连载：科来网络回溯分析系统使用技巧（后面更贴不断更新中－2013.2.27更新）！

xxx314

2013.2.27更新


随着网络故障、网络性能、网络安全的繁杂多变，各种问题层出不穷，使用科来网络回溯分析系统分析网络环境的XDJM也越来越多。鉴于这种情况，现准备写一些个人在使用科来网络回溯分析系统过程中的一些具体的解决实际问题的方法，准备以连载的形式发出，希望大家多提意见，共同探讨！

好，Let me go！

技巧1：回溯系统使用技巧之流量警报

现在的网络环境，越来越复杂多变，各种攻击事件层出不穷，同样，随着网络规模的不断扩大，复杂性不断的增加，网络流量的异常对于网络性能的影响也越来越大，准确、快速的识别网络异常流量，并做出相应的告警，最后做出及时的响应是现今阶段保障网络正常允许的前提条件之一。

对于网络流量异常特征的多变性，一般会表现在如每秒发包数，发包字节数，同步包数，发包的频率，进出网利用率等方面跟正常的上网产生的数据流量是有较大的区别，下面就来梳理一下在使用科来回溯系统过程中，使用流量异常警报的一些小技巧：

下图为配置的简单流量警报：



警报定义中，名称自定义，警报等级分高中低三个等级，用户可以根据自己的实际配置的情况进行报警的等级(主要是为了警示作用)。分类中有流量异常、蠕虫、木马、攻击等。类型中有全局流量警报、特定的IP警报、特定的MAC警报等等，如果用户关心全局的流量信息，就直接设置为全局警报。如果对某个IP或者MAC比较关心，则可以设置特定的IP/MAC警报信息。触发时间可根据异常的类型不同，设置不同的触发时间如1S、10S,以及60S，即触发规则的持续时间。描述信息可以对警报设置的原因做简单的说明，方便下次查看。最后就是警报条件的设置，这里我设置的是每秒数据包数，大于20,触发时间为1S（方便测试），上图还配置了发送邮件，即把告警信息通过邮件的形式告知用户，便于用户的监控。

如果大家在配置过程中，一个条件来判断流量异常会产生很多误报情况或者不足以判断流量异常，这时就可以选择高级配置，如下图进行配置：




其中，增加了一个配置项，与前面的每秒发送数据包数大于10为与关系，只有同时满足这两个条件即每秒发送数据包数大于10，并且平均包长大于1024（如在分片攻击中，其平均包长一般比较大），并且触发的时间为10S，就会告警。

好处：我们一方面可以减少告警的数量，另一方面，在告警的准确性和告警的灵活性上面是比较便于使用，也可以较少误报的情况，提高我们排查问题的效率。

配置完成之后，配置信息如下所示：




下图为配置流量告警信息预警示例：在警报日志中，在流量警报这一栏，选择一定的时间范围，可以查看到相应的警报信息，如下图所示：




通过上面的告警信息，我们可以查看触发警报的IP地址、MAC地址、触发条件等一系列的信息，通过这些信息，可以快速定位警报源，对问题进行处理，从而提高问题排查效率。
另外由于配置发送邮件，即把告警信息通过邮件的形式告知用户，便于用户的监控，下面截图即为发我邮箱的报警信息，如下图所示：



另外在实时分析页面，我们也可以看到相应的告警提示，比较醒目，便于我们的查看：






以上就是使用流量异常告警的一个示例，由于用户网络环境的差异性，大家可以根据需要进行配置，这样可以为我们的网络环境的管理带来便利，同时也方便我们进行识别网络攻击、性能、故障所引起的流量异常，最后快速排查相应问题。

在很多的其他的安全产品，各种性能指标对于用户的意义是不一样的，如防火墙，大家会更关注每秒的吞吐量、每秒的并发连接数、传输延迟等等，但是在我们实际的网络环境中，是否只是关心以上这些指标就够了？

答案是否定的，如每秒的抓包数，每秒能够处理的事件数，每秒发送（接收）的数据包数，每秒发送接收的字节数以及其同步包和同步确认包，数据包收发比等等一系列的重要的参数指标对于我们在进行ARP攻击、蠕虫病毒、DoS/DDos攻击、TCP端口扫描等等进行判断是非常重要的指标，因为在我们的pc中招之后，我们沦为别人的肉鸡，作为傀儡，任由别人操作我们的pc。在科来回溯分析系统中，就对这些参数进行了详细的统计说明，针对用户的使用，提供了良好的使用界面，报警参数的阀值可以根据用户需要进行调整（有些其他产品可能也提供了这些方面的统计，但是不便于使用和分析），科来回溯系统这一点是做得不错的。

huan.li

这要是 可下载就好了

xxx314

2# huan.li

明天上传附件

xxx314

技巧2：回溯系统使用技巧之可疑域名

大家是否遭遇过这样的情况？当我们在浏览器中输入正确的URL地址，但是打开的并不是我们想去的网站。可能是114的查询页面，也可能是一个广告页面，更有可能是一个刷流量的页面，更甚是一个被挂马的网站等等……

什么？有人说上面有个挂马的名词不明白意思？

去问度娘吧……

what？懒得问，要我告诉你……

好吧，所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒。

什么是DNS？
在我们互联网中，我们的网络节点能够呗寻址访问的原因，是由于网络节点拥有一个独立的身份标识（类似我们的身份证），这是由网卡MAC地址、IP地址和网络端口组成的一个地址体系。对于以TCP/IP为基础协议的Internet来说，必须找到访问对象的IP地址，才能够进行访问，但由于IP地址难于记忆，同时也不够灵活，Internet规则的制定者发明了一套域名体系与其对应，这就是DNS（域名解析服务）的基础体系。这时用户就无需记忆大量的IP地址数字(eg：61.139.2.69)，而能够通过域名访问各种各样的互联网内容（eg：www.baidu.com）,同时这给用户带来了极大的方便，但是这样也产生了相关的安全隐患。下面小编来简单罗列一下基于DNS的攻击主要有哪些？

NO.1：利用DNS服务器进行DDOS攻击
正常的DNS服务器递归询问过程可能被利用成DDOS攻击。假设攻击者已知被攻击机器的IP地址，然后攻击者使用该地址作为发送解析命令的源地址。这样 当使用DNS服务器递归查询后，DNS服务器响应给最初用户，而这个用户正是被攻击者。那么如果攻击者控制了足够多的肉鸡，反复的进行如上操作，那么被攻击者就会受到来自于DNS服务器的响应信息DDOS攻击。

Tips：利用DNS服务器攻击的查找困难性在于攻击者由于没有直接与被攻击主机进行通讯，隐匿了自己行踪，让受害者难以追查原始的攻击源。相对比较好的解决办法就是可取消DNS服务器中允许所有人都可以查询网址的递回(recursive)功能。

NO.2: DNS缓存感染
攻击者使用DNS请求，将数据放入一个具有漏洞的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户，从而把用户客户对正常域名 的访问引导到入侵者所设置挂马、钓鱼等页面上，或者通过伪造的邮件和其他的server服务获取用户口令信息，导致客户遭遇进一步的侵害。

NO.3：DNS重定向
攻击者如果将DNS名称查询重定向到恶意DNS服务器。那么被劫持域名的解析就完全至于攻击者的控制之下。

NO.4：DNS信息劫持
原则上TCP/IP体系通过序列号等多种方式避免仿冒数据的插入，但入侵者如果通过监听客户端和DNS服务器的对话，就可以猜测服务器响应给客户端的 DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用 户，从而欺骗客户端去访问恶意的网站。假设当提交给某个域名服务器的域名解析请求的数据包被截获，然后按截获者的意图将一个虚假的IP地址作为应答信息返 回给请求者。这时，原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行连接，显然它被欺骗到了别处而根本连接不上自己想要连接的那个域名。

NO.5：ARP欺骗
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的 ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP 木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。
ARP欺骗通常是在用户局网中，造成用户访问域名的错误指向，但在IDC机房被入侵后，则也可能出现攻击者采用ARP包压制正常主机、或者压制DNS服务器，而李代桃僵，以使访问导向错误指向的情况。
NO.6：本机劫持
计算机系统被木马或流氓软件感染后可能会出现部分域名的访问异常，如访问挂马或者钓鱼站点、无法访问等情况，本机劫持有hosts文件篡改、本机DNS 劫持、SPI链注入、BHO插件等方式，虽然并非都通过DNS环节完成，但都会造成无法按照用户意愿获得正确的地址或者内容的后果。

看了上面说的这些攻击方式，有人又说了，网上这么多的攻击，好难防范，一不小心就中招！对，我也承认大家在网络上获取资源的时候是容易中招，这就需要大家的“火眼金睛”去识别。

什么？居然有人说识别好难……并且谁在24小时来监视这些数据流量啊！额，确实，是需要有什么替代人的软件/硬件来进行这些识别的工作。下面小编就给大家介绍一下我用科来回溯分析系统进行可疑域名预警的功能来进行域名识别的.

首先是配置可疑的域名(这里可疑的域名根据大家需要可以自定义，也可以使用科来公司提供的可疑域名库，科来提供的这些域名库是从网上搜集的一些可疑域名，定期更新，比较齐全方便)

这里我用www.sina.cn来作为测试域名数据，配置如下



为了便于大家的操作，科来回溯系统也做了很多的便于大家使用的一些小方法，如下图所示，这里我在科来的可疑域名库中随意找了一些可疑域名，组成了一个可疑域名（蠕虫）警报集合,这样可以节约我们配置的时间，增加工作的效率。




在上面配置的这些可疑域名中，随意访问一个域名，会出现告警信息，说明这些域名是很可疑的域名,如下图所示:





另外，还可以使用通配符的方式，比如我们有时候，对于一个域名记得不完全，只是记住了部分字段，那么我们就可以使用通配符来进行配置，如下图所示:




测试结果如下图所示：



通过上面的告警信息，我们可以查看访问可疑域名的IP地址、MAC地址、触发条件等一系列的信息，通过这些信息，可以快速定位警报源即相应的主机，对问题进行处理，从而提高问题排查效率。

另外由于配置发送邮件，即把告警信息通过邮件的形式告知用户，便于用户的监控，下面截图即为发我邮箱的报警信息，如下图所示：

L.Jonsson

随着用户网络规模的扩大，越来越多的网络业务不断加入到网络当中。如：ERP、CRM、OA系统等，并且不同行业的企业用户，还可能有专属的私有协议和应用。各种业务系统使用多个不同的IP地址以及端口号，而网络管理人员通常因为不清楚这些应用通讯的详细信息，配置了错误的安全策略，从而导致某些业务访问失败，并且难以快速找出故障原因；这个时候对网络业务进行梳理就显得尤其重要。
回溯系统提供定制应用功能，用户可以自定义添加网络应用，实现网络业务的梳理，以便能够准确统计和显示该应用的通讯数据。系统默认提供多种应用自定义方式，今天就为大家介绍其中之一：标准应用自定义。
回溯4.0系统提供两个标准定义方式：基本规则定义和IP对规则定义，标准应用自定义的配置界面如图示：

回溯4.0系统定义应用，需要点击应用规则中的添加应用按钮后才能进行自定义配置，具体配置方法如下：
基本规则自定义配置如图示：



基本规则自定义提供多种定义组合方式，可以仅使用端口、IP地址以及IP加端口的方式进行定义，IP地址配置内型默认支持单IP、IP网段和范围IP地址，而端口同样支持单端口、多端口以及端口范围，并且端口内型可以指定是TCP端口，还是UDP端口，这样我们就可以通过设置服务器的IP和端口号来准确定义网络中的应用。
IP对规则自定义配置如图示：



回溯4.0系统除了可以基于服务器的IP和端口自定义应用外，还可以连同客户端地址一起定义网络应用（即IP对规则），实现对同一应用被不同客户端访问的数据分别监控分析，当部分客户端访问出现问题时，可以直接对相对应的应用数据进行分析，而不需要从整个应用数据中找出对应的客户端访问数据，实现故障的快速分析定位。
应用定义后，在“网络应用”视图中可以直观的显示所定义应用的详细情况，如图：
      
标准应用自定义.pdf (403.69 KB, 下载次数: 14)

2013-3-7 14:07 上传

点击文件名下载附件

沉睡的旱懒

技巧4：WEB应用监控让业务梳理更方便

一，概述

WEB服务器的被攻击的方式，我们不在累述。WEB服务器被攻击后的危害和影响是十分严重的。要是官网被黑客攻陷，不仅是脸面的丢失，甚至影响企业的业绩。要想减少损失，主动防范是必要的措施，及时掌握自身或外间与WEB服务器交互的实时情况是防范的前提。

然而网络平台中传输着各种协议及海量的数据，如果我们想对其中某一业务应用所传输的数据进行监控、回溯，就需要对大量的数据进行繁琐的筛选；好比说，要在一条主要道路上要筛选出同一种品牌、同一种型号的轿车，这是很困难的。为了解决这个问题，网络回溯分析系统新增了基于HTTP和TCP的WEB应用监控功能。WEB应用监控就是为了方便我们的用户在大量繁杂的网络业务数据交互中，提取出需要特别关注的应用业务进行监控（例如：政企的官网、CRM系统等），形成一个独立的网络数据流量的实时监控及回溯，以便网关人员能及时详细的了解自身内网或外网对应用业务的交易情况，快速查找与WEB业务相关的网络链路故障、业务系统故障、网络安全事件。

二、WEB业务梳理的定义步骤

为了让大家更好的理解，如何使用WEB业务梳理。现在我们以监控科来官网为例，做实例演示。

回溯4.0系统为了方便管理人员对应用的监控，已在监控的链路下新增应用监控分析选项，管理人员可直接在此添加需要监控的应用对象

点击添加应用，选择新增WEB应用

回溯4.0的WEB应用监控有多种组合方式：

第一种，只添加需要监控的主机名，并勾选“启用监控分析”选项。这种WEB应用监控适用于全局监控对象，不管对象有多少个公网IP地址，使用默认80端口，全部监控。如下图：

第二种，在第一种的基础上添加IP地址，现在很多的门户网站都拥有IP地址池，此种策略适用于精确监控主机名下提供WEB服务的一个IP地址或IP地址段的交易情况。

第三种，监控的主机名对象可能采用的不是默认80端口。因此，在设定监控对象时需要添加主机名所开放的端口号或端口范围。

（主机名+IP+端口）

（主机名+端口）

三、质量分析与实时监控

在设定完成上述任意一种监控方式后，我们来看看应用监控分析为大家提供的质量分析和实时监控。

质量分析提供对客户端、服务器、网段、IP会话、TCP会话的交易情况统计和回溯分析的能力，应用警报提供对客户端、服务器、网段、TCP会话的各类型参数的警告设定（备注：警报设置将在下一节中详细展示）。下面我们对客户端和服务器视图做简单的介绍。

客户端视图：提供了各类丰富的参数，以方便用户判断访问被监控的WEB业务时存在的网络故障或瓶颈，快速区分故障层次以及为优化业务性能提供数据支撑。例如：我们查看某一客户端的TCP同步包与TCP同步确认包的比值，若比值远大于1：1，我们就应该关注该会话，结合其他参数值来判别该客户端与服务器之间的故障是网络链路问题还是客户端IP在对服务器做DOS攻击行为。

服务器视图：与客户端视图一样，都提供了各类参数值。服务器视图统计的信息可方便用户快速的查看服务器的链路负载能力、业务支撑能力、业务性能、以及是否遭受外部攻击等。

实时监控提供了客户端与WEB服务器之间的实时交易的详情展示。帮助管理人员及时掌控WEB业务交易情况，发现影响正常交易的因素。

WEB应用监控.pdf (636.05 KB, 下载次数: 9)

2013-3-13 11:43 上传

点击文件名下载附件

我是宅男同学

持续关注