流量监控与分析概论
Dec 20, 2024 · 2289 字
监控的范围和位置
流量监控范围可覆盖多种硬件平台,包括:
- PC、服务器 (R/S):用于承载业务应用,监控其网络流量可识别性能瓶颈与潜在攻击。
- 工控设备(如 PLC):在工业环境中用于控制和数据采集,其流量监控能够发现异常操作或攻击行为。
- 手机操作系统设备:针对移动端流量进行监控,可检测恶意应用或非正常通信。
- 其他行业特有的操作系统:例如车联网设备、医疗设备的专属操作系统,监控可保障其通信的安全性。
监控位置的选择需要结合流量分布、业务需求和潜在风险,常见的监控点包括:
-
边界路由器或防火墙:
- 用于监控南北向流量(外部与内部的流量)。
- 发现外部威胁和未经授权的访问。
-
核心交换机或内网设备:
- 重点监控东西向流量(内部系统之间的流量)。
- 防止攻击者在内网横向移动。
-
关键业务系统或终端设备:
- 特别关注关键系统的流量,如数据库服务器。
- 精确定位异常行为并保护敏感数据。
分析的目的
-
运维优化
- 提高网络与系统运行效率:通过流量分析优化网络结构和带宽使用。
- 支持故障排查与定位:快速发现并解决网络或应用故障。
- 网络故障:如链路中断、丢包、延迟等。
- 应用故障:如服务响应慢、连接失败。
-
安全分析
- 主机安全:监控主机的异常通信行为,识别潜在威胁。
- 网络安全:检测并防御攻击流量,如 DDoS 攻击。
- 东西向传播:阻止攻击者在内网中的横向扩散。
- 南北向攻击:保护边界设备防止外部威胁入侵。
-
业务分析
- 评估业务增长情况:通过流量趋势了解用户规模变化。
- 分析热点事件效果:如促销活动期间的流量峰值分析。
- 用户行为习惯分析:帮助优化产品设计和运营策略。
可以得到的内容
通过流量监控与分析,能够提取以下核心内容:
-
原始数据包:
- 包含完整的包头和负载内容。
- 可用于详细的深度包检测(DPI)。
-
过滤后的数据包:
- 仅保留包头信息,如源 IP、目的 IP、协议类型、MAC 地址等。
- 用于减少存储和分析的复杂度。
-
统计数据:
- 流数据:
- 包括起止时间、源/目的端口、协议类型、字节数和包数等。
- 可用于流量建模和异常检测。
- 网络性能指标:
- 单播、组播、广播等包头信息的统计。
- 有助于衡量网络健康状况。
- 流数据:
数据包的内容
数据包内容可划分为以下层次:
-
包头信息:
- 包含源 IP、目的 IP、协议类型(如 TCP、UDP、ICMP 等)。
- 数据链路层信息(如 MAC 地址)。
-
传输层信息:
- TCP 或 UDP 的源端口和目的端口。
- TCP 标志位(如 SYN、ACK、FIN 等)。
-
负载内容:
- 包含具体的应用数据(如 HTTP 请求、DNS 查询)。
- 在深度分析时可能需要提取。
流量获取的方式
-
SNMP:
- 基于硬件计数器的统计数据。
- 提供链路使用率、丢包率等基础性能指标。
-
NetFlow / sFlow:
- 提供流量统计数据,用于分析流量模式和异常。
- NetFlow 主要基于采样,适合大规模网络的流量分析。
-
Telemetry:
- 实时采集与分析,包含多种流量内容。
- 适用于需要高频数据采集的场景。
-
流量镜像:
- 从交换机或路由器镜像端口抓取流量。
- 能够获取完整的数据包内容,便于深度分析。
-
本地抓包工具:
- 如 Wireshark、TCPDump、TSHARK 等。
- 常用于问题排查和实验室环境分析。
攻击流量的特征
异常流量通常有别于正常业务流量,其特征包括:
-
渗透扫描类:
- 攻击者对网络进行扫描,寻找开放端口或漏洞。
- 表现为多次尝试连接不同 IP 或端口。
-
DDoS 攻击:
- 大规模流量涌入目标系统,导致资源耗尽。
- 可表现为异常的流量突增。
-
暴力破解类:
- 多次尝试登录系统,通常针对 SSH、RDP 等服务。
- 表现为连续的失败登录尝试。
-
挂马与注入类:
- 向目标系统插入恶意代码。
- 流量特征可能包含异常的 HTTP 请求。
-
钓鱼与横向传播:
- 通过伪造邮件或消息引导用户点击恶意链接。
- 病毒扩散后可能感染内网其他设备。
-
数据上载类:
- 将敏感数据外传至攻击者控制的服务器。
- 表现为未授权的上传流量。
-
挖矿与非法行为:
- 滥用计算资源进行加密货币挖矿。
- 表现为持续的高 CPU 或带宽占用。