使用ntopng和NetFlow/IPFIX檢測Dos攻擊（上）

為了和大家探討網絡安全領域中的關鍵問題，我將分兩期來展示如何使用ntopng和NetFlow/IPFIX檢測Dos攻擊。在本篇中，我先簡單介紹網絡安全面臨的挑戰、為何網絡流量分析在應對網絡安全挑戰中起重要作用，此外，我會介紹在此次檢測中使用到的工具軟件。

夏雨

資深網絡工程師

網絡工程師，專攻網絡通信，負責網絡流量監控的產品技術服務和售后服務，經驗豐富，響應迅速。

一

網絡安全挑戰

近年來，由于網絡攻擊和在線安全威脅的增加令人擔憂，造成這種增長的原因包括以下幾個方面：

對技術的依賴性越來越強：

隨著我們對各種設備的依賴性增加，與互聯網的連接也日益緊密，這為攻擊者提供了更多的機會。網絡中的每個連接點都可能成為攻擊的目標，因此對網絡流量進行持續的監控變得至關重要。

攻擊的復雜化：

網絡攻擊變得越來越復雜。網絡犯罪分子不斷開發先進技術，如更具說服力的社會工程學攻擊、更先進的惡意軟件以及能夠繞過安全防御的針對性攻擊。這些攻擊形式的演變使得傳統的安全措施往往難以應對。

動機多樣：

網絡攻擊者的動機多種多樣，包括竊取個人、財務或企業數據、工業間諜活動、勒索軟件、破壞活動等。這種多樣性使得攻擊更加廣泛，也更加難以防范。

物聯網 (IoT) 的發展：

物聯網的發展引入了大量的網絡連接設備，而這些設備往往缺乏足夠的安全標準。這些設備不僅可能成為攻擊的目標，還可以作為攻擊者實施更廣泛攻擊的接入點。

威脅全球化：

互聯網的普及使得威脅變得全球化，攻擊者可以從世界任何地方采取行動。這種全球化的威脅加大了網絡安全的挑戰，需要全球范圍內的合作和協調來應對。

缺乏意識和培訓：

缺乏網絡安全意識和培訓是一個關鍵因素。許多用戶缺乏對網絡安全的基本理解，容易成為網絡釣魚攻擊的受害者，或者忽視安全最佳實踐，使攻擊者更容易侵入系統。

與加密有關的問題：

加密是網絡安全的重要工具，但攻擊者也可以利用它來隱藏自己的活動。端到端加密會使當局難以監控和防止非法在線活動，這使得追蹤和阻止網絡威脅變得更加困難。因此，解決加密技術與安全之間的平衡成為一項重要挑戰。

二

網絡流量分析的作用

網絡實現了快速可靠的數據傳輸，促進了通信發展，并支持從交換個人信息到執行復雜業務流程的廣泛應用。然而，這種互聯性也使網絡更易受到網絡攻擊，如何應對此類威脅？方法如下：

01

流量實時監控和回溯分析

網絡流量代表設備和服務器之間的數據流，網絡流量分析可以實時監控網絡中的數據流量和通信模式。通過持續監測網絡流量，可以及時發現異常行為和潛在的安全威脅，從而采取及時的防御措施。

02

異常檢測

通過分析網絡流量，可以識別可疑活動，如未經授權的訪問嘗試、如大量的數據包丟失、不尋常的通信模式、異常的數據傳輸、惡意軟件或異常行為。異常流量可能是正在進行的攻擊或試圖破壞安全的跡象。分布式拒絕服務（DoS/DDoS）攻擊可通過監控試圖壓垮目標系統的異常流量峰值來檢測。

03

威脅識別

網絡流量分析可以幫助識別各種類型的網絡安全威脅，包括惡意軟件傳播、網絡入侵、數據泄露等。通過分析網絡流量中的特征和模式，可以識別出潛在的攻擊行為，并采取相應的應對措施。

04

安全事件響應

了解網絡流量對于快速事件響應至關重要。及早識別攻擊可隔離威脅、減輕損害并恢復安全。網絡流量信息可用于追蹤攻擊來源、識別被利用的漏洞并制定適當的應對措施。

05

安全策略改進

通過對網絡流量的長期分析，可以識別出網絡安全策略的漏洞和不足之處。這有助于安全團隊改進現有的安全措施和策略，加強網絡的防御能力，提高網絡安全水平。

06

保護敏感數據

網絡流量可能包含敏感信息，仔細監控這些流量有助于識別和保護敏感數據，防止數據丟失、被盜或未經授權的訪問。

總之，網絡流量是了解、檢測和應對網絡攻擊的寶貴信息來源。對網絡流量的準確分析可幫助企業加強安全，有效應對新出現的威脅。

三

DOS 攻擊

DOS（denial of service，拒絕服務）攻擊是一種計算機攻擊，其目的是通過各種手段使合法用戶無法正常使用資源或嚴重降低服務速度。這種攻擊的實施通常是通過限制或拒絕合法客戶端的訪問，從而耗盡系統（服務器）的資源，如網絡帶寬、CPU 處理能力或系統內存。

DoS 攻擊可由單個主機實施，并且有可能被追蹤到攻擊源。其運行模式主要包括以下幾種：

流量泛洪：

DoS 攻擊通常會導致目標系統遭受大量的網絡流量。例如，SYN 泛洪攻擊的目的是通過向目標系統發送大量的SYN請求（TCP連接的三方握手的第一步），從而使系統超載，因為它不斷等待著從未到達的回復。

耗盡資源攻擊：

DoS 攻擊可能旨在耗盡系統的資源，包括內存或 CPU。攻擊者通過向系統發送大量的請求或占用大量的系統資源，以使系統無法正常工作。

協議攻擊：

有些 DoS 攻擊會利用通信協議中的特定漏洞。例如，ICMP 泛洪攻擊利用 ICMP 數據包淹沒目標系統，從而消耗帶寬并使系統不可用。

低速DoS攻擊：

有些 DoS 攻擊并不完全中斷服務，而是試圖使服務嚴重減速，從而使合法用戶無法正常訪問服務。這種方式下，攻擊者可能會利用系統的弱點或缺陷來減慢其響應速度，導致服務的延遲或不穩定性。

四

DDoS攻擊

DDoS（Distributed Denial of Service，分布式拒絕服務）是一種 DoS 攻擊的變體，涉及分布在不同地理位置的多個設備，以增強攻擊的威力。這些被攻擊的系統通常是 BotNet（僵尸網絡） 的一部分，即一組受惡意軟件感染的機器，它們會響應攻擊者的命令，但也可以自主行動。其目的與 DoS 攻擊相同，即通過限制或拒絕合法客戶端的訪問，耗盡系統（服務器）的資源，如網絡帶寬、CPU 處理能力或系統內存。

為了防止 DoS/DDoS 攻擊，企業通常會采取一些安全措施，如防火墻、入侵檢測和防御系統（IDS 入侵檢測系統/IPS 入侵防御系統）。

在我的模擬中，我將使用 Ntopng，這是一個網絡分析和監控應用程序，能夠實時分析從思科路由器傳入的 NetFlow 流量，也可以離線分析。

五

Netflow

NetFlow 是思科開發的一種用于收集、監控和分析網絡流量的協議。Netflow 用于獲取網絡活動的詳細信息，以進行性能優化、安全、帶寬使用、流量和異常行為檢測。

Netflow 可以發送大量信息，以下是主要信息：

圖1 Netflow字段格式

數據通過數據報（UDP）從路由器或其他網絡設備發送到收集器。

NetFlow 對帶寬和網絡開銷的影響非常小，因此非常高效。以下是 NetFlow 的一些特性：

聚合數據表示：NetFlow 為通過網絡的每個數據包發送部分信息，因此輕便高效。它以 "流 "的形式發送匯總信息。每個流由具有共同特征（如協議、IP 地址和源/目的端口）的數據包序列表示。

取樣：取樣只允許收集部分數據包，從而進一步減少了開銷，同時仍保留了具有代表性的流量樣本。

協議效率：NetFlow 的設計輕便高效。數據包頭的結構設計可將開銷降至最低，數據以緊湊的方式傳輸，從而提高通信效率。

這些功能可以監控和分析大量數據，而不會使系統資源超負荷，因此非常實用。

六

使用的基礎設施和軟件

為了實現虛擬網絡，我們使用了 GNS3 軟件。

GNS3 是一款開源軟件，可真實模擬復雜網絡，無需專用網絡硬件。它有一個圖形界面，可在多個操作系統上運行：

Dynamips，一種可模擬思科 IOS 操作系統的軟件

VirtualBox 是運行虛擬機的免費開放源碼軟件（見下文 GNS3 - VirtualBox 集成允許虛擬機連接并放置在由思科虛擬網絡設備（路由器和交換機）組成的網絡中。）

圖2 GNS3 - VirtualBox 集成

網絡內有：

一個客戶端網絡（10.0.10.0/24），其中有一個裝有 Kali Linux 操作系統的客戶端，這是一個以內置多種滲透測試工具而聞名的 Unix 發行版。

服務器網絡（10.0.20.0/24），其中有一臺可提供網絡服務的服務器，這就是目標服務器，為簡化場景，該網絡沒有防火墻保護。

NetFlow 服務器網絡（10.0.30.0/24），我們的 NetFlow 服務器就在其中，它負責接收和收集思科路由器發送的 NetFlow 數據。

在這里，我們連接了一個 Ntopng 服務器 (https://www.Ntopng.org/)，它可以 "讀取 "并處理 Cisco 路由器發送的 NetFlow 數據。

GNS3 軟件使用的 NAT 網絡（192.168.56.0/24），通過 "云 NAT "設備執行輸出和互聯網導航。

在上述不同子網之間路由的 Cisco 路由器，對流量進行采樣并將其詳細信息發送到 NetFlow 服務器。

圖3 網絡拓撲圖

七

Ntopng

為了處理 NetFlow 數據，我們決定使用 Ntopng 軟件。Ntopng 是一款高效網絡流量監控應用程序，旨在提供有關網絡活動的詳細信息。它的主要功能是實時流量分析，使網絡管理員能夠深入了解網絡活動、性能和可能存在的安全問題。

Ntopng 可以通過以下兩種主要方式讀取 NetFlow 數據：

01

NetFlow 收集器（NetFlow 收集器模式）：

在此模式下，Ntopng 充當 NetFlow 收集器。它接收并分析由路由器和交換機等網絡設備發送的 NetFlows，這些設備會生成此類數據。這些 NetFlows 包含網絡流量信息，如源和目標 IP 地址、端口、協議、連接持續時間和傳輸數據量。Ntopng 會處理這些 NetFlows，生成詳細的網絡流量報告。

這就是我們的基礎設施所使用的模式。

02

NetFlow 探測（NetFlow 探測模式）：

在這種模式下，Ntopng 充當 NetFlow 探測器。它可以向要監控的網絡設備發送 NetFlow 數據包，并分析其響應以獲取流量信息。當網絡設備不支持 NetFlow 本機生成，但仍允許流量監控時，這種方法尤其有用。

這兩種模式都允許 Ntopng 提供有關網絡流量的詳細信息，識別模式和異常情況，并促進網絡資源的有效管理。在 NetFlow 收集模式和 NetFlow 探測模式之間做出選擇，取決于網絡環境的具體要求以及相關網絡設備中 NetFlow 功能的可用性。

在實施過程中，我們在 Ubuntu Linux 20.04lts 服務器上安裝了 Ntopng 軟件。

通過該許可證，我們可以不受限制地管理 NetFlow 流量的數量，并利用一些附加功能，如警報管理。

八

VirtualBox

Oracle VM VirtualBox 是一款免費開源軟件，用于運行 x86 和 64 位架構的虛擬機（根據 GNU 通用公共許可證條款發布的精簡版），支持將 Windows、GNU/Linux 和 macOS 作為主機操作系統，并能夠將 Windows、GNU/Linux、OS/2 Warp、BSD（如 OpenBSD、FreeBSD）以及 Solaris 和 OpenSolaris 作為客戶操作系統。

在我們的基礎架構中，我們在 Windows 主機上安裝了 Virtualbox，并安裝了以下虛擬機：

Kali Linux 虛擬機，如上所述，在客戶端網絡中模擬惡意和/或受感染的客戶端 。

安裝了 Ntopng 和 Nprobe 軟件的 Ubuntu 虛擬機，用于接收和管理 NetFlow 流量。

Ubuntu 服務器虛擬機，扮演目標/靶標角色。

網絡地址

本期內容就到此結束，在下一篇文章中，我將會展示使用ntopng和NetFlow/IPFIX檢測Dos攻擊的操作步驟并做詳細分析。