安全是有分量的

云盾_高防vps_解决方案

2021-09-28 05:20栏目:安全

云盾_高防vps_解决方案

18年6月15日网络可视性

在本分步指南中,您将学习如何使用过滤器分析网络流量并更好地了解您的网络。

分析中的过滤器(Flowmon监控中心的一部分)是一个非常强大的功能,它允许我们获取我们正在寻找的信息,或者只是分析网络中正在发生的事情。今天,我们将从简单的过滤器开始,以查看DNS通信的概述,并以更复杂的过滤器结束,这将帮助我们了解网络中正在运行哪些服务器和服务。首先,我们想了解一下我们网络中DNS通信的概况,并了解我们有哪些类型的服务器。让我们先导航到Flowmon监控中心(FMC)→ 分析并将您的配置文件设置为所有源。

向下滚动至高级分析,并从"统计"选项卡切换至流列表。

选择时间间隔(本例中我们将使用最后24小时),并将结果限制为20,按源和目标IP聚合,关闭cc手机防御级别调,并按字节排序。使用默认输出(希望查看两个IP地址)或使用所需的列创建自己的输出(更多信息,请参见《Flowmon用户指南》,第7.6.9章"流列表")。如果我们查看TCP和UDP端口号列表,我们可以看到域名系统(DNS)使用端口号53。这是DNS服务器用来侦听请求的端口。我们可以使用过滤器表达式"dst端口53"(目标端口53)查找所有DNS请求。我们的过滤器:

dst端口53

现在按下处理按钮。此查询返回到IP地址为192.168.0.1(dst IP)的DNS服务器的预期流量。它还显示DNS服务器(src ip)的客户端。

但是,幻盾ddos动态防御系统,我们不想筛选包含我们自己的DNS服务器的所有结果,因为这只是常规流量。我们想调查违规行为。让我们从结果中排除DNS服务器。要做到这一点,我们需要知道3件事:

如何匹配目标IP地址。如何翻转表达式以排除匹配项而不是包含匹配项(即表达式否定)。如何使用逻辑运算符和/或将多个表达式连接在一起。

匹配的目标IP地址仅为"dst IP 192.168.0.1"。要对表达式求反(即排除所有匹配的结果),我们需要在表达式前面添加关键字"not"。最后,wayos如何防御ddos攻击,为了将表达式连接在一起,我们可以使用关键字"And"。

我们的过滤器现在由两个连接在一起的表达式组成"dst端口53,而不是dst ip 192.168.0.1"。

dst端口53,而不是dst ip 192.168.0.1

现在的结果更加多样化。

但是,仍然存在大量噪声。我们只想调查来自内部网络的DNS请求,传奇如何防御cc攻击,因此我们只包括IP地址,如192.168.0.101、192.168.70.2、192.168.70.1和192.168.2.2。当然,我们可以编写一个很长的过滤器表达式"src ip192.168.0.101或src ip192.168.70.2或…",但是列出所有的ip地址将是一项繁琐的任务。或者我们可以使用否定,简单地排除互联网流量。另一种方法是使用源网络"src net 192.168.0.0/16"的表达式,并将其与我们过滤器的其余部分连接在一起,使用"and"。

dst端口53,而不是dst ip 192.168.0.1和src net 192.168.0.0/16

谷歌公共DNS有两个结果。将鼠标悬停在上面会显示IP地址8.8.8.8。让我们从我们的结果中排除这些因素(虽然我们正在这样做,但我们也可能排除8.8.4.4)。我们可以列出这两个地址或使用网络表达式"not dst net 8.8.0.0/16"。我们的过滤器:

dst端口53,而不是dst ip 192.168.0.1和src net 192.168.0.0/16,局域网ddos攻击防御,而不是dst net 8.8.0.0/16

我们的结果:

我们想检查我们的服务器以及它们上运行的最重要的服务。我们对网络的了解是,我们的服务器具有较低的IP值(如192.168.2.2),而工作站和其他设备的IP地址具有较高的值(如192.168.3.221)。我们可以再次更改过滤器,但结果是列表很短,因此没有必要更改让我们看看右边的服务器。所有这些机器都在向我们网络中的DNS服务器发送DNS请求,但它不是预期的默认DNS服务器(192.168.0.1)。我们希望进一步研究它们(我们将查看192.168.2.4、192.168.1.2、192.168.2.2、192.168.2.3和192.168.2.7)。我们的下一步是在Analysis中打开一个新选项卡。使用加号图标将其打开。

或者,打开第二个浏览器窗口/选项卡并导航到同一位置(FMC>分析。向下滚动到高级分析,并从统计选项卡切换到流量列表)。或者,如果您的浏览器具有此功能,只需复制该选项卡即可设置与上一个窗口/选项卡中相同的时间间隔。重要的一步是按目标端口进行聚合。按字节排序只是为了方便。在输出中,我们希望有以下列:字节和目标端口。使用预定义的或创建/自定义自己的。我们希望根据之前的IP 192.168.2.4结果调查第一台设备。我们的过滤器将是:

dst ip 192.168.2.4

一旦设置,按下处理按钮。我们的结果:

从正在使用的目标端口数,我们可以推断出机器的用途192.168.2.4。您可以将鼠标悬停在已知端口(如HTTPS或SNMP)的记录上,以显示实际的端口号。让我们看看正在使用的端口(1.9到6.6兆字节):

42482603734172757372HTTPS(443)SNMP(161)宋承宪(22)RTIP(771)

目前我们将忽略较高的端口号(您可以根据需要调整阈值):

dst ip 192.168.2.4和dst端口