加入星計劃,您可以享受以下權益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴散
  • 作品版權保護
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
    • 一、網(wǎng)絡安全挑戰(zhàn)
    • 二、網(wǎng)絡流量分析的作用
    • 三、DOS 攻擊
    • 四、DDoS攻擊
    • 五、Netflow
    • 六、使用的基礎設施和軟件
    • 七、Ntopng
    • 八、VirtualBox
  • 推薦器件
  • 相關推薦
  • 電子產(chǎn)業(yè)圖譜
申請入駐 產(chǎn)業(yè)圖譜

虹科干貨 | 長文預警!使用ntopng和NetFlow/IPFIX檢測Dos攻擊(上)

04/02 12:40
1888
閱讀需 16 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點資訊討論

引導語:為了和大家探討網(wǎng)絡安全領域中的關鍵問題,我將分兩期來展示如何使用ntopng和NetFlow/IPFIX檢測Dos攻擊。在本篇中,我先簡單介紹網(wǎng)絡安全面臨的挑戰(zhàn)、為何網(wǎng)絡流量分析在應對網(wǎng)絡安全挑戰(zhàn)中起重要作用,此外,我會介紹在此次檢測中使用到的工具軟件

簡介:本文深入研究了網(wǎng)絡DoS攻擊的現(xiàn)象,并介紹了如何利用NetFlow協(xié)議進行威脅檢測和分析。通過使用工具如Ntopng和Wireshark,我們可以監(jiān)控網(wǎng)絡流量并及時識別潛在的DoS攻擊,從而保護網(wǎng)絡安全和穩(wěn)定性。同時,探討了未來的發(fā)展方向和應對策略,以建立更加健壯的網(wǎng)絡防御體系。

一、網(wǎng)絡安全挑戰(zhàn)

近年來,由于網(wǎng)絡攻擊和在線安全威脅的增加令人擔憂,造成這種增長的原因包括以下幾個方面:

  • 對技術的依賴性越來越強: 隨著我們對各種設備的依賴性增加,與互聯(lián)網(wǎng)的連接也日益緊密,這為攻擊者提供了更多的機會。網(wǎng)絡中的每個連接點都可能成為攻擊的目標,因此對網(wǎng)絡流量進行持續(xù)的監(jiān)控變得至關重要。
  • 攻擊的復雜化: 網(wǎng)絡攻擊變得越來越復雜。網(wǎng)絡犯罪分子不斷開發(fā)先進技術,如更具說服力的社會工程學攻擊、更先進的惡意軟件以及能夠繞過安全防御的針對性攻擊。這些攻擊形式的演變使得傳統(tǒng)的安全措施往往難以應對。
  • 動機多樣: 網(wǎng)絡攻擊者的動機多種多樣,包括竊取個人、財務或企業(yè)數(shù)據(jù)、工業(yè)間諜活動、勒索軟件、破壞活動等。這種多樣性使得攻擊更加廣泛,也更加難以防范。
  • 物聯(lián)網(wǎng) (IoT) 的發(fā)展: 物聯(lián)網(wǎng)的發(fā)展引入了大量的網(wǎng)絡連接設備,而這些設備往往缺乏足夠的安全標準。這些設備不僅可能成為攻擊的目標,還可以作為攻擊者實施更廣泛攻擊的接入點。
  • 威脅全球化: 互聯(lián)網(wǎng)的普及使得威脅變得全球化,攻擊者可以從世界任何地方采取行動。這種全球化的威脅加大了網(wǎng)絡安全的挑戰(zhàn),需要全球范圍內(nèi)的合作和協(xié)調來應對。
  • 缺乏意識和培訓: 缺乏網(wǎng)絡安全意識和培訓是一個關鍵因素。許多用戶缺乏對網(wǎng)絡安全的基本理解,容易成為網(wǎng)絡釣魚攻擊的受害者,或者忽視安全最佳實踐,使攻擊者更容易侵入系統(tǒng)。
  • 與加密有關的問題: 加密是網(wǎng)絡安全的重要工具,但攻擊者也可以利用它來隱藏自己的活動。端到端加密會使當局難以監(jiān)控和防止非法在線活動,這使得追蹤和阻止網(wǎng)絡威脅變得更加困難。因此,解決加密技術與安全之間的平衡成為一項重要挑戰(zhàn)。

二、網(wǎng)絡流量分析的作用

網(wǎng)絡實現(xiàn)了快速可靠的數(shù)據(jù)傳輸,促進了通信發(fā)展,并支持從交換個人信息到執(zhí)行復雜業(yè)務流程的廣泛應用。然而,這種互聯(lián)性也使網(wǎng)絡更易受到網(wǎng)絡攻擊,如何應對此類威脅?方法如下:

  • 流量實時監(jiān)控和回溯分析:網(wǎng)絡流量代表設備和服務器之間的數(shù)據(jù)流,網(wǎng)絡流量分析可以實時監(jiān)控網(wǎng)絡中的數(shù)據(jù)流量和通信模式。通過持續(xù)監(jiān)測網(wǎng)絡流量,可以及時發(fā)現(xiàn)異常行為和潛在的安全威脅,從而采取及時的防御措施。
  • 異常檢測:通過分析網(wǎng)絡流量,可以識別可疑活動,如未經(jīng)授權的訪問嘗試、如大量的數(shù)據(jù)包丟失、不尋常的通信模式、異常的數(shù)據(jù)傳輸、惡意軟件或異常行為。異常流量可能是正在進行的攻擊或試圖破壞安全的跡象。 分布式拒絕服務(DoS/DDoS)攻擊可通過監(jiān)控試圖壓垮目標系統(tǒng)的異常流量峰值來檢測。
  • 威脅識別: 網(wǎng)絡流量分析可以幫助識別各種類型的網(wǎng)絡安全威脅,包括惡意軟件傳播、網(wǎng)絡入侵、數(shù)據(jù)泄露等。通過分析網(wǎng)絡流量中的特征和模式,可以識別出潛在的攻擊行為,并采取相應的應對措施。
  • 安全事件響應:了解網(wǎng)絡流量對于快速事件響應至關重要。及早識別攻擊可隔離威脅、減輕損害并恢復安全。網(wǎng)絡流量信息可用于追蹤攻擊來源、識別被利用的漏洞并制定適當?shù)膽獙Υ胧?/li>
  • 安全策略改進: 通過對網(wǎng)絡流量的長期分析,可以識別出網(wǎng)絡安全策略的漏洞和不足之處。這有助于安全團隊改進現(xiàn)有的安全措施和策略,加強網(wǎng)絡的防御能力,提高網(wǎng)絡安全水平。
  • 保護敏感數(shù)據(jù):網(wǎng)絡流量可能包含敏感信息,仔細監(jiān)控這些流量有助于識別和保護敏感數(shù)據(jù),防止數(shù)據(jù)丟失、被盜或未經(jīng)授權的訪問。

總之,網(wǎng)絡流量是了解、檢測和應對網(wǎng)絡攻擊的寶貴信息來源。對網(wǎng)絡流量的準確分析可幫助企業(yè)加強安全,有效應對新出現(xiàn)的威脅。

三、DOS 攻擊

DOS(denial of service,拒絕服務)攻擊是一種計算機攻擊,其目的是通過各種手段使合法用戶無法正常使用資源或嚴重降低服務速度。這種攻擊的實施通常是通過限制或拒絕合法客戶端的訪問,從而耗盡系統(tǒng)(服務器)的資源,如網(wǎng)絡帶寬、CPU 處理能力或系統(tǒng)內(nèi)存。

DoS 攻擊可由單個主機實施,并且有可能被追蹤到攻擊源。其運行模式主要包括以下幾種:

  • 流量泛洪: DoS 攻擊通常會導致目標系統(tǒng)遭受大量的網(wǎng)絡流量。例如,SYN 泛洪攻擊的目的是通過向目標系統(tǒng)發(fā)送大量的SYN請求(TCP連接的三方握手的第一步),從而使系統(tǒng)超載,因為它不斷等待著從未到達的回復。
  • 耗盡資源攻擊: DoS 攻擊可能旨在耗盡系統(tǒng)的資源,包括內(nèi)存或 CPU。攻擊者通過向系統(tǒng)發(fā)送大量的請求或占用大量的系統(tǒng)資源,以使系統(tǒng)無法正常工作。
  • 協(xié)議攻擊: 有些 DoS 攻擊會利用通信協(xié)議中的特定漏洞。例如,ICMP 泛洪攻擊利用 ICMP 數(shù)據(jù)包淹沒目標系統(tǒng),從而消耗帶寬并使系統(tǒng)不可用。
  • 低速DoS攻擊: 有些 DoS 攻擊并不完全中斷服務,而是試圖使服務嚴重減速,從而使合法用戶無法正常訪問服務。這種方式下,攻擊者可能會利用系統(tǒng)的弱點或缺陷來減慢其響應速度,導致服務的延遲或不穩(wěn)定性。

四、DDoS攻擊

DDoS(Distributed Denial of Service,分布式拒絕服務)是一種 DoS 攻擊的變體,涉及分布在不同地理位置的多個設備,以增強攻擊的威力。這些被攻擊的系統(tǒng)通常是 BotNet(僵尸網(wǎng)絡) 的一部分,即一組受惡意軟件感染的機器,它們會響應攻擊者的命令,但也可以自主行動。其目的與 DoS 攻擊相同,即通過限制或拒絕合法客戶端的訪問,耗盡系統(tǒng)(服務器)的資源,如網(wǎng)絡帶寬、CPU 處理能力或系統(tǒng)內(nèi)存。

為了防止 DoS/DDoS 攻擊,企業(yè)通常會采取一些安全措施,如防火墻、入侵檢測和防御系統(tǒng)(IDS 入侵檢測系統(tǒng)/IPS 入侵防御系統(tǒng))。

在我的模擬中,我將使用 Ntopng,這是一個網(wǎng)絡分析和監(jiān)控應用程序,能夠實時分析從思科路由器傳入的 NetFlow 流量,也可以離線分析。

五、Netflow

NetFlow 是思科開發(fā)的一種用于收集、監(jiān)控和分析網(wǎng)絡流量的協(xié)議。Netflow 用于獲取網(wǎng)絡活動的詳細信息,以進行性能優(yōu)化、安全、帶寬使用、流量和異常行為檢測。

Netflow 可以發(fā)送大量信息,以下是主要信息:

圖1 Netflow字段格式

數(shù)據(jù)通過數(shù)據(jù)報(UDP)從路由器或其他網(wǎng)絡設備發(fā)送到收集器。

NetFlow 對帶寬和網(wǎng)絡開銷的影響非常小,因此非常高效。以下是 NetFlow 的一些特性:

  • 聚合數(shù)據(jù)表示:NetFlow 為通過網(wǎng)絡的每個數(shù)據(jù)包發(fā)送部分信息,因此輕便高效。它以 "流 "的形式發(fā)送匯總信息。每個流由具有共同特征(如協(xié)議、IP 地址和源/目的端口)的數(shù)據(jù)包序列表示。
  • 取樣:取樣只允許收集部分數(shù)據(jù)包,從而進一步減少了開銷,同時仍保留了具有代表性的流量樣本。
  • 協(xié)議效率:NetFlow 的設計輕便高效。數(shù)據(jù)包頭的結構設計可將開銷降至最低,數(shù)據(jù)以緊湊的方式傳輸,從而提高通信效率。

這些功能可以監(jiān)控和分析大量數(shù)據(jù),而不會使系統(tǒng)資源超負荷,因此非常實用。

六、使用的基礎設施和軟件

為了實現(xiàn)虛擬網(wǎng)絡,我們使用了 GNS3 軟件。

GNS3 是一款開源軟件,可真實模擬復雜網(wǎng)絡,無需專用網(wǎng)絡硬件。它有一個圖形界面,可在多個操作系統(tǒng)上運行:

  • Dynamips,一種可模擬思科 IOS 操作系統(tǒng)的軟件
  • VirtualBox 是運行虛擬機的免費開放源碼軟件(見下文 GNS3 - VirtualBox 集成允許虛擬機連接并放置在由思科虛擬網(wǎng)絡設備(路由器和交換機)組成的網(wǎng)絡中。)

圖2 GNS3 - VirtualBox 集成

網(wǎng)絡內(nèi)有:

  • 一個客戶端網(wǎng)絡(10.0.10.0/24),其中有一個裝有 Kali Linux 操作系統(tǒng)的客戶端,這是一個以內(nèi)置多種滲透測試工具而聞名的 Unix 發(fā)行版。
  • 服務器網(wǎng)絡(10.0.20.0/24),其中有一臺可提供網(wǎng)絡服務的服務器,這就是目標服務器,為簡化場景,該網(wǎng)絡沒有防火墻保護。
  • NetFlow 服務器網(wǎng)絡(10.0.30.0/24),我們的 NetFlow 服務器就在其中,它負責接收和收集思科路由器發(fā)送的 NetFlow 數(shù)據(jù)。
  • 在這里,我們連接了一個 Ntopng 服務器 (https://www.Ntopng.org/),它可以 "讀取 "并處理 Cisco 路由器發(fā)送的 NetFlow 數(shù)據(jù)。
  • GNS3 軟件使用的 NAT 網(wǎng)絡(192.168.56.0/24),通過 "云 NAT "設備執(zhí)行輸出和互聯(lián)網(wǎng)導航。
  • 在上述不同子網(wǎng)之間路由的 Cisco 路由器,對流量進行采樣并將其詳細信息發(fā)送到 NetFlow 服務器。

圖3 網(wǎng)絡拓撲

七、Ntopng

為了處理 NetFlow 數(shù)據(jù),我們決定使用 Ntopng 軟件。 Ntopng 是一款高效網(wǎng)絡流量監(jiān)控應用程序,旨在提供有關網(wǎng)絡活動的詳細信息。它的主要功能是實時流量分析,使網(wǎng)絡管理員能夠深入了解網(wǎng)絡活動、性能和可能存在的安全問題。

Ntopng 可以通過以下兩種主要方式讀取 NetFlow 數(shù)據(jù):

1.NetFlow 收集器(NetFlow 收集器模式):

在此模式下,Ntopng 充當 NetFlow 收集器。它接收并分析由路由器和交換機等網(wǎng)絡設備發(fā)送的 NetFlows,這些設備會生成此類數(shù)據(jù)。這些 NetFlows 包含網(wǎng)絡流量信息,如源和目標 IP 地址、端口、協(xié)議、連接持續(xù)時間和傳輸數(shù)據(jù)量。Ntopng 會處理這些 NetFlows,生成詳細的網(wǎng)絡流量報告。

這就是我們的基礎設施所使用的模式。

2.NetFlow 探測(NetFlow 探測模式):

在這種模式下,Ntopng 充當 NetFlow 探測器。它可以向要監(jiān)控的網(wǎng)絡設備發(fā)送 NetFlow 數(shù)據(jù)包,并分析其響應以獲取流量信息。當網(wǎng)絡設備不支持 NetFlow 本機生成,但仍允許流量監(jiān)控時,這種方法尤其有用。

這兩種模式都允許 Ntopng 提供有關網(wǎng)絡流量的詳細信息,識別模式和異常情況,并促進網(wǎng)絡資源的有效管理。在 NetFlow 收集模式和 NetFlow 探測模式之間做出選擇,取決于網(wǎng)絡環(huán)境的具體要求以及相關網(wǎng)絡設備中 NetFlow 功能的可用性。

在實施過程中,我們在 Ubuntu Linux 20.04lts 服務器上安裝了 Ntopng 軟件。

通過該許可證,我們可以不受限制地管理 NetFlow 流量的數(shù)量,并利用一些附加功能,如警報管理。

八、VirtualBox

Oracle VM VirtualBox 是一款免費開源軟件,用于運行 x86 和 64 位架構的虛擬機(根據(jù) GNU 通用公共許可證條款發(fā)布的精簡版),支持將 Windows、GNU/Linux 和 macOS 作為主機操作系統(tǒng),并能夠將 Windows、GNU/Linux、OS/2 Warp、BSD(如 OpenBSD、FreeBSD)以及 Solaris 和 OpenSolaris 作為客戶操作系統(tǒng)。

在我們的基礎架構中,我們在 Windows 主機上安裝了 Virtualbox,并安裝了以下虛擬機:

  • Kali Linux 虛擬機,如上所述,在客戶端網(wǎng)絡中模擬惡意和/或受感染的客戶端
  • 安裝了 Ntopng 和 Nprobe 軟件的 Ubuntu 虛擬機,用于接收和管理 NetFlow 流量
  • Ubuntu 服務器虛擬機,扮演目標/靶標角色

網(wǎng)絡地址

了解ITT-ntopng更多信息,歡迎前往【艾體寶】官方網(wǎng)站:https://haocst.com/

聯(lián)系虹科工程師:TEL:13533491614

推薦器件

更多器件
器件型號 數(shù)量 器件廠商 器件描述 數(shù)據(jù)手冊 ECAD模型 風險等級 參考價格 更多信息
KSZ8001LI 1 Microchip Technology Inc DATACOM, ETHERNET TRANSCEIVER, PQFP48
$5.15 查看
TJA1042T/3/1J 1 NXP Semiconductors TJA1042 - High-speed CAN transceiver with Standby mode SOIC 8-Pin

ECAD模型

下載ECAD模型
$1.7 查看
KSZ8863RLLI 1 Microchip Technology Inc DATACOM, LAN SWITCHING CIRCUIT, PQFP48

ECAD模型

下載ECAD模型
$5.09 查看

相關推薦

電子產(chǎn)業(yè)圖譜

虹科是一家資源整合及技術服務落地供應商,與全球頂尖公司深度技術合作,專注于制造業(yè)、汽車、生物、醫(yī)藥、測試與測量、廣播電視與媒體、通信、網(wǎng)絡安全、光電等領域,為客戶提供:智能自動化、工業(yè)物聯(lián)網(wǎng)、智能感知、數(shù)字化+AR、光電、網(wǎng)絡安全、測試測量、衛(wèi)星與無線通信、醫(yī)藥環(huán)境監(jiān)測與驗證、生命科學、汽車電子、汽車維修診斷、云科技等解決方案。虹科始終致力于為行業(yè)客戶提供創(chuàng)新及前端的產(chǎn)品和技術解決方案,為科技社會發(fā)展助力加碼。