iT邦幫忙

0

[網絡安全]公司網絡流量異常高. 請問如何找出"狼人"?

事源: 公司firewall層面記錄中, 每過一分鐘網絡流量就會異常升高.
(這個firewall好像因為沒有內置硬盤, 所以沒有詳細report 功能)

大家有沒有什麼想法, 找出"狼人"。

看更多先前的討論...收起先前的討論...
最快速簡便可行的方法:查用戶端哪一個Port燈閃的最快,表示傳輸越頻繁、吃流量越高
slime iT邦大師 1 級 ‧ 2019-07-29 09:34:14 檢舉
先問 firewall 是哪一台? 網路結構中有沒有其他具網管功能(先從 SNMP 開始)的設備?
danielp2 iT邦新手 4 級 ‧ 2019-07-29 09:41:27 檢舉
@Ken(Bigcandy) : 這個方法很簡單又有可行性, 唯一困難是需要要望50部以上設備.....

@slime: 應該是 fortigate 100e, 目前沒有網管功能.
3CBrian iT邦新手 1 級 ‧ 2019-07-29 09:53:28 檢舉
沒事
harrytsai iT邦新手 4 級 ‧ 2019-07-29 10:50:20 檢舉
fortiView裡面就看的到了
danielp2 iT邦新手 4 級 ‧ 2019-07-29 13:36:59 檢舉
@harrytsai 這個功能很直觀,又簡單易明。可能因為沒有HDD的關係, 所以記錄上的數據都是近期。
danielp2 iT邦新手 4 級 ‧ 2019-07-29 13:47:57 檢舉
@taiwanbrian: 我又何嘗不是想對上司說"沒事"
Fortiview應該可以設定到1小時
2
bluegrass
iT邦高手 1 級 ‧ 2019-07-29 10:10:13
最佳解答

Fortigate 100e 可以登記連接免費的FORTICLOUD

再把FIREWALL LOG更新到CLOUD上, 7日免費

夠你去抓人了

Log > Log Settings > Send Logs to FortiCloud

https://ithelp.ithome.com.tw/upload/images/20190729/20102031EZtCfoLjQR.jpg

danielp2 iT邦新手 4 級 ‧ 2019-07-29 10:55:13 檢舉

感謝你的回答
早前有考慮用NAS做FIREWALL LOG的 log sever.
但初步目測原有記錄中(24小時), 沒有流量記錄的字眼.

但我試試這個方法, 看看是否可行。

log中sendbyte recvbyte 是需要自己去處理的.
forticloud挺好用的, 但免費就7DAYS.

1
舜~
iT邦好手 1 級 ‧ 2019-07-29 09:06:57

在紀錄中加入累計流量呢?
然後放個一陣子在看紀錄?

danielp2 iT邦新手 4 級 ‧ 2019-07-29 09:49:40 檢舉

感謝你的回答, 目前所知有2個困難點

  1. 找到累計流量最高的設備,但不像是異常每分鐘上下載的電腦
  2. 在switch紀錄累計流量的時間好像比想像長(應該是開機至今)
2
mytiny
iT邦大師 1 級 ‧ 2019-07-29 13:11:37

樓主這台FG-100E肯定不是在台灣買的
台灣地區很早就發現尾數沒有數字1的型號
在GUI的內容中是看不到 session log
所以台灣SI應該會推薦如FG-81E,FG-101E等
大陸地區SI因為只管賣,其他都很少管,所以....

因此,harrytsai大大說的FortiView應該也不行
bluegrass大大說的可以,但要熟F牌運作機制
當然,還有辦法就是查CLI手冊下指令
在下建議的辦法則是開應用程式控制
因為其特徵碼辨識為免費
防火牆安全政策開啟觀察應該會有用
除可以看到誰大量用網路流量還可以看到用在哪
之後開啟"流量塑型政策"應該就會有用

提醒樓主的OS版本會功能上有差別
還有不清楚的可以貼截圖上來比較好解決
要不就支付技術服務費給當地SI吧

bluegrass iT邦高手 1 級 ‧ 2019-07-29 14:31:13 檢舉

題外話
話說特徵碼辨識為免費.
那Cloud Application 的 routing 在沒買UTM的情況下還有效嗎?

mytiny iT邦大師 1 級 ‧ 2019-07-29 15:35:10 檢舉

在下比較囉嗦,就多說一點,請見諒!
首先,一定還是要有買硬體保固 FortiCare
其次 System Operation Settings的
Inspection Mode要改為 Flow
且 NGFW Mode要為 Policy-based
這樣才會有application辨識碼免費

然後,您說的Cloud Application 的 routing
猜想是指靜態路由內 Internet Service
此部分的數量多寡跟隨OS版本
FOS 6.0以前定址約2725個
FOS 6.2.1以後約32768個
跟UTM授權似乎沒有太大關係

FOS 5.x以前可以貼一下AV & IPS辨識資料(你懂得!)
此時應用程式辨識也會跟著更新
現在6.0以後,沒有這種好康了
沒有購買授權就會某些功能使不出來
還是要注意一下OS版本的差別

bluegrass iT邦高手 1 級 ‧ 2019-07-31 10:14:29 檢舉

FOS 5.x以前可以貼一下AV & IPS辨識資料(你懂得!)

懂,懂,懂懂懂.

1
yddd5986
iT邦新手 5 級 ‧ 2019-07-30 11:35:21

可以用兩種方式去查核一種用snmp做cacti 一種查log內的IP數量

2
archangelwu
iT邦新手 5 級 ‧ 2019-07-30 13:42:59

為何不用照妖鏡 Wireshark 來看呢?

將設定 Statistics -> Endpoints 然後 sort Bytes 就可以來抓啦~

當然其中有很多要注意的地方,例如 switch 有沒有 mirror traffic port、有沒有切 VLAN 之類的!

如果你可以專注在一台 switch 上,就可以抓取整段 VLAN 的資料!

https://ithelp.ithome.com.tw/upload/images/20190730/20110320hie4uIVF1U.png

sort Bytes 之後流進來的資料就會自動由大到小了!

我要發表回答

立即登入回答