科来回溯分析系统流量警报—使用技巧

  • 格式:pdf
  • 大小:561.36 KB
  • 文档页数:5

随着网络故障、网络性能、网络安全的繁杂多变,各种问题层出不穷,使用科来网络回溯分析系统分析网络环境的XDJM也越来越多。

鉴于这种情况,现准备写一些个人在使用科来网络回溯分析系统过程中的一些具体的解决实际问题的方法,准备以连载的形式发出,希望大家多提意见,共同探讨!
好,Let me go!
技巧1:回溯系统使用技巧之流量警报
现在的网络环境,越来越复杂多变,各种攻击事件层出不穷,同样,随着网络规模的不断扩大,复杂性不断的增加,网络流量的异常对于网络性能的影响也越来越大,准确、快速的识别网络异常流量,并做出相应的告警,最后做出及时的响应是现今阶段保障网络正常允许的前提条件之一。

对于网络流量异常特征的多变性,一般会表现在如每秒发包数,发包字节数,同步包数,发包的频率,进出网利用率等方面跟正常的上网产生的数据流量是有较大的区别,下面就来梳理一下在使用科来回溯系统过程中,使用流量异常警报的一些小技巧:
下图为配置的简单流量警报:
警报定义中,名称自定义,警报等级分高中低三个等级,用户可以根据自己的实际配置的情况进行报警的等级(主要是为了警示作用)。

分类中有流量异常、蠕虫、木马、攻击等。

类型中有全局流量警报、特定的IP警报、特定的MAC警报等等,如果用户关心全局的流量信息,就直接设置为全局警报。

如果对某个IP或者MAC比较关心,则可以设置特定的IP/MAC警报信息。

触发时间可根据异常的类型不同,设置不同的触发时间如1S、10S,以及60S,即触发规则的持续时间。

描述信息可以对警报设置的原因做简单的说明,方便下次查看。

最后就是警报条件的设置,这里我设置的是每秒数据包数,大于20,触发时间为1S(方便测试),上图还配置了发送邮件,即把告警信息通过邮件的形式告知用户,便于用户的监控。

如果大家在配置过程中,一个条件判断流量异常会产生很多误报情况,这时就可以选择高级配置,如下图进行配置:
其中,增加了一个配置项,与前面的每秒发送数据包数大于10为与关系,只有同时满足这两个条件即每秒发送数据包数大于10,并且平均包长大于1024(如在分片攻击中,其平均包长一般比较大),并且触发的时间为10S,就会告警。

好处:我们一方面可以减少告警的数量,另一方面,在告警的准确性和告警的灵活性上面是
比较便于使用,也可以较少误报的情况,提高我们排查问题的效率。

配置完成之后,配置信息如下所示:
下图为配置流量告警信息预警示例:在警报日志中,在流量警报这一栏,选择一定的时间范围,可以查看到相应的警报信息,如下图所示:
通过上面的告警信息,我们可以查看触发警报的IP地址、MAC地址、触发条件等一系列的
信息,通过这些信息,可以快速定位警报源,对问题进行处理,从而提高问题排查效率。

另外由于配置发送邮件,即把告警信息通过邮件的形式告知用户,便于用户的监控,下面截图即为发我邮箱的报警信息,如下图所示:
另外在实时分析页面,我们也可以看到相应的告警提示,比较醒目,便于我们的查看:
以上就是使用流量异常告警的一个示例,由于用户网络环境的差异性,大家可以根据需要进行配置,这样可以为我们的网络环境的管理带来便利,同时也方便我们进行识别网络攻击、性能、故障所引起的流量异常,最后快速排查相应问题。

在很多的其他的安全产品,各种性能指标对于用户的意义是不一样的,如防火墙,大家会更关注每秒的吞吐量、每秒的并发连接数、传输延迟等等,但是在我们实际的网络环境中,是否只是关心以上这些指标就够了?
答案是否定的,如每秒的抓包数,每秒能够处理的事件数,每秒发送(接收)的数据包数,每秒发送接收的字节数以及其同步包和同步确认包,数据包收发比等等一系列的重要的参数指标对于我们在进行ARP攻击、蠕虫病毒、DoS/DDos攻击、TCP端口扫描等等进行判断是
非常重要的指标,因为在我们的pc中招之后,我们沦为别人的肉鸡,作为傀儡,任由别人操作我们的pc。

在科来回溯分析系统中,就对这些参数进行了详细的统计说明,针对用户的使用,提供了良好的使用界面,报警参数的阀值可以根据用户需要进行调整(有些其他产品可能也提供了这些方面的统计,但是不便于使用和分析),科来回溯系统这一点是做得不错的。