OPV-PE(OptiView协议分析专家软件)和OPV-LA(OptiView链路分析仪)是跟踪网络中黑客活动的基本工具之一。大多数防火墙(特别是基于策略和代理式的防火墙)会通过日志记录下有可疑活动的主机IP地址和事件列表。但是通常防火墙不能捕捉下足够的信息来做安全方面的分析。
借助福禄克网络公司的工具您可以通过可疑IP地址,在OPV-PE中创建地址过滤策略,将测试仪表接在网络中的合适位置捕捉数据包,根据防火墙或其它网络设备的日志提供的相关信息,进一步获取证据来确认黑客的活动是正常的还是恶意的。
通过OPV-PE可以查找可疑或恶意的突击, 成功地跟踪黑客行踪,完成有效的反击,入侵跟踪:OPV-PE和OPV-LA的一项基本功能就是跟踪数据包。
OPV-LA具有256 MB的捕捉缓存,结合外部在线连接器(TAP),可以全双工全速率地监测或捕捉流经路由器的数据。另外,基于独特ASIC技术的硬件模块能够按照复杂的过滤模板在千兆链路下不丢包地监测和捕捉数据。这样高性能的捕捉器是那些普通的基于PC软件的捕捉方式所不能达到的,而这又恰是捕捉数据时必须的。
例一:对多次尝试而又失败登录的主机进行跟踪
在涉及安全的应用中,最重要的措施之一就是要查验口令。 FTP是TCP/IP协议簇中的一种,这种应用包括对口令的设置,并可以做严格的登录控制。
把FTP授权地用户设置在PE过滤模板中,你能很快地找到登录失败的主机是谁,你还分析连接次数高主机,找到恶意登录的主机。
图1:为对FTP创建过滤模板
我们可以对跟踪事件设置”陷阱”。许多防火墙可以探测到攻击的类型并将它阻挡在防火墙之外,但是防火墙通常不能提供全面的事件跟踪或追捕能力,无法得到恶意攻击者的更多信息。
例二:跟踪未授权的地址段
OPV-PE在安全方面的另一种应用,是针对安全要求比较高的服务器,以不同的协议从未授权的地址段过滤连接请求报文。用户在OPV-PE中设置过滤策略,可以针对某个网络或某个地址。这样可以在出现故障之前找到潜在的危险。
OPV-PE可以记录每个主机的对话并实时的按照协议和目的地址进行分类。例如,如果出现许多未授权的特定地址的连接请求,可以在事态变得严重之前,即时地找到可疑者。
例三:通过SYN 标记识别拒绝服务攻击
从外部的典型攻击是一种呼叫TCP SYN 标志的拒绝服务攻击。 黑客制造大量的来自不同主机的带有SYN 标志的TCP 数据包,针对路由器,WEB 服务器等设备进行攻击,对握手进行请求,这样占据大量的服务器资源。
此类攻击黑客可以改变源地址和目的地址,以扰乱对它的追踪。在OPV-PE中把SYN标志设为触发过滤,然后用TAP将LA连接到以太网防火墙外部的链路中,这是一种探测此类攻击最好的连接方式。
图2:通过触发方式探测SYN攻击
使用PE的“Stop and Record”(停止并纪录)的功能,SNMP”陷阱”可以尽早告警,报告哪个站点被攻击,这样就不会追捕数据包太晚而错过非常好的时机。
另一个例子,大量的TCP同步握手请求
有时,通过设置特定的过滤方式(例如设置TCP SYN标志)可以解决安全问题。比如,一个非常活跃的网站受到TCP SYN攻击,防火墙成功的检测并阻挡住。但是这种攻击还在持续进行。网络管理员使用OPV-LA通过TAP连接到网关和服务器的防火墙之间,在两分钟时间内观察到15000个SYN攻击数据包。在30分钟里出现了8次这种情况。从分析报文来看,根本没有黑客。
经查实,这个网站有超过30个WEB服务器,一些不稳定的服务器,有时会宕机。这时用户必须用浏览器重新连接。因为该服务器每秒钟要向20000个用户提供服务,结果大量的用户由于服务器不稳定而重新连接,结果表现为TCP SYN数据包大量出现。
OPV-LA和OPV-PE可以搜索到相关的流量数据,故障很快被发现并将服务器修复。
例四:使防火墙更有效地工作
为保障安全,OPV-PE可以对防火墙的安装进行测试。使用在线的TAP连接到防火墙内外两侧,在不影响链路通信的情况下在线地监测两侧的流量。可以验证防火墙中设置的策略是否正常工作。防止漏网的数据包对用户网络造成威胁。
另外,OPV-PE的网络性能分析能力(例如实时地查看吞吐量中帧大小的分布)可以查看流量状态,从而将网络调整到最优状态。
举例来说,网络中采用较大的数据包可以增加安全系统的工作效率,因为这样在相同流量的情况下可以减少对包头的检查次数,提高防火墙的工作效率。如果将10000个数据包,减少到1000个,将会显著地提高防火墙的性能。
当网络系统经过调整后,也可以用OPV-PE对正常的网络进行维护。
总结:
OPV-PE和OPV-LA不仅可以用作网络集成,网络维护和网络安全方面的工具,还可以跟踪和搜集相关事件的信息,发现和阻止黑客攻击。