Netflow panaudojimas


4. Flows panaudojimas incidentų tyrimui

Netflow naudojamas
saugumo incidentų tyrimui ir problemų tinkle sprendimui. Jo
pagalba galima diagnozuoti lėtą tinklo veikimą, pralaidumo
naudojimą esamu laiku ir fiksuoti didelės apimties duomenų
siuntimus. Netflow gali būti panaudotas patikrinti,
ar tinkamas pralaidumas buvo paskirtas reikiamai paslaugos
klasei (angl. Class
of
Service –
CoS). Taip pat gali padėti aptikti
neautorizuotą WAN srautą, pakitimus ir diagnozuoti
kenkėjišką programinę įrangą (angl. worm).

4.1 Spam laiškus platinančių kompiuterių
identifikavimas

Patikrinti ar kompiuteris platina Spam laiškus galima
taip:

  1. Pasirenkame laiko intervalą.
  2. Pasirenkame flows rodymo režimą List
    Flows
    .
  3. Parašome filtrą:

    src ip 178.b.c.22 and dst port 25

  4. Pateiktame rezultate matome sąrašą flows:
Date       flow start  Duration Proto Src IP Addr:Port   Dst IP Addr:Port  Packets  Bytes Flows
2011-12-01 13:19:56.080  3.520  TCP   178.b.c.22:2685  ->   20.b.c.35:25       6    332   1
2011-12-01 13:19:55.887  3.264  TCP   178.b.c.22:2677  ->   20.b.c.35:25       4    186   1
2011-12-01 13:19:55.950  3.264  TCP   178.b.c.22:2681  ->   20.b.c.19:25       4    186   1
2011-12-01 13:19:56.014  3.328  TCP   178.b.c.22:2683  ->   20.b.c.12:25       4    186   1
2011-12-01 13:20:10.357  0.064  TCP   178.b.c.22:3112  ->   20.b.c.21:25       2     92   1
2011-12-01 13:20:04.467  0.256  TCP   178.b.c.22:2929  ->   20.b.c.45:25       4    186   1
2011-12-01 13:20:04.530  0.256  TCP   178.b.c.22:2941  ->   20.b.c.45:25       4    186   1
2011-12-01 13:20:04.596  0.896  TCP   178.b.c.22:2943  ->   20.b.c.134:25      6    332   1
2011-12-01 13:20:04.466  0.640  TCP   178.b.c.22:2926  ->   20.b.c.123:25      5    284   1
2011-12-01 13:20:04.533  0.192  TCP   178.b.c.22:2927  ->   20.b.c.134:25      3    138   1
2011-12-01 13:20:04.532  0.064  TCP   178.b.c.22:2925  ->   20.b.c.80:25       2     92   1
2011-12-01 13:20:04.661  0.320  TCP   178.b.c.22:2944  ->   20.b.c.93:25       4    186   1
2011-12-01 13:20:04.724  0.256  TCP   178.b.c.22:2945  ->   20.b.c.172:25      4    186   1
2011-12-01 13:20:04.788  0.512  TCP   178.b.c.22:2947  ->   20.b.c.172:25      4    186   1
2011-12-01 13:20:04.786  0.000  TCP   178.b.c.22:2921  ->   20.b.c.69:25       2     92   1
2011-12-01 13:20:04.789  0.000  TCP   178.b.c.22:2923  ->   20.b.c.253:25      2     92   1
2011-12-01 13:20:04.851  0.384  TCP   178.b.c.22:2948  ->   20.b.c.251:25      7    378   1
2011-12-01 13:20:04.915  0.064  TCP   178.b.c.22:2949  ->   20.b.c.3:25        4    186   1
2011-12-01 13:20:12.053  0.000  TCP   178.b.c.22:3180  ->   20.b.c.3:25        2     92   1
2011-12-01 13:20:12.054  0.064  TCP   178.b.c.22:3182  ->   20.b.c.3:25        3    138   1
Summary: total flows: 20, total bytes: 3736, total packets: 76, avg bps: 1841, avg pps: 4, avg bpp: 49
Time window: 2011-12-01 13:19:55 - 2011-12-01 13:20:12
Total flows processed: 100743, Blocks skipped: 0, Bytes read: 5238712
Sys: 0.012s flows/second: 8395250.0  Wall: 0.008s flows/second: 11744346.0

Iš rezultatų matome, kad
kompiuteris su IP adresu 178.b.c.22 iš tikrųjų platina
Spam laiškus. Taip yra todėl, kad matomas
labai dažnas (keletą kartų per sekundę) jungimasis į
skirtingų IP adresų 25-ą (SMTP) prievadą.

4.2 Viruso Conficker identifikavimas

 

Gavus pranešimą apie viruso
Conficker aktyvumą iš IP adreso 207.b.c.96,
pasinaudojama flows tiriant ataką:

  1. Pasirenkame laiko intervalą.

  2. Flows rodymui parinkti
    List Flows režimą.

  3. Parašome filtrą:

src ip
207.b.c.96 and dst
port 80

  1. Pateiktame rezultate matome sąrašą
    flows:

 

Date       flow start    Duration Prot   Src IP Addr:Port  Dst IP Addr:Port Packet Bytes Flows
2011-11-22 22:25:00.378    0.064  TCP     207.b.c.96:35399 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:25:30.542    0.128  TCP     207.b.c.96:35401 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:25:31.269    0.320  TCP     207.b.c.96:42990 -> 49.b.c.18:80   4    295      1
2011-11-22 22:26:00.707    0.128  TCP     207.b.c.96:35403 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:26:31.009    0.128  TCP     207.b.c.96:35405 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:27:01.366    0.128  TCP     207.b.c.96:35407 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:27:31.600    0.128  TCP     207.b.c.96:35409 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:28:01.725    0.128  TCP     207.b.c.96:35411 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:28:31.928    0.128  TCP     207.b.c.96:35413 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:29:02.134    0.064  TCP     207.b.c.96:35415 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:29:32.336    0.128  TCP     207.b.c.96:35417 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:29:24.521    0.256  TCP     207.b.c.96:42996 -> 49.b.c.18:80   4    295      1
2011-11-22 22:30:02.539    0.128  TCP     207.b.c.96:35419 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:30:32.678    0.192  TCP     207.b.c.96:35421 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:30:30.839    0.576  TCP     207.b.c.96:43031 -> 49.b.c.18:80   5    446      1
2011-11-22 22:31:02.967    0.064  TCP     207.b.c.96:35423 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:31:33.182    0.128  TCP     207.b.c.96:35425 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:32:03.348    0.064  TCP     207.b.c.96:35427 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:32:33.581    0.064  TCP     207.b.c.96:35429 -> 49.b.c.240:80  5    1169     1
2011-11-22 22:33:03.645    0.128  TCP     207.b.c.96:35431 -> 49.b.c.240:80  5    1169     1
Summary: total flows: 20, total bytes: 20909, total packets: 98, avg bps: 346, avg pps: 0, avg bpp: 213
Time window: 2011-11-22 22:25:00 - 2011-11-22 22:33:03
Total flows processed: 3634581, Blocks skipped: 0, Bytes read: 189000416
Sys: 0.256s flows/second: 14196750.2 Wall: 0.247s flows/second: 14673910.9

Matomas didelis prisijungimų per 80-ą prievadą skaičius.
Žinodami Confiker virusu užkrėstų kompiuterių IP
adresus, stebime viruso Conficker aktyvumą.

4.3 SSH atakų identifikavimas

Užregistravus intensyvias SSH atakas į IP adresą
206.b.c.240, sukuriamas filtras flows išrinkti. Taip
gaunami tyrimui reikalingi duomenys ir įsitikinama incidento
kilme. Flows išrinkimas:

  1. Pasirenkamas vienos minutės arba sekundės laiko
    intervalas.
  2. Flows rodymui parinkti List Flows režimą.
  3. Parašomas filtras:

    dst ip 206.b.c.240 and dst port 22

  4. Pateiktame rezultate matome sąrašą flowsų:
Date       flow start    Duration Proto  Src IP Addr:Port   Dst IP Addr:Port Packets  Bytes Flows
2011-11-14 09:55:45.092    0.128  TCP    195.b.c.14:64304 -> 206.b.c.240:22   2       94     1
2011-11-14 09:55:45.092    0.128  TCP    195.b.c.14:64304 -> 206.b.c.240:22   2       94     1
2011-11-14 09:55:53.025    3.328  TCP    195.b.c.14:64304 -> 206.b.c.240:22   3      140     1
2011-11-14 09:55:53.025    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   4      184     1
2011-11-14 09:55:29.602    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:29.154    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:29.154    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:29.154    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:29.154    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:28.497    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:28.497    0.000  TCP    192.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:28.497    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:28.497    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:28.497    0.000  TCP    195.b.c.33:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:28.497    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:28.497    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:36.369    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:28.497    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
2011-11-14 09:55:28.305    0.000  TCP    195.b.c.14:64304 -> 206.b.c.240:22   1       48     1
Summary: total flows: 20, total bytes: 1280, total packets: 27, avg bps: 365, avg pps: 0, avg bpp: 47
Time window: 2011-11-14 09:55:28 - 2011-11-14 09:55:56
Total flows processed: 20142, Blocks skipped: 0, Bytes read: 1047412
Sys: 0.004s flows/second: 5035500.0  Wall: 0.002s flows/second: 7806976.7

Išrinkus flows pagal pateiktas sąlygas matosi
didelis bandymų prisijungti skaičius per 22-ą prievadą į
tiriamą IP adresą per trumpą laiko tarpą . Toks
dėsningumas leidžia daryti išvadą, kad buvo vykdoma
slaptažodžių perrinkimo ataka. Tokiu atveju, kai būna
įsilaužta per SSH, galima užfiksuoti įsilaužėlio IP
adresą ir imtis atitinkamų priemonių.