核心交换机镜像流量审计对于企业应急响应和防患于未然至关重要,本文想通过介绍ntopng抛砖引玉讲一讲流量审计的功能和应用。

  • 安装

  安装依赖环境:

sudo yum install subversion autoconf automake autogen libpcap-devel GeoIP-devel hiredis-devel redis glib2-devel libxml2-devel sqlite-devel gcc-c++ libtool wget libcurl-devel pango-devel cairo-devel libpng-devel git

  安装nDPI:协议解析库

git clone https://github.com/ntop/nDPI.git

cd nDPI

./configure –with-pic

make

  安装PF_RING(有libcap可以考虑不安装)

it clone https://github.com/ntop/PF_RING.git

cd PF_RING/kernel

make

sudo insmod ./pf_ring.ko

cd ../userland

make

  安装Ntopng

git clone https://github.com/ntop/ntopng.git

cd ntopng
./autogen.sh ./configure /usr/bin/gmake geoip \\安装geoip的数据库 make make install

  可能会出现报错,解决方法如下:

中途会出现MySQL libraries not found **** 错误
yum list \*mysql\* | grep dev
然后把出现的mysql程序都安装上,sudo yum install ***
  • 重要功能
  1. 单机历史流量审计

    毫无疑问,流量审计最重要的功能就是历史流量审计。对于应急溯源有非常重要的作用,在确定攻击时间点和攻击者IP之后,我们可以通过搜索IP或者攻击点之后的流量确定攻击路径。同时在排查完应急事件之后,我们也可以借助流量审计判断是否真正达到了“灭火”的功效,内网内是否还存在被控的相关主机。所以流量历史在应急和流量审计中都起着无可替代的作用。Ntopng提供最基础的流量审计功能。

    通过特定时间点的流量我们也可以发现一些问题,确定攻击时间点,分析异常服务器的IP流量信息,发送和接收数据包行为,来判定行为。

2 .GeoIP信息

   在传统行业,IDC的服务器往往发起链接的地域性是非常有规律的,举个例子。一个内网OA服务器或者邮件服务器通常情况不会与一个香港或者韩国的IP发生三次握手,基于此。我们通过Ntopng的Geoip模块我们能分析发起链接的地域规律。

  3.协议分析

  同理如果我们能准确的分析流量协议,往往能发现很多端倪。从安全不相关的说,比如如果我们能审计出边界出口大量P2P协议数据,我们可以判定办公网内可能有人在挂BT或者迅雷下载东西,占用带宽。换做安全相关,在一些MSF或者Samba去控制服务器的时候,由于是shellcode驻留在内存中,从系统日志层面我们只能看到别人获取了一个交互式的Shell并且登录了服务器,至于通过何种漏洞入侵的我们很难发现,通过流量信息我们能准确的获得一些线索,同时当一些日志被删除,我们无法确认黑客是否登录服务器的时候,我们可以通过SSH协议流量去进行分析。

  • 不足

     首先我在使用过程中隐约感觉到了性能瓶颈,对于中小型互联网不进行二次开发应该可以直接使用。但对于亿级PV的互联网,不借助Strom等框架去处理或者二次开发,目测会血崩。其大数据的延展性并不是很好。  

   用过商业流量审计的同学应该知道,流量审计最重要的一点就是联合查询,然而Ntopng并没有。确切说是社区版并没有,企业版通过描述或许有这种功能。不过由于费用问题,本文没有研究。企业版的Lisence是一年490欧元,对于预算紧又需要做安全的是个不错的选择。

  

ntopng-一款流量审计框架的安装以及应用的更多相关文章

  1. EKFiddle:基于Fiddler研究恶意流量的框架

    转载自FreeBuf.COM EKFiddle是一个基于Fiddler web debugger的,用于研究漏洞利用套件.恶意软件和恶意流量的框架. 安装 下载并安装最新版本的Fiddler http ...

  2. 0818基于360开源数据库流量审计MySQL Sniffer

    开源数据库流量审计MySQL Sniffer 我最推崇的数据库安全产品就是基于流量的数据库审计,因为它不需要更改网络结构,并且也是最关键的是,不影响数据库服务器性能,不用苦口婆心的劝数据库管理员安装监 ...

  3. Django是Python下的一款网络服务器框架

    被解放的姜戈01 初试天涯   Django是Python下的一款网络服务器框架.Python下有许多款不同的框架.Django是重量级选手中最有代表性的一位.许多成功的网站和APP都基于Django ...

  4. SZhe_Scan碎遮:一款基于Flask框架的web漏洞扫描神器

    SZhe_Scan碎遮:一款基于Flask框架的web漏洞扫描神器 天幕如遮,唯我一刀可碎千里华盖,纵横四海而无阻,是谓碎遮 --取自<有匪> 写在前面 这段时间很多时间都在忙着编写该项目 ...

  5. rtvue-lowcode:一款基于uniapp框架和uview组件库的开源低代码开发平台

    rtvue-lowcode低代码开发平台 rtvue-lowcode一款基于uniapp框架和uview组件库的低代码开发平台,项目提供可视化拖拽编辑器,采用MIT开源协议,适用于app.小程序等项目 ...

  6. 几款主流PHP框架的优缺点评比

    PHP是一种在国内外都比较流行的开源服务器端脚本开发语言.能够适应大中小型项目的开发需求.我们将在这篇文章中向大家介绍几款主流PHP框架及其相关优缺点评比,作为一个参考分享给朋友们. 主要参考的PHP ...

  7. Yaf零基础学习总结2-Yaf框架的安装

    接着上一篇文章<Yaf零基础学习总结1-Yaf框架简介>我们对Yaf框架有那么一个大概的了解了,但是对于程序员来说,那些文字都是表面的,他们最想的就是开始敲代码了.当然这也是学习Yaf框架 ...

  8. windows下游戏服务器端框架Firefly安装说明及demo运行

    原地址:http://blog.csdn.net/wangqiuyun/article/details/11150503 本来公司一个网游服务器端选定了pomelo框架,后来出了个Firefly,为做 ...

  9. linux下Python网络编程框架-Twisted安装

    Twisted是python下的用来进行网络服务和应用程序编程的框架,安装Twisted前需要系统预先安装有python. 一.安装Twisted http://twistedmatrix.com/R ...

随机推荐

  1. input file图片上传预览效果

    两种方法,方法一: js代码: //头像上传预览 $("#up").change(function() { var $file = $(this); var fileObj = $ ...

  2. 原创-angularjs2不同组件间的通信

    AngualrJs2官方方法是以@Input,@Output来实现组件间的相互传值,而且组件之间必须父子关系,下面给大家提供一个简单的方法,实现组件间的传值,不仅仅是父子组件,跨模块的组件也可以实现传 ...

  3. JS-监听文本回车事件写入数据表单

    场景   ERP系统扫描输入货品编号到文本框后,触发写入记录到数据表格,并对数据进行渲染.   解决方案 通过发现回车或者换行符,则写入数据表格   代码 //监听文本框输入事件 $('#gidinp ...

  4. 用PHP删除ftp下载导致的文件空行

    使用FTP上传下载文件,如果没有设置传输方式为二进制,可能会导致文件出现空行的情况,例如: 使用PHP对文件的空行进行删除,使用正则: <?php $file = './abc.inc.php' ...

  5. ural 1297. Palindrome

    题目链接:http://acm.timus.ru/problem.aspx?space=1&num=1297 求最长回文子串 典型的后缀数组的入门题目,但是可以用更简单的方法解决,毕竟数据量比 ...

  6. vs项目和msql不兼容解决方案

    当vs的工程项目加载了libmysql.lib 即:附加包含目录,附加库目录,附加依赖项都设置好之后,如过编译出现如下: error LNK2019: 无法解析的外部符号 _mysql_real_co ...

  7. [刷题]算法竞赛入门经典(第2版) 4-9/UVa1591 - Data Mining

    书上具体所有题目:http://pan.baidu.com/s/1hssH0KO 代码:(Accepted,0 ms) #include<iostream> unsigned N, A, ...

  8. Java学习笔记——设计模式之四.代理模式

    To be, or not to be: that is the question. --<哈姆雷特> 代理模式(Proxy),为其他对象提供一种代理以控制对这个对象的访问. 上代码: p ...

  9. iOS开发之判断用户是否打开APP通知开关

    一.前言 在多数移动应用中任何时候都只能有一个应用程序处于活跃状态,如果其他应用此刻发生了一些用户感兴趣的那么通过通知机制就可以告诉用户此时发生的事情.iOS中通知机制又叫消息机制,其包括两类:一类是 ...

  10. ASP.NET Core 菜鸟之路:从Startup.cs说起

    1.前言 本文主要是以Visual Studio 2017 默认的 WebApi 模板作为基架,基于Asp .Net Core 1.0,本文面向的是初学者,如果你有 ASP.NET Core 相关实践 ...