iT邦幫忙

2021 iThome 鐵人賽

DAY 17
0
Security

讓 Hacking for Dummies 一書陪我 30 天系列 第 17

Day 17 - Network Analyzers

出於書本 Chapter 8. Network Infrastructure

網路分析儀 (Network Analyzers)

允許使用者透過網路以及分析儀的資料來達到網路最佳化、安全性以及除錯等目的。通常,網路分析儀具備的功能有

  • 攔截所有的網路流量
  • 將找到的內容解釋或解碼人可讀懂的格式
  • 按照時間順序 (chronological order) 顯示內容

網路分析儀能在評估安全性以及回應安全性災害上幫助的有

  • 檢視匿名的網路流量甚至是追蹤到入侵者 (intruder)
  • 在安全性災害發生前,透過分析儀建立網路活動與性能的基準,比如像是有在使用的網路協定、使用量趨勢與 MAC address。

當網路上面有不尋常的現象發生,分析儀能夠幫助的有

  • 追蹤以及隔絕惡意的網路使用
  • 偵測惡意的木馬應用程式
  • 監控與追蹤 DoS 攻擊

來自作者的使用提示

第一,為了要攔截所有的流量,分析儀必須連到以下其中一種設備

  • 網路集線器 (hub)
  • 網路交換器 上 Monitor/Span/mirror 的通訊埠 (port)
  • 被施展 ARP 毒化 (ARP poisoning) 的網路交換器

第二,如果是想基於 網路型入侵偵測系統 (Network-based IDS) 的角度來看網路流量,可以將分析儀按照下圖來架設

https://ithelp.ithome.com.tw/upload/images/20211002/20141184UQs2WJ1fat.jpg

恩...有點超出腦袋的理解範圍了,暫停五分鐘

無論從防火牆的內側還是外側連線

因為分析儀能攔截到的資訊實在是太多了,可以優先檢查有沒有下列的問題:

  • 詭異的流量,像是不尋常數量的 ICMP 封包
  • 網路使用行為,舉例像是 Email 或是一些 P2P 軟體
  • 是不是正在被駭?像是大量流入的 UDP 或是 ICMP 請求等
  • 詭異的 hostname,比如明明你的系統名稱是有規律的像是 Computer 1,Computer 2 ...等,突然有一台的名字是 GEEKz4evUR 就很明顯有問題
  • 一些像是 SMTP、FTP、DNS 與 DHCP 等伺服器需要被注意,可能會有吃掉網路頻寬、為非法軟體提供服務或是存取自家網路主機的問題。
  • 攻擊像是 /bin/rm, /bin/ls, echo 的應用程式,還有其他如使用 SQL queryJavascript injection 等攻擊應用程式的方式。

因應對策

網路分析儀可以是好朋友也是壞朋友,好的是能夠確保安全性策略是完全被遵守的,反之也有可能變成攻擊別人的工具。

透過實體的安全性來因應

  • 請陌生人遠離機房
  • 確認一些沒有人監管的區域,像是無人使用的大廳,沒有任何的正在連接的網路連線

蛤?還有分析儀偵測工具

指的就是前面有提到的 network-based 或是 host-based 的入侵偵測系統,展開的話相信絕對又是好幾個篇幅跑不掉,就到這裡為止吧。

夜又深了...網路攻擊果然是大魔王,明天來看 DoS 攻擊!


上一篇
Day 16 - SNMP、Banner Grabbing 與 Firewall Rules
下一篇
Day 18 - DoS 攻擊
系列文
讓 Hacking for Dummies 一書陪我 30 天30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

1
CyberSerge
iT邦好手 1 級 ‧ 2021-10-02 13:47:01

不一定是hub,TAP也很常見,甚至更高端的設備也有。network analyzer是一個籠統的稱呼,使用什麼技術、收集什麼資料都有差別,通常網路最佳化+除錯所需的分析和安全性是不同的。

Network-based IDS也不一定都是照圖示部屬在防火牆外面,部屬在不同位置有不同功用。有興趣深入了解,我推薦《實戰網路安全監控:入侵偵測與因應之道 》這本書;或者參考之前鐵人賽我寫的介紹:《學習網路安全監控的30天》
https://ithelp.ithome.com.tw/users/20084806/ironman/1986

我要留言

立即登入留言