攻击缓解的工作原理(通过SNMP)

ntopng的最大优势之一是它能够将源自不同层和多个源的数据关联在一起。例如,ntopng可以查看IP数据包,以太网帧,并同时轮询SNMP设备。这使ntopng可以有效地执行关联并观察:

  • IP地址行为(例如,该IP是否被列入黑名单?
  • 网络中承载IP流量的MAC地址
  • MAC地址的物理位置(即,给定的MAC地址以及中继和访问端口所遍历的物理交换机

ntopng,从4.1版本开始,利用这些信息通过SNMP实现攻击缓解。换句话说,ntopng:

  1. 使用一种成为分数的折衷表示来确定IP是否是攻击者(客户端分数)或受害人(服务器分数)。
  2. 查找攻击者连接到的物理交换机和访问端口。
  3. 使用SNMP将访问端口关闭,从而有效地切断攻击者与健康网络的连接。

通过SNMP的缓解攻击是作为一个ntopng插件实现的,可在Enterprise M及更高版本中使用,并可从用户脚本配置页面启用。

让我们看看实际发生的情况。

在此示例中,攻击者主机192.168.2.149配置为向192.168.2.222运行端口扫描nmap-sS。ntopng,使用流量和SNMP数据能够识别主机192.168.2.149是连接到交换机192.168.2.168千兆以太网15的接口的PcEngines。

ntopng立即检测到端口扫描

事实上,有许多以192.168.2.149为来源的警报“TCP连接被拒绝”流——apu192.168.2.149的DNS名称。由于这种可疑的活动,192.168.2.149的分数有明显增加。

此分数足够高,可以确保通过SNMP发起的攻击缓解措施。在主机分数增加后的一分钟内,缓解措施会导致SNMP设备上的端口被关闭。

从现在开始,攻击者主机 192. 168 2 149有效地与网络断开连接,因此它变得无害了。现在要网络管理员进行干预,对攻击者主机进行必要的清理操作。解决问题后,可以从preferences选项中再次打开SNMP端口。

通过ntopng中实现的SNMP攻击缓解,这只是使ntopng不仅是一个监控和可视化工具,而且还可以主动防止攻击者损害网络的第一步。

接下来是通过缓解外部攻击者来保护网络的能力。nScrub是可以缓解DDoS攻击的工具的一个很好的例子。敬请关注新闻!

本文摘自ntop,写于2020年8月26日