4. Flows panaudojimas incidentų tyrimui
Netflow naudojamas
saugumo incidentų tyrimui ir problemų tinkle sprendimui. Jo
pagalba galima diagnozuoti lėtą tinklo veikimą, pralaidumo
naudojimą esamu laiku ir fiksuoti didelės apimties duomenų
siuntimus. Netflow gali būti panaudotas patikrinti,
ar tinkamas pralaidumas buvo paskirtas reikiamai paslaugos
klasei (angl. Class
of
Service –
CoS). Taip pat gali padėti aptikti
neautorizuotą WAN srautą, pakitimus ir diagnozuoti
kenkėjišką programinę įrangą (angl. worm).
4.1 Spam laiškus platinančių kompiuterių
identifikavimas
Patikrinti ar kompiuteris platina Spam laiškus galima
taip:
- Pasirenkame laiko intervalą.
- Pasirenkame flows rodymo režimą List
Flows. - Parašome filtrą: src ip 178.b.c.22 and dst port 25
- Pateiktame rezultate matome sąrašą flows:
Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows 2011-12-01 13:19:56.080 3.520 TCP 178.b.c.22:2685 -> 20.b.c.35:25 6 332 1 2011-12-01 13:19:55.887 3.264 TCP 178.b.c.22:2677 -> 20.b.c.35:25 4 186 1 2011-12-01 13:19:55.950 3.264 TCP 178.b.c.22:2681 -> 20.b.c.19:25 4 186 1 2011-12-01 13:19:56.014 3.328 TCP 178.b.c.22:2683 -> 20.b.c.12:25 4 186 1 2011-12-01 13:20:10.357 0.064 TCP 178.b.c.22:3112 -> 20.b.c.21:25 2 92 1 2011-12-01 13:20:04.467 0.256 TCP 178.b.c.22:2929 -> 20.b.c.45:25 4 186 1 2011-12-01 13:20:04.530 0.256 TCP 178.b.c.22:2941 -> 20.b.c.45:25 4 186 1 2011-12-01 13:20:04.596 0.896 TCP 178.b.c.22:2943 -> 20.b.c.134:25 6 332 1 2011-12-01 13:20:04.466 0.640 TCP 178.b.c.22:2926 -> 20.b.c.123:25 5 284 1 2011-12-01 13:20:04.533 0.192 TCP 178.b.c.22:2927 -> 20.b.c.134:25 3 138 1 2011-12-01 13:20:04.532 0.064 TCP 178.b.c.22:2925 -> 20.b.c.80:25 2 92 1 2011-12-01 13:20:04.661 0.320 TCP 178.b.c.22:2944 -> 20.b.c.93:25 4 186 1 2011-12-01 13:20:04.724 0.256 TCP 178.b.c.22:2945 -> 20.b.c.172:25 4 186 1 2011-12-01 13:20:04.788 0.512 TCP 178.b.c.22:2947 -> 20.b.c.172:25 4 186 1 2011-12-01 13:20:04.786 0.000 TCP 178.b.c.22:2921 -> 20.b.c.69:25 2 92 1 2011-12-01 13:20:04.789 0.000 TCP 178.b.c.22:2923 -> 20.b.c.253:25 2 92 1 2011-12-01 13:20:04.851 0.384 TCP 178.b.c.22:2948 -> 20.b.c.251:25 7 378 1 2011-12-01 13:20:04.915 0.064 TCP 178.b.c.22:2949 -> 20.b.c.3:25 4 186 1 2011-12-01 13:20:12.053 0.000 TCP 178.b.c.22:3180 -> 20.b.c.3:25 2 92 1 2011-12-01 13:20:12.054 0.064 TCP 178.b.c.22:3182 -> 20.b.c.3:25 3 138 1 Summary: total flows: 20, total bytes: 3736, total packets: 76, avg bps: 1841, avg pps: 4, avg bpp: 49 Time window: 2011-12-01 13:19:55 - 2011-12-01 13:20:12 Total flows processed: 100743, Blocks skipped: 0, Bytes read: 5238712 Sys: 0.012s flows/second: 8395250.0 Wall: 0.008s flows/second: 11744346.0
Iš rezultatų matome, kad
kompiuteris su IP adresu 178.b.c.22 iš tikrųjų platina
Spam laiškus. Taip yra todėl, kad matomas
labai dažnas (keletą kartų per sekundę) jungimasis į
skirtingų IP adresų 25-ą (SMTP) prievadą.
4.2 Viruso Conficker identifikavimas
Gavus pranešimą apie viruso
Conficker aktyvumą iš IP adreso 207.b.c.96,
pasinaudojama flows tiriant ataką:
-
Pasirenkame laiko intervalą.
-
Flows rodymui parinkti
List Flows režimą. -
Parašome filtrą:
src ip
207.b.c.96 and dst
port 80
-
Pateiktame rezultate matome sąrašą
flows:
Date flow start Duration Prot Src IP Addr:Port Dst IP Addr:Port Packet Bytes Flows 2011-11-22 22:25:00.378 0.064 TCP 207.b.c.96:35399 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:25:30.542 0.128 TCP 207.b.c.96:35401 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:25:31.269 0.320 TCP 207.b.c.96:42990 -> 49.b.c.18:80 4 295 1 2011-11-22 22:26:00.707 0.128 TCP 207.b.c.96:35403 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:26:31.009 0.128 TCP 207.b.c.96:35405 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:27:01.366 0.128 TCP 207.b.c.96:35407 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:27:31.600 0.128 TCP 207.b.c.96:35409 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:28:01.725 0.128 TCP 207.b.c.96:35411 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:28:31.928 0.128 TCP 207.b.c.96:35413 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:29:02.134 0.064 TCP 207.b.c.96:35415 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:29:32.336 0.128 TCP 207.b.c.96:35417 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:29:24.521 0.256 TCP 207.b.c.96:42996 -> 49.b.c.18:80 4 295 1 2011-11-22 22:30:02.539 0.128 TCP 207.b.c.96:35419 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:30:32.678 0.192 TCP 207.b.c.96:35421 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:30:30.839 0.576 TCP 207.b.c.96:43031 -> 49.b.c.18:80 5 446 1 2011-11-22 22:31:02.967 0.064 TCP 207.b.c.96:35423 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:31:33.182 0.128 TCP 207.b.c.96:35425 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:32:03.348 0.064 TCP 207.b.c.96:35427 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:32:33.581 0.064 TCP 207.b.c.96:35429 -> 49.b.c.240:80 5 1169 1 2011-11-22 22:33:03.645 0.128 TCP 207.b.c.96:35431 -> 49.b.c.240:80 5 1169 1 Summary: total flows: 20, total bytes: 20909, total packets: 98, avg bps: 346, avg pps: 0, avg bpp: 213 Time window: 2011-11-22 22:25:00 - 2011-11-22 22:33:03 Total flows processed: 3634581, Blocks skipped: 0, Bytes read: 189000416 Sys: 0.256s flows/second: 14196750.2 Wall: 0.247s flows/second: 14673910.9
Matomas didelis prisijungimų per 80-ą prievadą skaičius.
Žinodami Confiker virusu užkrėstų kompiuterių IP
adresus, stebime viruso Conficker aktyvumą.
4.3 SSH atakų identifikavimas
Užregistravus intensyvias SSH atakas į IP adresą
206.b.c.240, sukuriamas filtras flows išrinkti. Taip
gaunami tyrimui reikalingi duomenys ir įsitikinama incidento
kilme. Flows išrinkimas:
- Pasirenkamas vienos minutės arba sekundės laiko
intervalas. - Flows rodymui parinkti List Flows režimą.
- Parašomas filtras: dst ip 206.b.c.240 and dst port 22
- Pateiktame rezultate matome sąrašą flowsų:
Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows 2011-11-14 09:55:45.092 0.128 TCP 195.b.c.14:64304 -> 206.b.c.240:22 2 94 1 2011-11-14 09:55:45.092 0.128 TCP 195.b.c.14:64304 -> 206.b.c.240:22 2 94 1 2011-11-14 09:55:53.025 3.328 TCP 195.b.c.14:64304 -> 206.b.c.240:22 3 140 1 2011-11-14 09:55:53.025 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 4 184 1 2011-11-14 09:55:29.602 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:29.154 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:29.154 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:29.154 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:29.154 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:28.497 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:28.497 0.000 TCP 192.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:28.497 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:28.497 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:28.497 0.000 TCP 195.b.c.33:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:28.497 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:28.497 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:36.369 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:28.497 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 2011-11-14 09:55:28.305 0.000 TCP 195.b.c.14:64304 -> 206.b.c.240:22 1 48 1 Summary: total flows: 20, total bytes: 1280, total packets: 27, avg bps: 365, avg pps: 0, avg bpp: 47 Time window: 2011-11-14 09:55:28 - 2011-11-14 09:55:56 Total flows processed: 20142, Blocks skipped: 0, Bytes read: 1047412 Sys: 0.004s flows/second: 5035500.0 Wall: 0.002s flows/second: 7806976.7
Išrinkus flows pagal pateiktas sąlygas matosi
didelis bandymų prisijungti skaičius per 22-ą prievadą į
tiriamą IP adresą per trumpą laiko tarpą . Toks
dėsningumas leidžia daryti išvadą, kad buvo vykdoma
slaptažodžių perrinkimo ataka. Tokiu atveju, kai būna
įsilaužta per SSH, galima užfiksuoti įsilaužėlio IP
adresą ir imtis atitinkamų priemonių.