本文將介紹目前各種流量側錄的方式,以及如何使用對應的軟體來側錄及分析流量。最後,則介紹如何使用便利的網管軟體ntop,來輕鬆地做出流量排名並找出可疑的流量。
但是,這裡僅能看出來源IP、來源Port及目的IP、目的Port,以及其傳輸的封包數量及資料量,無法看出其詳細內容。因此要設法讓pfSense產出網路封包的側錄檔。
選擇Diagnostics裡面的Packet capture,在這個頁面中,比較重要的設定如圖12所示。
|
▲圖12 在Packet capture頁面內做設定。 |
Interface可選擇要側錄的是WAN或LAN,如果有建立OpenVPN Server或IPSec,在此亦可將其選擇。由於要觀察的是從LAN出Internet的流量,因此維持預設值的WAN。
Count的部分指的是在側錄的期間要錄多少筆的資料,預設保留100筆。如圖13所示,將之修改為「0」,這樣才不會讓新的資料把舊的資料擠掉。
|
▲圖13 為了不讓舊資料消失,修改設定值為0。 |
最後,如圖14所示按下〔Start〕按鈕,開始進行側錄。在此,也可以看出上次結束側錄的時間。
|
▲圖14 按下〔Start〕按鈕開始側錄。 |
開始側錄後,如圖15所示可以看到原先的按鈕由〔Start〕變成了〔Stop〕,並且有「Packet Capture is running」的說明。
|
▲圖15 開始側錄後,介面顯示也有所不同。 |
在一段時間後,按下〔Stop〕按鈕,就可以看到先前側錄的結果。如果要直接分析的話,直接觀察下方的Packets Captured視窗,確認封包交換的情形。
如果要透過Wireshark或其他封包分析軟體來處理,則如圖16所示按下〔Download Capture〕按鈕,將檔案存檔後再進行後續處理。
|
▲圖16 按下〔Download Capture〕按鈕將檔案存檔後再進行後續處理。 |
在Gateway設備上,側錄封包是常見的手法。目前市面上較進階的防火牆大多已內建類似的功能。管理者可以直接在線上觀察封包的交換情形,或是將其側錄的結果匯出做後續處理,但是如果貴公司的設備未支援該功能,可考慮更換設備或使用前述其他方式取代。
由於網路架構不同,若在對外防火牆上側錄,可能會忽略掉部分內網的流量,在使用上要特別小心。
分辨NetFlow使用上差異
接著簡單說明一下與流量側錄類似但有著微妙差異的NetFlow。NetFlow也可以用來做流量分析,但是NetFlow並非將所有封包均送至NetFlow Server處理。
為了減少設備的負擔(通常NetFlow在較高階的機型上才提供,而此等級的設備的流量大多相當驚人),它採取抽樣的方式,因此在設定NetFlow相關設定時,會有取樣的頻率或抽樣週期的設定。
也因為NetFlow有著抽樣的特性,而非針對所有封包進行側錄,若管理者想要分析所有封包時,可能會有所遺漏,而忽略了真正想觀察的封包,因此NetFlow並不完全歸屬於側錄的類別,它比較常用來估計網路的使用量,大多當作計費的依據或計算網路流量的成長趨勢。
動手安裝ntop
最後介紹一下ntop,ntop從名稱看起來是Network Top的縮寫,它是非常便利的軟體,可用於觀察每個IP流量的使用情形、做流量排名,也可以看出每個IP在各個時段的使用量,因此也經常用來觀察電腦或伺服器是否被攻擊、中毒或者被埋藏後門,甚至變成殭屍電腦。
ntop因為安裝簡易使用便利,因此在網路上也很少有相關的教學,要為它特別撰文說明又太占篇幅,因此把它放在網路側錄的章節中做簡單的教學及使用說明。
ntop是Linux下的一個套件,能夠單獨運作,也可以整合在pfSense之類的開源防火牆軟體一併運作(但實際上還是獨立運作)。可以把它當作側錄軟體來看待,因此它也可以結合前述的Switch、Network Tap、Linux Bridge等側錄方式來收集相關資料。在本文中要示範的是將之與pfSense作整合,在Gateway上提供流量排名的功能。
在登入pfSense之後,選擇System裡面的Packages。如圖17所示,找到ntop後,按下後方的加號圖示按鈕進行安裝。
|
▲圖17 按下後方的加號按鈕開始安裝。 |
在安裝完成後,必須對ntop做相關的設定,請點選Diagnostics裡面的ntop Settings。最重要的事莫過於將「Enable ntop」選項加以勾選,讓它啟用,如圖18所示。
|
▲圖18 勾選「Enable ntop」選項。 |
先前有提到,ntop是獨立運作的,因此它也會有自己的管理用密碼,在設定後請務必牢記,如圖19所示。
|
▲圖19 設定ntop管理用密碼。 |
最後是設定要觀察的Interface,在此可依需求進行調整,如圖20所示,本例選擇LAN與WAN都做觀察。最後別忘了點選〔Save〕儲存相關設定。
|
▲圖20 選擇觀察LAN和WAN。 |
然後,就可以點選Diagnostics裡面的ntop,或點選ntop Settings後再點選其選單上的Access ntop。就可以登入ntop的使用介面,進行相關操作。