日常生活当中,谈到安全问题和防盗就不得不说监控系统。比如日常生活当中大家所处的小区,物业通常会在小区大门口,车库出入口,单元门,电梯,楼道,停车场.....等地方安装监控探头。有了监控系统,保安大爷用来在各个小区重点地段巡逻的任务量大大减轻;监控室一坐,拿起保温杯泡上非洲进口的枸杞想来也是美滋滋。

图片

生活中的监控系统主要有以下几个作用:

  • 发生了盗窃或某些事件时,没有当事人在场的话,就可以调取监控录像进行调查,让那些不法分子无处盾形,为公安机关提供重要的线索和证据。

  • 方便管理,如了解小区工作人员的进度及状况,来实现工作的调动及分配、不用自己亲自去现场来进行工作的分配,可以大大的节约时间和成本。

  • 可以起到预防的作用,可以对那些图谋不轨的人形成威胁,使哪些违法犯罪消除在萌芽之中。

  • 对其它突发事件的处置提供帮助和视角辅助。

总之,生活当中的监控系统对社会治安做出了不可磨灭的贡献,可以说居功甚伟。接下来我们来聊聊另外一种监控——关于网络流量的监控。

网络流量回溯产品介绍:

全方位实时监控网络流量,对数据交互、协议等流量进行检测,网络未知威胁发现、对网络故障定位、即时呈现流量情况;具备长时间,大容量的储存能力,实现对网络中的通信数据包的完整保存,做到数据包级的溯源取证。网络未知威胁发现、赋予运维人员最细粒度的可视能力,辅助网络的安全构建,提升对核心业务的运行保障能力。

功能总结:

  • 实现网络数据的实时可视分析、流量回溯分析、流量异常分析和数字取证。

  • 快速定位异常行为,大幅提升关键业务保障力度和问题处置效率。

  • 面向业务、网络和用户的流量性能监控分析,以及网络业务故障的界面判定与问题定位等。

市场上能做到流量监控的产品很多,几乎所有的网络设备都或多或少有相关的此类功能,然而能基于七层进行专业的1:1实时分析、记录、回溯的产品却寥寥无几。

接下来谈一下NTM的部署:

NTM的核心功能包含数据采集、数据管理、数据分析与数据控制四大模块。各个模块之间互相配合,形成一个有机的整体。从发现问题再到解决问题,形成一个识别-分析-溯源-管控的闭环。

图片

部署环境网络情况:

图片

网络结构为传统的三层架构,为提高可靠性,核心交换机做了堆叠,内网的路由寻址由核心交换机做统一转发,考虑到出口的负载及安全问题,出口设备为防火墙,公司现有一套VMware虚拟化平台,约5台物理服务器,因为没有多余的物理服务器,所以我把NTM部署在现有的VCenter平台上。

具体实施步奏:

1.配置核心交换机,创建镜像组Mirroringgroup 1,将交换机的G1/1/0/1口设置为观察口:

图片

2.把交换机上其余的物理接口加入镜像组Mirroringgroup 1 ;

3.配置完成后查看配置结果并验证配置是否正确:

图片

4.官网下载 NTM的安装镜像文件 www.panabit.com  

5.因为是虚拟化平台无法直接做流量镜像,所以要找一台物理服务器做网卡直通;

图片

6.考虑到镜像流量网线的长度,这里我选用最下方的物理服务器的G2口网卡做直通;

图片

7.登录VCenter,点击新建虚拟机,分配虚拟机资源用来安装系统;

图片

具体的系统安装参考官方论坛:https://bbs.panabit.com/thread-23223-1-1.html

这里注意两点:

1、管理口网卡的选择;2、管理口IP的设置;

图片

图片

安装完成后就可以通过自己设置的管理口IP进行访问啦。

访问方式:https://管理口IP 账号:admin 密码:panabit 查看系统运行状态

图片

镜像网口网卡流入情况

图片

流量诊断

图片

全网的流量及时延分析

图片

全网应用时延及重传率分析

图片

网络质量分析

图片

数据抓包功能,按需记录数据包。

图片

在需要时回溯异常流量报文找出网络中的问题

图片

重点协议分析

图片

针对主机进行IP画像

图片

总结:

NTM支持基于应用层/网络层探测,如ICMP、TCP、Tracert网络层探测,HTTP探测以及DNS解析时延、TCP三次握手时延,HTTP下载时延等,判断整个业务各个阶段交互时延、抖动、丢包,智能分析网络故障及业务故障。可保留网络流量,能够对实时和历史流量进行分析。在对安全事件分析时,可以针对攻击者进行历史数据追溯,通过上下文分析,追查攻击行为轨迹;对于近期报出的漏洞,可通过历史流量数据回溯,分析是否该漏洞已被利用。