ntopng-一款流量审计框架的安装以及应用

 

　　核心交换机镜像流量审计对于企业应急响应和防患于未然相当重要，本文想经过介绍ntopng抛砖引玉讲一讲流量审计的功能和应用。

• 安装

　　安装依赖环境：

sudo yum install subversion autoconf automake autogen libpcap-devel GeoIP-devel hiredis-devel redis glib2-devel libxml2-devel sqlite-devel gcc-c++ libtool wget libcurl-devel pango-devel cairo-devel libpng-devel git

　　安装nDPI：协议解析库

git clone https://github.com/ntop/nDPI.git

cd nDPI

./configure –with-pic

make

　　安装PF_RING(有libcap能够考虑不安装)

it clone https://github.com/ntop/PF_RING.git

cd PF_RING/kernel

make

sudo insmod ./pf_ring.ko

cd ../userland

make

　　安装Ntopng

git clone https://github.com/ntop/ntopng.git

cd ntopng
./autogen.sh

./configure

/usr/bin/gmake geoip \\安装geoip的数据库

make

make install

　　可能会出现报错，解决方法以下：

中途会出现MySQL libraries not found **** 错误
yum list \*mysql\* | grep dev
而后把出现的mysql程序都安装上，sudo yum install ***

• 重要功能

1. 单机历史流量审计

　　  毫无疑问，流量审计最重要的功能就是历史流量审计。对于应急溯源有很是重要的做用，在肯定攻击时间点和攻击者IP以后，咱们能够经过搜索IP或者攻击点以后的流量肯定攻击路径。同时在排查完应急事件以后，咱们也能够借助流量审计判断是否真正达到了“灭火”的功效，内网内是否还存在被控的相关主机。因此流量历史在应急和流量审计中都起着无可替代的做用。Ntopng提供最基础的流量审计功能。

　　  经过特定时间点的流量咱们也能够发现一些问题，肯定攻击时间点，分析异常服务器的IP流量信息，发送和接收数据包行为，来断定行为。

 

       2 .GeoIP信息

　　 在传统行业，IDC的服务器每每发起连接的地域性是很是有规律的，举个例子。一个内网OA服务器或者邮件服务器一般状况不会与一个香港或者韩国的IP发生三次握手，基于此。咱们经过Ntopng的Geoip模块咱们能分析发起连接的地域规律。

　　3.协议分析

　　同理若是咱们能准确的分析流量协议，每每能发现不少端倪。从安全不相关的说，好比若是咱们能审计出边界出口大量P2P协议数据，咱们能够断定办公网内可能有人在挂BT或者迅雷下载东西，占用带宽。换作安全相关，在一些MSF或者Samba去控制服务器的时候，因为是shellcode驻留在内存中，从系统日志层面咱们只能看到别人获取了一个交互式的Shell而且登陆了服务器，至于经过何种漏洞入侵的咱们很难发现，经过流量信息咱们能准确的得到一些线索，同时当一些日志被删除，咱们没法确认黑客是否登陆服务器的时候，咱们能够经过SSH协议流量去进行分析。

• 不足

     首先我在使用过程当中隐约感受到了性能瓶颈，对于中小型互联网不进行二次开发应该能够直接使用。但对于亿级PV的互联网，不借助Strom等框架去处理或者二次开发，目测会血崩。其大数据的延展性并非很好。　　

用过商业流量审计的同窗应该知道，流量审计最重要的一点就是联合查询，然而Ntopng并无。确切说是社区版并无，企业版经过描述或许有这种功能。不过因为费用问题，本文没有研究。企业版的Lisence是一年490欧元，对于预算紧又须要作安全的是个不错的选择。