威胁狩猎-流量分析开篇

概述

当前互联网侧各类安全事件层出不穷，业务部署在互联网上，一个高危漏洞就有可能为黑客打开一条从外部进入到内网的通道。这就促使企业安全人员不得不重视安全问题，搭建一套安全体系和流程。部署全流量安全检测设备是已成安全建设中的必要的一环，在日常安全运营中，全流量设备通常有两个应用场景应对实时网络攻击事件监测和安全事件回溯。作为企业的安全守门员一是要靠设备的联动检测发现现有的问题，二是主动出击，发现潜在的安全风险。本文就流量分析初步做个概述内容涉及分析工具、分析思路。

流量分析工具

站在安全的角度上来聊流量分析，简言之就是从众多的网络行为数据包中，根据已知特征梳理出黑客的攻击行为，并判断事件影响等级。那么如何进行流量分析呢，分为手工和自动两种方法。企业通过旁路部署流量检测设备，根据设备内置的特征库与流量进行匹配，筛选出攻击数据后在分析平台上做可视化展示。这种是自动化的方式。手动方式首先使用抓包工具捕获目标数据包，而后利用Wireshark、科莱等数据包分析软件读取流量，分析数据包特征人工判定是否存在黑客行为。以下是一些当前比较流行的开源流量分析工具：

Wireshark：是一款免费的开源网络协议分析软件。它可以捕获网络数据包，并提供高级数据分析和报告。Wireshark可以处理多种协议，包括TCP、UDP、HTTP、SMTP等。下载地址：https://www.wireshark.org/download.html如下可以通过配置来抓取指定条件的流量。

tcpdump：是一个常用的网络抓包工具，使用 tcpdump可以轻松地捕获到系统进来和出去的的数据包。常在 Linux、Unix 和 macOS 等操作系统上使用。下载地址：https://github.com/the-tcpdump-group/tcpdump

`#抓取指定网卡的流量``tcpdump -i eht0 -w test.pcap``   ``#抓取指定协议的流量``tcpdump tcp -i eth0 -w test.pcap``   ``#抓取指定ip的流量``tcpdump host 192.168.10.10``   ``#抓取指定端口的流量``tcpdump  port 80`

Ntopng：是一款基于Web的流量分析工具，可以实时监测网络流量、带宽利用率和应用程序协议。Ntopng支持多种流量源的监测，包括网络接口、sFlow、NetFlow和IPFIX。下载地址：https://github.com/ntop/ntopng

Snort：是一款免费的网络入侵检测和预防系统软件。它可以监测和分析网络流量，并侦测攻击活动和异常流量。Snort支持多种协议，包括TCP、UDP、ICMP等。下载地址：https://www.snort.org/

Suricata：是一款高性能、多线程的网络入侵检测和预防系统软件。它可以检测并防止多种攻击活动，包括DoS、DDoS、蠕虫攻击等。Suricata可以处理多种协议，包括TCP、UDP、HTTP、FTP等。下载地址：https://github.com/OISF/suricata

Pcap分析

在日常安全运营工作中，流量分析一般分为两类，一是单个攻击pcap分析，分析攻击者有木有攻击成功。这种分析主要针对特定攻击的分析，需要了解这个攻击是干什么的，有什么危害，攻击成功的特征是什么。这类分析工作相对比较简单，如果分析方法不太熟练也可以用chatgpt辅助，例如：web漏洞CVE-2020-5902(F5 BIG-IP 远程代码执行漏洞)

当然攻击者不止针对http协议进行漏洞利用，还有ssh、redis等。在分析中可以就特定攻击名称来分析相关数据包内容是否攻击成功。

二是流量包分析，这类分析通常发生在企业发生安全事件，设备没有有效检出或者只是检出了个别攻击。这时候就下载失陷主机的全部流量行为进行分析，还原整个安全事件。这类分析通常有两个目标找攻击入口和找黑客资产。比如失陷主机对外只开放了redis服务，那么攻击者入侵的方法大概就和redis漏洞相关，分析流量时候首先着重关注redis协议，然后结合互联网侧公开的redis漏洞，比如redis爆破、主从复制等在流量中找特征。其次看与这台机器发生连接的IP、其他通信协议，确认下有木有C&C。

通过上述两个简单案例，总结下流量分析大概思路，首先就是建立假设或者已知攻击线索，比如国外的blog公开某框架新漏洞、安全设备监测到主机上存在木马或者其他失陷线索。其次就是梳理失陷主机的对外业务，业务是黑客攻击的入口，理清业务才知道下一步分析的侧重点。接下来就是分析了。分析效率取决于流量分类技巧，把采集到的流量准确分类，不同场景的威胁分析有不同流量分类方法。大体分为如下三类：

（1）协议分类，根据网络中的使用的协议将流量分成不同的类别，例如TCP、ICMP、UDP、DNS、HTTP、TLS等，通过对不同协议内容进行分析发现威胁。

（2）目标主机/端口分类。筛选指定IP或者分析特定端口的响应内容。

（3）数据包大小分类，分析特定大小数据包的内容。

协议分类

顾名思义就是按照不同协议类型进行分类，如下数据包，使用wireshark的统计功能，该流量包中有TLS、socks、http、rsl四类协议。分类后接下来就是针对特定协议进行特征分析。

目标主机/端口分类

这个主要是根据前期搜索到了攻击者IP或者可疑通信端口，提取指定流量。

`ip.addr == 100.100.36.108``tcp.port == 57184`

数据包大小分类

恶意流量的数据包通常大于正常流量的数据包。因为攻击者通常会利用较大的数据包来发送恶意代码或攻击命令。因此首先需要了解正常情况下的特定协议的数据包大小范围，在此基础上如果发现数据包大小明显偏离正常范围，就可能是恶意流量。例如ICMP数据包的大小通常是64字节，其中包括8个字节的ICMP头和56字节的数据部分。另外ICMP数据包的大小可以根据需要进行调整，最大约为65,535个字节。例如在恶意icmp隧道通信中数据包的DATA往往不为64字节.

杂七杂八想法

笔者也用过不少全流量类商业安全产品, 针对流量的解析后的字段,在进行自定义检索的时候各家做的有些差异, 即设备记录了很多字段信息，但是为什么不支持某些字段查询呢。或者说不同协议解析后的字段应该取哪些字段作为查询语法呢。大家展开思路想想如何提取有价值的字段。