網路封包側錄分析入門 輕鬆找出佔線及可疑流量

本文將介紹目前各種流量側錄的方式,以及如何使用對應的軟體來側錄及分析流量。最後,則介紹如何使用便利的網管軟體ntop,來輕鬆地做出流量排名並找出可疑的流量。

開始使用ntop

接下來,簡單介紹ntop裡面一些比較有用的功能。至於其他功能,就請自行發掘使用。

首先,如圖21所示點選Summary,再點選Traffic Maps裡面的Host Map,可以看到目前區網內的電腦在與哪些國家進行連線。若集中在某些地區,就必須特別留意是否有電腦中毒,或者該電腦已成為殭屍網路的一部分。


▲圖21 查看目前區網內的電腦正與哪些國家進行連線。

點選All Protocols裡面的Traffic,如圖22所示會看到各個協定的網路使用量,能夠發現是否有特別大的網路流量,或者有未在預期中的行為等異常的現象。


▲圖22 查看各個協定的網路使用量。

若點選All Protocols裡面的Activity,則可以看到在每個時段中各IP的活躍程度,如圖23所示。若有非預期性的行為(例如在半夜有大量的連外),就必須做進一步的觀察。


▲圖23 檢查在每個時段中各個IP的活躍程度。

如圖24所示是其說明,代表該IP之網路流量在該時段占總流量的使用率。顏色越深,代表其使用比例越高。


▲圖24 顯示IP的網路流量在該時段占總流量之使用率。

然後,點選All Protocols裡面的Top Walker,再點選Last Hour,可以看到在每分鐘內每一個IP的網路流量,它以長條圖的方式顯示,若有特別大的流量可輕易找出來,這裡可以看出是否有異常的情形發生,如圖25所示。


▲圖25 檢視每分鐘內每一個IP的網路流量。

接著,針對IP協定再細看其組成。點選IP裡面的Summary再點選Traffic,如圖26所示就能夠看到每一種協定的網路使用量。


▲圖26 查看每一種協定的網路使用量。

如圖27所示,最後點選IP裡面的Traffic Directions之中的Remote to Local,查看外網主機連入內網的流量,藉以觀察有無異常的行為。


▲圖27 查看外網主機連入內網的流量。

ntop還有其他許多功能,例如繪製流量圖、匯出NetFlow、產出rrd檔及繪圖、匯出sFlow等功能,若有相關需求,請自行測試。

結語

網路流量側錄,是網路管理中很重要的一環,平常就應該熟稔其操作,準備好相關的環境,在災害發生時才能在最短的時間內找到有問題的設備或電腦,因而將損害降到最低。

<本文作者:丁光立,在ISP工作多年。對於Cisco設備較熟悉,除此之外也研究Linux,這幾年慢慢把觸角伸到資安的領域,並會在自己的blog(http://tiserle.blogspot.com/)分享一些實務上的經驗和測試心得。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!