網路流量管理 月 系統架構 ≯網路流量檢測 網路設定監挫 綱安事件偵測 心得 XXX
網路流量管理 ➢前言 ➢系統架構 ➢網路流量檢測 ➢網路設定監控 ➢網安事件偵測 ➢心得 XXX
刖音 ·網路的發展在近年來持續的成長,如何讓現有有 限的頻寬做最好的應用是現今網管工作人員重要 的課題’但要能有效的掌握現階段的網路使用情 形,網路流量分析是不可或缺的評估項目。暸解 和掌握綱路上的使用狀況一直是網路管理者非常 關切的問題,因為在目前絹路頻寬不是的狀況下 如何對現有的網路做調整和對未來的設備擴充作 預估’這些重要的評估都必須在對於現階段綱路 的使用狀況能有充分了解的基礎上’才能客觀的 做岀合理的決定。要了解網路狀況最重要的關鍵 在於瞭解網路的流量及相關各類網路服務的使用 情形°
前言 • 網路的發展在近年來持續的成長,如何讓現有有 限的頻寬做最好的應用是現今網管工作人員重要 的課題,但要能有效的掌握現階段的網路使用情 形,網路流量分析是不可或缺的評估項目。暸解 和掌握網路上的使用狀況一直是網路管理者非常 關切的問題,因為在目前網路頻寬不足的狀況下, 如何對現有的網路做調整和對未來的設備擴充作 預估,這些重要的評估都必須在對於現階段網路 的使用狀況能有充分了解的基礎上,才能客觀的 做出合理的決定。要了解網路狀況最重要的關鍵 在於瞭解網路的流量及相關各類網路服務的使用 情形
系統架構 ●硬體需求:一台舊電腦(以CPU為 Pentium166 RAM為32M硬碟為3G·配備一片網路卡為例) ●作業系統: Trustix1.5( Redhat linux) ●資料庫系統:使用MsQL ●Ntop主程式:封包擷取元件丶封包分析元件丶迷 他管理程式,但是都要錢此程式是免費 專門針對小型網路)
系統架構 ⚫ 硬體需求:一台舊電腦(以CPU為Pentium 166, RAM為32M,硬碟為3G,配備一片網路卡 為例) ⚫ 作業系統:Trustix 1.5(RedHat Linux) ⚫ 資料庫系統:使用MySQL ⚫ Ntop主程式:封包擷取元件、封包分析元件、迷 你網頁伺服器及資料庫客戶端 (市面上還有其 他管理程式,但是都要錢,此程式是免費, 專門針對小型網路)
網路流量檢測 Ntop對每一台可見的主機’均對其資訊傳輸活動加以記錄 包括 ˇ資料傳送及接收:依據不冋的通訊協定分別統計其傳送及 接收的資料量與封包數量 √P多址廣播∶對發出或接收多址廣播( multicast的主機分 別記錄其傳輸量及封包數量。 √TCP連線記錄∶目前已建立的網路連線’及其相關流量資 料 ∪DP資料傳輸量及其通訊埠 √TCP與UDP服務項目 √作業系統名稱 √個別主機的頻寬使用率
網路流量檢測 Ntop對每一台可見的主機,均對其資訊傳輸活動加以記錄, 包括: ✓ 資料傳送及接收:依據不同的通訊協定分別統計其傳送及 接收的資料量與封包數量。 ✓ IP多址廣播:對發出或接收多址廣播(multicast)的主機分 別記錄其傳輸量及封包數量。 ✓ TCP連線記錄:目前已建立的網路連線,及其相關流量資 料。 ✓ UDP資料傳輸量及其通訊埠。 ✓ TCP與UDP服務項目。 ✓ 作業系統名稱。 ✓ 個別主機的頻寬使用率
ntop亦對網路整體流量分類統計 流量分佈情形:區分為本網路主機之間 本網路與外部網路之間丶外部綱路與本網 路之間的網路流量統計 封包分佈情形∶依據封包大小、廣播型態 及P與非P等加以分類及統計 協定使用及分佈情形:本網路各主機傳送 與接收資料所使用的通訊協定種類與資料 傳輸量
ntop亦對網路整體流量分類統計 • 流量分佈情形:區分為本網路主機之間、 本網路與外部網路之間、外部網路與本網 路之間的網路流量統計。 • 封包分佈情形:依據封包大小、廣播型態 及IP與非IP等加以分類及統計。 • 協定使用及分佈情形:本網路各主機傳送 與接收資料所使用的通訊協定種類與資料 傳輸量
網路設定監控 ·IP重複使用情形。 擅自設定路由功能或子網路遮罩設定錯誤情形。 ·網咯應用程式設定錯誤情形 ·網咯服務濫用情形∶例如機關規定瀏覽外部網站必須經由 proⅹy主機,而使用者故意規避的情形,其他如自行建置 HTTP及FTP伺服器之情形。 使用者設定不必要的通訊協定:例如在無Novl伺服器的 環境中發現IPX通訊協定之情形 過度耗用頻寬的情形:例如持續傳輸大型檔案,長時間佔 用頻寬,以致於影響他人作業之情形
網路設定監控 • IP重複使用情形。 • 擅自設定路由功能或子網路遮罩設定錯誤情形。 • 網路應用程式設定錯誤情形 • 網路服務濫用情形:例如機關規定瀏覽外部網站必須經由 proxy主機,而使用者故意規避的情形,其他如自行建置 HTTP及FTP伺服器之情形。 • 使用者設定不必要的通訊協定:例如在無Novell伺服器的 環境中發現IPX通訊協定之情形。 • 過度耗用頻寬的情形:例如持續傳輸大型檔案,長時間佔 用頻寬,以致於影響他人作業之情形
網安事件偵測 通訊埠掃描的偵測∶通訊埠掃瞄可能是進一步λ侵行為的 前奏’故必須謹慎因應 特洛伊木馬的偵測:一些著名的木馬程式使用特定的通訊 埠’藉匚發現可疑的木馬程式·對於具有變換通訊埠功能 的木馬’則須管理人員提高警覺’隨時對可疑的通訊埠進 行追查,才能發現 阻斷服務攻擊的偵測:對於大量岀現設定SYN旗標卻無後 續連線動作的封包’持續湧向特定主機的情形,可能是 種DOS攻擊’其結果將造成受害主機耗盡其系統IP堆疊 以致於無法與其他主機建立新的連線 可疑封包的偵測
網安事件偵測 • 通訊埠掃描的偵測:通訊埠掃瞄可能是進一步入侵行為的 前奏,故必須謹慎因應。 • 特洛伊木馬的偵測:一些著名的木馬程式使用特定的通訊 埠,藉已發現可疑的木馬程式,對於具有變換通訊埠功能 的木馬,則須管理人員提高警覺,隨時對可疑的通訊埠進 行追查,才能發現。 • 阻斷服務攻擊的偵測:對於大量出現設定SYN旗標卻無後 續連線動作的封包,持續湧向特定主機的情形,可能是一 種DOS攻擊,其結果將造成受害主機耗盡其系統IP堆疊, 以致於無法與其他主機建立新的連線 • 可疑封包的偵測
得 網路流量偵測·不但能使我們了解到網路上的情 形·更可以進行網路安全的偵測·探索網路流量 相當等於去了解網路上使用者的行為反應·這對 了解網路生態環境·並對現有網路資源做最有價 值運用的提供了一個重要的指標。不但如此對於 未來下一代的網路規劃·現階段網路流量亦是· 個重要的參考依據·在未來網路調整頻寬上,也 能發展岀更好的網路管理技術·提升網路方面上 的能力!!
心得 • 網路流量偵測,不但能使我們了解到網路上的情 形,更可以進行網路安全的偵測,探索網路流量 相當等於去了解網路上使用者的行為反應,這對 了解網路生態環境,並對現有網路資源做最有價 值運用的提供了一個重要的指標。不但如此對於 未來下一代的網路規劃,現階段網路流量亦是一 個重要的參考依據,在未來網路調整頻寬上,也 能發展出更好的網路管理技術,提升網路方面上 的能力!!