9 مشاكل شبكة نموذجية يمكن اكتشافها باستخدام تحليل NetFlow (باستخدام Flowmon كمثال)



في الآونة الأخيرة ، نشرنا مقالًا بعنوان " مراقبة الشبكة والكشف عن نشاط الشبكة غير الطبيعي باستخدام حلول شبكات Flowmon ". هناك استعرضنا باختصار ميزات هذا المنتج وعملية التثبيت. بشكل غير متوقع بالنسبة لنا ، بعد المقال والندوة عبر الإنترنت ، تلقينا عددًا كبيرًا من طلبات اختبار Flowmon . وكشفت المشاريع الرائدة الأولى عن العديد من مشكلات الشبكة النموذجية التي لن تراها دون استخدام NetFlow. تجدر الإشارة على الفور إلى أنه أثناء اختبار المنتج ، تم الحصول على النتائج الأكثر إثارة للاهتمام بفضل وحدة الكشف عن الشذوذ (ADS). بعد "تدريب" قصير (أسبوع واحد على الأقل) ، بدأنا في تسجيل حوادث مختلفة. في هذه المقالة سننظر في أكثرها شيوعًا.

1. شخص ما يقوم بمسح الشبكة


في كل تجربة ، وجدنا مضيفين يقومون بمسح الشبكة. المضيفين التي لا ينبغي أن تفعل هذا. في بضع حالات ، اتضح أن هذا البرنامج "المحدد" والمشكلة قد تم حلها عن طريق القواعد المعتادة على جدار الحماية. ومع ذلك ، في معظم الحالات ، عرضت الشركة نوعًا من "الأوباش" الذي يلعب مع Kali Linux ، مع دورات PenTest (وهو أمر يستحق الثناء للغاية!). مرة واحدة فقط تم العثور على جهاز كمبيوتر مصاب حقًا قام بفحص الشبكة تلقائيًا.

2. خسائر كبيرة على الشبكة (تحميل 60mb ، وصل المستخدم 10)


في كثير من الأحيان ، يمكنك أن تجد مشاكل مع الخسائر في أجزاء معينة من الشبكة. في حادث Flowmon ، قد يعني أنه تم تنزيل 60 ميجابايت من النظام المستهدف ، بينما تلقى المستخدم الذي اتصل به 10 ميغابايت فقط. نعم ، في بعض الأحيان يخبر المستخدمون حقيقة أن بعض التطبيقات بطيئة للغاية. قد تكون مفيدة Flowmon في مثل هذه الحالات.

3. العديد من الاتصالات من الأجهزة الطرفية (الطابعات والكاميرات) إلى الخوادم


نجد هذا الحادث في كل مرة تقريبا. بعد إجراء أبسط عامل تصفية ، يمكنك أن ترى أن هناك طلبات دورية من الأجهزة الطرفية إلى وحدة تحكم المجال. بعد أن بدأوا التحقيق ، توصلوا في كثير من الأحيان إلى أن هذه الروابط / الطلبات لا ينبغي أن تكون. رغم أن هناك أشياء "قانونية". على أي حال ، بعد ذلك ، يكتشف "حراس الأمن" فجأة أن لديهم فئة كاملة من الأجهزة التي يحتاجون إلى مراقبتها والانتقال على الأقل إلى شريحة منفصلة.

4. الاتصال بالخوادم عبر منافذ غير قياسية


أيضا قضية متكررة. على سبيل المثال ، تم العثور على خادم DNS الذي يتم إرسال الطلبات إليه ليس فقط على المنفذ 53 ، ولكن أيضًا على مجموعة من الآخرين. تظهر مشكلتان على الفور هنا:

  1. سمح شخص ما بالمنافذ الأخرى إلى خادم DNS على ME ؛
  2. يتم رفع الخدمات الأخرى على خادم DNS.

كل القضايا تتطلب محاكمة.

5. اتصالات إلى بلدان أخرى


وجدت في تقريبا كل الطيار. هذا مثير للاهتمام بشكل خاص لأي شريحة بها كاميرات أو أنظمة تحكم في الوصول. اتضح أن بعض الأجهزة الصينية "تطرق" بقوة إلى وطنهم أو في مكان ما في بنغلاديش.

6. قبل إقالة الموظف ، تزداد حركة المرور بشكل حاد


وجدنا هذا في آخر طيارين. لم نشارك في الإجراءات ، ولكن على الأرجح قام المستخدم ببساطة بعمل نسخ احتياطية من نوع من معلومات العمل. ما إذا كان هذا مسموحًا به سياسة الشركة غير معروف لنا.

7. استعلامات DNS متعددة من مضيف المستخدم


غالبًا ما تكون هذه المشكلة علامة على وجود جهاز كمبيوتر مصاب أو "ميزات" لبعض البرامج المحددة. في أي حال ، تعتبر هذه معلومات مفيدة للتفكير ، خاصةً عندما يقوم جهاز الكمبيوتر الخاص بالمستخدم بإنشاء 1000 استعلام DNS في الساعة.

8. خادم DHCP "الأيسر" على الشبكة


مرض آخر للعديد من الشبكات الكبيرة. قام المستخدم ببدء تشغيل VirtualBox أو VMWare Workstation ، وفي نفس الوقت نسي إيقاف تشغيل خادم DHCP المدمج ، والذي يتم منه إيقاف تشغيل جزء الشبكة بشكل دوري. يساعد تحليل NetFlow هنا بسرعة كبيرة في تحديد متسللنا.

9. "الحلقات" في الشبكة المحلية


توجد "حلقات" في كل مشروع تجريبي تقريبًا ، حيث يمكن لف NetFlow / sFlow / jFlow / IPFIX من مفاتيح الوصول ، وليس فقط من النواة. في بعض الشركات ، تتعامل المحولات بنجاح مع هذه الحلقات (نظرًا للتهيئة المناسبة للمعدات) ولا يلاحظها أحدًا بشكل خاص. وفي البعض - الشبكة بأكملها تهدم بشكل دوري ولا يستطيع أحد فهم ما يحدث. سوف Flowmon تكون مفيدة جدا هنا.

استنتاج


مثل هذا التحليل الشبكي يمكن أن يكون مفيدًا لأي شركة تقريبًا. خاصة عندما تفكر في أنه يمكن تنفيذه كجزء من فترة التجربة المجانية. تحدثنا هنا بالفعل عن كيفية نشر الحل بنفسك. ولكن يمكنك دائمًا الاتصال بنا للحصول على المساعدة في إعداد النتائج وتحليلها أو ببساطة تمديد وضع الإصدار التجريبي !
إذا كنت مهتمًا بمثل هذه المواد ، فابق معنا ( مدونة Telegram و Facebook و VK و TS Solution )!

Source: https://habr.com/ru/post/ar471706/


All Articles