(méi)目標(biāo)系統(tǒng)，從而消耗帶寬并使系統(tǒng)不可用。

低速DoS攻擊：

有些 DoS 攻擊并不完全中斷服務(wù)，而是試圖使服務(wù)嚴(yán)重減速，從而使合法用戶無(wú)法正常訪問(wèn)服務(wù)。這種方式下，攻擊者可能會(huì)利用系統(tǒng)的弱點(diǎn)或缺陷來(lái)減慢其響應(yīng)速度，導(dǎo)致服務(wù)的延遲或不穩(wěn)定性。

四

DDoS攻擊

DDoS（Distributed Denial of Service，分布式拒絕服務(wù)）是一種 DoS 攻擊的變體，涉及分布在不同地理位置的多個(gè)設(shè)備，以增強(qiáng)攻擊的威力。這些被攻擊的系統(tǒng)通常是 BotNet（僵尸網(wǎng)絡(luò)） 的一部分，即一組受惡意軟件感染的機(jī)器，它們會(huì)響應(yīng)攻擊者的命令，但也可以自主行動(dòng)。其目的與 DoS 攻擊相同，即通過(guò)限制或拒絕合法客戶端的訪問(wèn)，耗盡系統(tǒng)（服務(wù)器）的資源，如網(wǎng)絡(luò)帶寬、CPU 處理能力或系統(tǒng)內(nèi)存。

為了防止 DoS/DDoS 攻擊，企業(yè)通常會(huì)采取一些安全措施，如防火墻、入侵檢測(cè)和防御系統(tǒng)（IDS 入侵檢測(cè)系統(tǒng)/IPS 入侵防御系統(tǒng)）。

在我的模擬中，我將使用 Ntopng，這是一個(gè)網(wǎng)絡(luò)分析和監(jiān)控應(yīng)用程序，能夠?qū)崟r(shí)分析從思科路由器傳入的 NetFlow 流量，也可以離線分析。

五

Netflow

NetFlow 是思科開(kāi)發(fā)的一種用于收集、監(jiān)控和分析網(wǎng)絡(luò)流量的協(xié)議。Netflow 用于獲取網(wǎng)絡(luò)活動(dòng)的詳細(xì)信息，以進(jìn)行性能優(yōu)化、安全、帶寬使用、流量和異常行為檢測(cè)。

Netflow 可以發(fā)送大量信息，以下是主要信息：

圖1 Netflow字段格式

數(shù)據(jù)通過(guò)數(shù)據(jù)報(bào)（UDP）從路由器或其他網(wǎng)絡(luò)設(shè)備發(fā)送到收集器。

NetFlow 對(duì)帶寬和網(wǎng)絡(luò)開(kāi)銷(xiāo)的影響非常小，因此非常高效。以下是 NetFlow 的一些特性：

聚合數(shù)據(jù)表示：NetFlow 為通過(guò)網(wǎng)絡(luò)的每個(gè)數(shù)據(jù)包發(fā)送部分信息，因此輕便高效。它以 "流 "的形式發(fā)送匯總信息。每個(gè)流由具有共同特征（如協(xié)議、IP 地址和源/目的端口）的數(shù)據(jù)包序列表示。

取樣：取樣只允許收集部分?jǐn)?shù)據(jù)包，從而進(jìn)一步減少了開(kāi)銷(xiāo)，同時(shí)仍保留了具有代表性的流量樣本。

協(xié)議效率：NetFlow 的設(shè)計(jì)輕便高效。數(shù)據(jù)包頭的結(jié)構(gòu)設(shè)計(jì)可將開(kāi)銷(xiāo)降至最低，數(shù)據(jù)以緊湊的方式傳輸，從而提高通信效率。

這些功能可以監(jiān)控和分析大量數(shù)據(jù)，而不會(huì)使系統(tǒng)資源超負(fù)荷，因此非常實(shí)用。

六

使用的基礎(chǔ)設(shè)施和軟件

為了實(shí)現(xiàn)虛擬網(wǎng)絡(luò)，我們使用了 GNS3 軟件。

GNS3 是一款開(kāi)源軟件，可真實(shí)模擬復(fù)雜網(wǎng)絡(luò)，無(wú)需專(zhuān)用網(wǎng)絡(luò)硬件。它有一個(gè)圖形界面，可在多個(gè)操作系統(tǒng)上運(yùn)行：

Dynamips，一種可模擬思科 IOS 操作系統(tǒng)的軟件

VirtualBox 是運(yùn)行虛擬機(jī)的免費(fèi)開(kāi)放源碼軟件（見(jiàn)下文 GNS3 - VirtualBox 集成允許虛擬機(jī)連接并放置在由思科虛擬網(wǎng)絡(luò)設(shè)備（路由器和交換機(jī)）組成的網(wǎng)絡(luò)中。）

圖2 GNS3 - VirtualBox 集成

網(wǎng)絡(luò)內(nèi)有：

一個(gè)客戶端網(wǎng)絡(luò)（10.0.10.0/24），其中有一個(gè)裝有 Kali Linux 操作系統(tǒng)的客戶端，這是一個(gè)以內(nèi)置多種滲透測(cè)試工具而聞名的 Unix 發(fā)行版。

服務(wù)器網(wǎng)絡(luò)（10.0.20.0/24），其中有一臺(tái)可提供網(wǎng)絡(luò)服務(wù)的服務(wù)器，這就是目標(biāo)服務(wù)器，為簡(jiǎn)化場(chǎng)景，該網(wǎng)絡(luò)沒(méi)有防火墻保護(hù)。

NetFlow 服務(wù)器網(wǎng)絡(luò)（10.0.30.0/24），我們的 NetFlow 服務(wù)器就在其中，它負(fù)責(zé)接收和收集思科路由器發(fā)送的 NetFlow 數(shù)據(jù)。

在這里，我們連接了一個(gè) Ntopng 服務(wù)器 (https://www.Ntopng.org/)，它可以 "讀取 "并處理 Cisco 路由器發(fā)送的 NetFlow 數(shù)據(jù)。

GNS3 軟件使用的 NAT 網(wǎng)絡(luò)（192.168.56.0/24），通過(guò) "云 NAT "設(shè)備執(zhí)行輸出和互聯(lián)網(wǎng)導(dǎo)航。

在上述不同子網(wǎng)之間路由的 Cisco 路由器，對(duì)流量進(jìn)行采樣并將其詳細(xì)信息發(fā)送到 NetFlow 服務(wù)器。

圖3 網(wǎng)絡(luò)拓?fù)鋱D

七

Ntopng

為了處理 NetFlow 數(shù)據(jù)，我們決定使用 Ntopng 軟件。Ntopng 是一款高效網(wǎng)絡(luò)流量監(jiān)控應(yīng)用程序，旨在提供有關(guān)網(wǎng)絡(luò)活動(dòng)的詳細(xì)信息。它的主要功能是實(shí)時(shí)流量分析，使網(wǎng)絡(luò)管理員能夠深入了解網(wǎng)絡(luò)活動(dòng)、性能和可能存在的安全問(wèn)題。

Ntopng 可以通過(guò)以下兩種主要方式讀取 NetFlow 數(shù)據(jù)：

01

NetFlow 收集器（NetFlow 收集器模式）：

在此模式下，Ntopng 充當(dāng) NetFlow 收集器。它接收并分析由路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備發(fā)送的 NetFlows，這些設(shè)備會(huì)生成此類(lèi)數(shù)據(jù)。這些 NetFlows 包含網(wǎng)絡(luò)流量信息，如源和目標(biāo) IP 地址、端口、協(xié)議、連接持續(xù)時(shí)間和傳輸數(shù)據(jù)量。Ntopng 會(huì)處理這些 NetFlows，生成詳細(xì)的網(wǎng)絡(luò)流量報(bào)告。

這就是我們的基礎(chǔ)設(shè)施所使用的模式。

02

NetFlow 探測(cè)（NetFlow 探測(cè)模式）：

在這種模式下，Ntopng 充當(dāng) NetFlow 探測(cè)器。它可以向要監(jiān)控的網(wǎng)絡(luò)設(shè)備發(fā)送 NetFlow 數(shù)據(jù)包，并分析其響應(yīng)以獲取流量信息。當(dāng)網(wǎng)絡(luò)設(shè)備不支持 NetFlow 本機(jī)生成，但仍允許流量監(jiān)控時(shí)，這種方法尤其有用。

這兩種模式都允許 Ntopng 提供有關(guān)網(wǎng)絡(luò)流量的詳細(xì)信息，識(shí)別模式和異常情況，并促進(jìn)網(wǎng)絡(luò)資源的有效管理。在 NetFlow 收集模式和 NetFlow 探測(cè)模式之間做出選擇，取決于網(wǎng)絡(luò)環(huán)境的具體要求以及相關(guān)網(wǎng)絡(luò)設(shè)備中 NetFlow 功能的可用性。

在實(shí)施過(guò)程中，我們?cè)?Ubuntu Linux 20.04lts 服務(wù)器上安裝了 Ntopng 軟件。

通過(guò)該許可證，我們可以不受限制地管理 NetFlow 流量的數(shù)量，并利用一些附加功能，如警報(bào)管理。

八

VirtualBox

Oracle VM VirtualBox 是一款免費(fèi)開(kāi)源軟件，用于運(yùn)行 x86 和 64 位架構(gòu)的虛擬機(jī)（根據(jù) GNU 通用公共許可證條款發(fā)布的精簡(jiǎn)版），支持將 Windows、GNU/Linux 和 macOS 作為主機(jī)操作系統(tǒng)，并能夠?qū)?Windows、GNU/Linux、OS/2 Warp、BSD（如 OpenBSD、FreeBSD）以及 Solaris 和 OpenSolaris 作為客戶操作系統(tǒng)。

在我們的基礎(chǔ)架構(gòu)中，我們?cè)?Windows 主機(jī)上安裝了 Virtualbox，并安裝了以下虛擬機(jī)：

Kali Linux 虛擬機(jī)，如上所述，在客戶端網(wǎng)絡(luò)中模擬惡意和/或受感染的客戶端 。

安裝了 Ntopng 和 Nprobe 軟件的 Ubuntu 虛擬機(jī)，用于接收和管理 NetFlow 流量。

Ubuntu 服務(wù)器虛擬機(jī)，扮演目標(biāo)/靶標(biāo)角色。

網(wǎng)絡(luò)地址

本期內(nèi)容就到此結(jié)束，在下一篇文章中，我將會(huì)展示使用ntopng和NetFlow/IPFIX檢測(cè)Dos攻擊的操作步驟并做詳細(xì)分析。