原创 花十一一 2023-06-12 08:25 北京
流量分析篇
流量分析工具
站在安全的角度上来聊流量分析,简言之就是从众多的网络行为数据包中,根据已知特征梳理出黑客的攻击行为,并判断事件影响等级。那么如何进行流量分析呢,分为手工和自动两种方法。企业通过旁路部署流量检测设备,根据设备内置的特征库与流量进行匹配,筛选出攻击数据后在分析平台上做可视化展示。这种是自动化的方式。手动方式首先使用抓包工具捕获目标数据包,而后利用Wireshark、科莱等数据包分析软件读取流量,分析数据包特征人工判定是否存在黑客行为。以下是一些当前比较流行的开源流量分析工具:Wireshark:是一款免费的开源网络协议分析软件。它可以捕获网络数据包,并提供高级数据分析和报告。Wireshark可以处理多种协议,包括TCP、UDP、HTTP、SMTP等。下载地址:https://www.wireshark.org/download.html如下可以通过配置来抓取指定条件的流量。tcpdump:是一个常用的网络抓包工具,使用 tcpdump可以轻松地捕获到系统进来和出去的的数据包。常在 Linux、Unix 和 macOS 等操作系统上使用。下载地址:https://github.com/the-tcpdump-group/tcpdump
#抓取指定网卡的流量tcpdump -i eht0 -w test.pcap#抓取指定协议的流量tcpdump tcp -i eth0 -w test.pcap#抓取指定ip的流量tcpdump host 192.168.10.10#抓取指定端口的流量tcpdump port 80
在日常安全运营工作中,流量分析一般分为两类,一是单个攻击pcap分析,分析攻击者有木有攻击成功。这种分析主要针对特定攻击的分析,需要了解这个攻击是干什么的,有什么危害,攻击成功的特征是什么。这类分析工作相对比较简单,如果分析方法不太熟练也可以用chatgpt辅助,例如:web漏洞CVE-2020-5902(F5 BIG-IP 远程代码执行漏洞)
当然攻击者不止针对http协议进行漏洞利用,还有ssh、redis等。在分析中可以就特定攻击名称来分析相关数据包内容是否攻击成功。二是流量包分析,这类分析通常发生在企业发生安全事件,设备没有有效检出或者只是检出了个别攻击。这时候就下载失陷主机的全部流量行为进行分析,还原整个安全事件。这类分析通常有两个目标找攻击入口和找黑客资产。比如失陷主机对外只开放了redis服务,那么攻击者入侵的方法大概就和redis漏洞相关,分析流量时候首先着重关注redis协议,然后结合互联网侧公开的redis漏洞,比如redis爆破、主从复制等在流量中找特征。其次看与这台机器发生连接的IP、其他通信协议,确认下有木有C&C。通过上述两个简单案例,总结下流量分析大概思路,首先就是建立假设或者已知攻击线索,比如国外的blog公开某框架新漏洞、安全设备监测到主机上存在木马或者其他失陷线索。其次就是梳理失陷主机的对外业务,业务是黑客攻击的入口,理清业务才知道下一步分析的侧重点。接下来就是分析了。分析效率取决于流量分类技巧,把采集到的流量准确分类,不同场景的威胁分析有不同流量分类方法。大体分为如下三类:(1)协议分类,根据网络中的使用的协议将流量分成不同的类别,例如TCP、ICMP、UDP、DNS、HTTP、TLS等,通过对不同协议内容进行分析发现威胁。(2)目标主机/端口分类。筛选指定IP或者分析特定端口的响应内容。(3)数据包大小分类,分析特定大小数据包的内容。协议分类顾名思义就是按照不同协议类型进行分类,如下数据包,使用wireshark的统计功能,该流量包中有TLS、socks、http、rsl四类协议。分类后接下来就是针对特定协议进行特征分析。目标主机/端口分类这个主要是根据前期搜索到了攻击者IP或者可疑通信端口,提取指定流量。
ip.addr == 100.100.36.108tcp.port == 57184
恶意流量的数据包通常大于正常流量的数据包。因为攻击者通常会利用较大的数据包来发送恶意代码或攻击命令。因此首先需要了解正常情况下的特定协议的数据包大小范围,在此基础上如果发现数据包大小明显偏离正常范围,就可能是恶意流量。例如ICMP数据包的大小通常是64字节,其中包括8个字节的ICMP头和56字节的数据部分。另外ICMP数据包的大小可以根据需要进行调整,最大约为65,535个字节。例如在恶意icmp隧道通信中数据包的DATA往往不为64字节.杂七杂八想法
笔者也用过不少全流量类商业安全产品, 针对流量的解析后的字段,在进行自定义检索的时候各家做的有些差异, 即设备记录了很多字段信息,但是为什么不支持某些字段查询呢。或者说不同协议解析后的字段应该取哪些字段作为查询语法呢。大家展开思路想想如何提取有价值的字段。
