phân tích lưu lượng mạng - bro nsm - p1
TRANSCRIPT
Phân tích lưu lượng mạng - BRO NSM - P1visudo.info/phan-tich-luu-luong-mang-bro-nsm-p1/
Nếu bạn thường xuyên phải sử dụng công cụ phân tích lưu lượng mạng Wireshark để thu thập các gói tin và sau đóthực hiện phân tích thủ công hoặc thông qua các bộ lọc (filter) mà Wireshark hỗ trợ, thì với giải pháp Bro sẽ giúpbạn xây dựng một hệ thống tương tự với các tác vụ được thực hiện theo thời gian thực mà không còn gặp các trởngại như: sao chép tập tin PCAP, bị giới hạn dung lượng lưu trữ tập tin PCAP, không hỗ trợ thời gian thực, yêu cầuphân tích thủ công hoặc thông qua script tự phát triển, ... và nhiều vấn đề rắc rối khác. Tuy nhiên, tôi không phủnhận hoàn toàn các tính năng mà Wireshark mang lại, mà tôi chỉ muốn đề cập một số vấn đề xảy ra khi phân tíchdữ liệu trong môi trường mạng có lưu lượng quá lớn thì bạn sẽ có thể gặp những vấn đề tương tự.
Giới thiệu Bro Network Security Monitor
Bro là một dự án mã nguồn mở, cung cấp cho người dùng một giải pháp giám sát hệ thống, phân tích lưu lượng,thay đổi dữ liệu gói tin (DPI: Deep packet inspection), xử lý sự cố mạng, đo đạc hiệu năng, ... ở cấp độ network. Brohỗ trợ tích hợp với những hệ thống giám sát, phân tích mở rộng khác như ELK stack (Logstash, Elasticsearch,Kibana), Splunk, Alienvault OTX, ...
Bro cho phép ghi nhận các sự kiện mạng vào nhật ký (log) hệ thống, thông qua đó người dùng có thể thực hiệntrích xuất các tập tin dữ liệu (data file) được truyền tải qua môi trường mạng. Các nhật ký hệ thống này có thể thựchiện ghi nhận các dữ liệu tại lớp ứng dụng như HTTP Session, Key header, MIME type và các phản hồi từ máychủ,...; các truy vấn, phản hồi giao thức DNS; SSL certificate; các khóa trong SMTP Session;... và hỗ trợ nhiều giaothức truyền tải khác. Một số ứng dụng thực tế của Bro là sử dụng như một công cụ phân tích các luồng dữ liệu củamã độc, ghi nhận các lỗ hổng của hệ thống mạng, xác định các ứng dụng web phổ dụng, phát hiện tấn công SSHbrute-force, kiểm tra tính hợp lệ của chứng thư số SSL,...
1/2
Bro có thể hoạt động trên nhiều thiết bị phần cứng khác nhau từ các thiết bị giá thành thấp như Raspberry Pi (kiếntrúc chip ARM) đến các thiết bị phần cứng chuyên dụng giá thành cao được sử dụng trong môi trường mạng có lưulượng cao như ISP, cơ quan an ninh,... Bỏ qua các vấn đề về phần cứng và giá thành, Bro thật sự đã vượt xa chứcnăng của một công cụ giám sát mạng đơn thuần; thông qua ngôn ngữ phát triển mạnh mẽ (Bro’s scriptinglanguage) nó đóng vai trò là một công cụ phát hiện các mối nguy hại thông qua phương pháp phân tích ngữ nghĩa(semantic misuse detection), phân tích hành vi (behavioral analysis), phân tích các hoạt động bất thường (anomalydetection) của hệ thống mạng. Tác giả của dự án đã nhấn mạnh rằng " We emphasize in particular that Bro is nota classic signature-based intrusion detection system (IDS)."
Trong những năm gần đây, Bro đã được triển khai trong nhiều hệ thống mạng trên thế giới nhằm phát hiện, bảo vệcác cơ sở hạ tầng trọng yếu trước các cuộc tấn công; bao gồm: các trường đại học, phòng nghiên cứu, các hệthống khoa học mở, trung tâm siêu máy tính, cũng như các tổ chức kinh tế khác. Nếu bạn thường xuyên quan tâmđến các bài viết về bảo mật, cũng như các bài viết về hệ thống giám sát mà Cơ quan An ninh Mỹ - NSA đang sửdụng, bạn sẽ ngạc nhiên rằng khi thấy họ đã tự xây dựng hệ thống như thế thông qua "Bro Network SecurityMonitor" (xem bài viết tại How to Make Your Own NSA Bulk Surveillance System ). Do đặc tính thiết kế phần mềm,Bro có thể giám sát hệ thống mạng có lưu lượng 10GE, hoặc có thể nâng cao hơn trong một số trường hợp lên đến100GE; đảm bảo khả năng dự phòng, cân bằng tải thông qua sử dụng "Bro Clusters", và có thể quản lý dễ dàngthông qua BroControl.
Bản quyền thuộc về www.visudo.info © 2016
2/2