網路封包側錄分析入門 輕鬆找出佔線及可疑流量

本文將介紹目前各種流量側錄的方式,以及如何使用對應的軟體來側錄及分析流量。最後,則介紹如何使用便利的網管軟體ntop,來輕鬆地做出流量排名並找出可疑的流量。

使用Network Tap側錄流量

在某些情形下,無法使用Switch來側錄流量。例如當使用的設備是Switching Hub時,其本身不提供側錄功能,或是Switch沒有多餘的Port可供連接,又或者設備上已經沒有使用RJ45網路接頭的空Port來銜接電腦(俗稱為電介面)。此時,可以使用Network Tap來側錄流量(以下稱Tap)。

Tap的構造很簡單,可分為光介面與電介面的機種。圖6為電介面的機種。


▲圖6 具備電介面的機種。

Tap的使用方式很簡單,它的運作方式是將從Network Port的流量複製一份到對應的Monitor Port,並把流量繼續往下送至Network的另一Port。

舉例而言,想要側錄原先接至Switch的G0/1的流量,可將該線路先接至Tap的Network A的網路接孔,再將Network B的網路接孔接回原先Switch的G0/1介面。然後,就可以將電腦的網路孔與Monitor A或B的網路孔連接,以側錄G0/1的流量。

此例中,Network A所收到的流量會複製一份到Monitor A,同樣地,Network B所收到的流量會複製一份到Monitor B,可依此方式分別側錄傳送與接收的資料,此作法與使用Cisco Switch側錄時可分為rx、tx及both的概念相近。依Tap的規格不同,有些Tap僅有一個Monitor Port,它能同時擷取到傳送及接受的資料。

Tap使用極為便利,但其缺點為進行線路改接時,會造成網路服務短暫中斷,使用時請自行評估其風險。嚴格來說,使用Tap與再介接一部Switch進行側錄的架構差異不大(若有多的Switch亦可使用相同架構來側錄流量)。

但使用Tap的好處是,不需要登入Switch進行相關設定,在緊急狀況時可節省操作時間。另外,由於Tap使用便利,一般非資訊人員亦可於遠端協助進行操作,能減少網管人員的負擔。

使用Bridge方式側錄流量

如果在手邊沒有Switch或Network Tap時,可以把Linux Machine安裝兩張網卡並設定為bridge,也能夠用以側錄流量。以下的範例使用RHEL 6.3來做示範,在操作的過程中均使用root權限。在Linux模擬Bridge功能,需要使用brctl這個程式,此程式從屬於bride-utils程式庫,因此先安裝相關程式:


brctl的全名為Ethernet Bridge Administration,檔名顧名思義為Bridge Control,在此建立一個新的Bridge介面,此為一邏輯介面:


接著,將實體介面的eth2及eth3新增至此Bridge邏輯介面:


設定完成後,使用「brctl show」指令來查看Bridge介面的狀態,如圖7所示可以看出eth2和eth3已經屬於此Bridge介面。


▲圖7 查看Bridge介面的狀態。

最後,如圖8所示使用「ifconfig br0」指令來查看是否有封包進出。


▲圖8 檢查是否有封包進出。

確認設定完成後,繼續進行側錄作業。舉例而言,想要側錄原先接至Switch的G0/1的流量,可將該線路先接至Linux Machine的eth2網路接孔,再將eth3網路接孔接回原先Switch的G0/1介面。接著,直接在Linux機器中進行側錄,該測試架構圖如圖9所示。


▲圖9 測試架構示意圖。

在Linux的環境下,使用tcpdump進行側錄。若有安裝Wireshark,亦可透過Wireshark進行側錄及分析。

首先,安裝tcpdump及其相關套件:


接著執行tcpdump指令,並使用-i參數指定側錄介面為br0,並使用-w參數將側錄結果存檔至traffic.cap,後續把檔案複製出來後,再使用圖型化介面的Wireshark開啟該檔進行分析。Tcpdump的執行指令內容如下:


另外,也可以透過tcpdump直接分析,不進行存檔(圖10),在此使用-vv參數以增加其可讀性:


▲圖10 透過tcpdump進行分析。

原則上來說,使用Linux Bridge來側錄流量的方式,與使用Switch或Network Tap,在觀念上並沒有太大的不同。但同樣地,使用Linux Bridge也需要插拔網路線,造成線路中斷將影響相關服務,請評估其風險。

在Gateway進行側錄

前述三種方式在概念上是相同的,接著介紹其他方式。一般而言,在銜接不同網段的網路時,必須透過路由器或Layer 3 Switch。在內部的電腦要上公網時,亦須透過IP分享器進行NAT轉址。

因此,在路由器或IP分享器前都能收集到所有的流量(除了內網之間非廣播的流量)。有鑑於此,在Gateway設備前進行側錄也是常見的方法之一。

在本例中,使用pfSense此一開源防火牆來驗證一般的防火牆或者IP分享器是否能夠側錄流量。登入pfSense之後,選擇Diagnostics,接著選擇其中的pfTop,就可以看到目前設備中網路流量使用情形,如圖11所示。


▲圖11 檢視設備中網路流量的使用情形。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!