ntopng-一款流量審計框架的安裝以及應用

 

　　核心交換機鏡像流量審計對於企業應急響應和防患於未然相當重要，本文想經過介紹ntopng拋磚引玉講一講流量審計的功能和應用。

• 安裝

　　安裝依賴環境：

sudo yum install subversion autoconf automake autogen libpcap-devel GeoIP-devel hiredis-devel redis glib2-devel libxml2-devel sqlite-devel gcc-c++ libtool wget libcurl-devel pango-devel cairo-devel libpng-devel git

　　安裝nDPI：協議解析庫

git clone https://github.com/ntop/nDPI.git

cd nDPI

./configure –with-pic

make

　　安裝PF_RING(有libcap能夠考慮不安裝)

it clone https://github.com/ntop/PF_RING.git

cd PF_RING/kernel

make

sudo insmod ./pf_ring.ko

cd ../userland

make

　　安裝Ntopng

git clone https://github.com/ntop/ntopng.git

cd ntopng
./autogen.sh

./configure

/usr/bin/gmake geoip \\安裝geoip的數據庫

make

make install

　　可能會出現報錯，解決方法以下：

中途會出現MySQL libraries not found **** 錯誤
yum list \*mysql\* | grep dev
而後把出現的mysql程序都安裝上，sudo yum install ***

• 重要功能

1. 單機歷史流量審計

　　  毫無疑問，流量審計最重要的功能就是歷史流量審計。對於應急溯源有很是重要的做用，在肯定攻擊時間點和攻擊者IP以後，咱們能夠經過搜索IP或者攻擊點以後的流量肯定攻擊路徑。同時在排查完應急事件以後，咱們也能夠藉助流量審計判斷是否真正達到了「滅火」的功效，內網內是否還存在被控的相關主機。因此流量歷史在應急和流量審計中都起着無可替代的做用。Ntopng提供最基礎的流量審計功能。

　　  經過特定時間點的流量咱們也能夠發現一些問題，肯定攻擊時間點，分析異常服務器的IP流量信息，發送和接收數據包行爲，來斷定行爲。

 

       2 .GeoIP信息

　　 在傳統行業，IDC的服務器每每發起連接的地域性是很是有規律的，舉個例子。一個內網OA服務器或者郵件服務器一般狀況不會與一個香港或者韓國的IP發生三次握手，基於此。咱們經過Ntopng的Geoip模塊咱們能分析發起連接的地域規律。

　　3.協議分析

　　同理若是咱們能準確的分析流量協議，每每能發現不少端倪。從安全不相關的說，好比若是咱們能審計出邊界出口大量P2P協議數據，咱們能夠斷定辦公網內可能有人在掛BT或者迅雷下載東西，佔用帶寬。換作安全相關，在一些MSF或者Samba去控制服務器的時候，因爲是shellcode駐留在內存中，從系統日誌層面咱們只能看到別人獲取了一個交互式的Shell而且登陸了服務器，至於經過何種漏洞入侵的咱們很難發現，經過流量信息咱們能準確的得到一些線索，同時當一些日誌被刪除，咱們沒法確認黑客是否登陸服務器的時候，咱們能夠經過SSH協議流量去進行分析。

• 不足

     首先我在使用過程當中隱約感受到了性能瓶頸，對於中小型互聯網不進行二次開發應該能夠直接使用。但對於億級PV的互聯網，不借助Strom等框架去處理或者二次開發，目測會血崩。其大數據的延展性並非很好。　　

用過商業流量審計的同窗應該知道，流量審計最重要的一點就是聯合查詢，然而Ntopng並無。確切說是社區版並無，企業版經過描述或許有這種功能。不過因爲費用問題，本文沒有研究。企業版的Lisence是一年490歐元，對於預算緊又須要作安全的是個不錯的選擇。