ntopng的最大优势之一是它能够将源自不同层和多个源的数据关联在一起。例如,ntopng可以查看IP数据包,以太网帧,并同时轮询SNMP设备。这使ntopng可以有效地执行关联并观察:
- IP地址的行为(例如,该IP是否被列入黑名单?)
- 网络中承载IP流量的MAC地址
- MAC地址的物理位置(即,给定的MAC地址以及中继和访问端口所遍历的物理交换机)
ntopng,从4.1版本开始,利用这些信息通过SNMP实现攻击缓解。换句话说,ntopng:
- 使用一种成为分数的折衷表示来确定IP是否是攻击者(客户端分数)或受害人(服务器分数)。
- 查找攻击者连接到的物理交换机和访问端口。
- 使用SNMP将访问端口关闭,从而有效地切断攻击者与健康网络的连接。
通过SNMP的缓解攻击是作为一个ntopng插件实现的,可在Enterprise M及更高版本中使用,并可从用户脚本配置页面启用。
让我们看看实际发生的情况。
在此示例中,攻击者主机192.168.2.149配置为向192.168.2.222运行端口扫描nmap-sS。ntopng,使用流量和SNMP数据能够识别主机192.168.2.149是连接到交换机192.168.2.168的千兆以太网15的接口的PcEngines。
ntopng立即检测到端口扫描
事实上,有许多以192.168.2.149为来源的警报“TCP连接被拒绝”流——apu是192.168.2.149的DNS名称。由于这种可疑的活动,192.168.2.149的分数有明显增加。
此分数足够高,可以确保通过SNMP发起的攻击缓解措施。在主机分数增加后的一分钟内,缓解措施会导致SNMP设备上的端口被关闭。
从现在开始,攻击者主机 192. 168 。2 。149有效地与网络断开连接,因此它变得无害了。现在要网络管理员进行干预,对攻击者主机进行必要的清理操作。解决问题后,可以从preferences选项中再次打开SNMP端口。
通过ntopng中实现的SNMP攻击缓解,这只是使ntopng不仅是一个监控和可视化工具,而且还可以主动防止攻击者损害网络的第一步。
接下来是通过缓解外部攻击者来保护网络的能力。nScrub是可以缓解DDoS攻击的工具的一个很好的例子。敬请关注新闻!
本文摘自ntop,写于2020年8月26日
