你想看到有关网络流量的统计并且确实知道是哪些计算机在引起这些异常活动吗?通信流量中的巨大尖峰波形通常是令人担心的,Ourmon软件能够分辨出这些通讯的来源,以及通信的类型。这个软件包含的所有这些功能都是网络和安全监视中的重要功能。
最近,人们恢复了对僵尸网络(感染了恶意代码、能够被黑客控制的计算机网络)和面向网络的恶意软件检测软件的兴趣。人们发现,从安全的角度看,“Cricket”和其它通信图表显示软件基本上没有什么用。Ourmon软件原来是用来监视主机网络活动和提供报告并且用图表显示“主要通话者”的一种软件,几年前开始用于调查异常的通信流量。这个软件的名字显示了它主要提供RMON(远程监控)的作用。从那以后,Ourmon软件就作为网络监视和异常检测系统而闻名了。Ourmon软件现在能够提供拒绝服务攻击检测、TCP和UDP扫描器检测、IRC botnet检测并且能够发现和报告其它异常的活动。
首先,我们先从Ourmon软件可以找出网络异常活动谈起,因为这是Ourmon软件成为僵尸网络和扫描活动探测器的开始。
当我还是一个大学生的时候,波特兰州立大学网络工程师、Ourmon软件的制作者Jim Binkley给我带来了一些复杂的图表和统计。我们有时候把“TCP SYN”扫描行为误判为由于某种原因与服务器失去联系的应用程序的行为。但是,大多数情况下问题常比我们想像的要严重。一开始Ourmon软件不过是希望用图片形式向我们描绘TCP和UDP协议的工作情况以显示各主机的通信是否在有效率的进行。它开始使用的计量方法是比较通讯中SYN数据包的数量与SYN+ACK的数量,从而揭示TCP扫描活动。但通过这个分析,发现Ourmon软件可以很清晰的找出正在执行拒绝服务攻击或者正在扫描其它可感染计算机的被黑客攻破的计算机。
接着,我们谈一下Ourmon软件揭示IRC僵尸网络的能力。很多声称可以发现“僵尸网络活动”的商业性产品实际上仅仅报告了你的网络中的哪一台计算机连接到了ICR服务器。Ourmon软件是在大学中开发的。那里的人们一直使用IRC进行通信。因此,企业使用的这种原始的、快速推向市场的方式显然不适合这种环境。Ourmon软件的僵尸网络检测功能把扫描主机与IRC活动结合在了一起,并且生成一个“邪恶IRC频道”列表。例如,一台Windows计算机一直在扫描这个网络并且与其它有同样扫描行为的主机一起参加同一个IRC频道,那么很有可能这台计算机就是一台被黑客攻破的计算机。这些有扫描行为的计算机通常是蠕虫传播的结果。因此,Ourmon软件把这些计算机称作“wormy hosts”(蠕虫主机)。并有一个基于文本的IRC报告其中列出了受到感染的主机:
频道名称主机数量有蠕虫的主机恶意标识
#exploit109E
#ubuntu150
是的。确实有人在使用名为“#exploit”的频道运行一个僵尸网络(botnet)。你可以看到,园区内在这个IRC频道中的大多数主机也会表现出有蠕虫的其它行为。Ourmon软件正好在发现了一个新的botnet,并且在我们的网络中至少发现了9台被感染的计算机。
你也许会想:“这同Snort软件一样,对吗?”。但是,实际上是不一样的。Snort软件使用指纹检测病毒和安全漏洞。它不能检测到其本身程序中没有的任何东西。Ourmon软件分析网络的异常行为并且发出报告,因此,它能够发现未知的蠕虫和IRC 僵尸网络。作为一种副作用,Ourmon软件还能发现行为不良的应用程序,例如某些文件共享软件大多数时间以一个扫描器的形式出现,因为它在设法连接一个非法的对等伙伴的列表。通过修改Ourmon的设置文件,你还可以让Ourmon软件监视和描绘你需要的任何事情。
现在重点介绍一下Ourmon的网络监视功能。Ourmon软件的图表能够让网络管理员清楚地看到基本的网络通信的状况,并且提供多级的详细情况。你在Ourmon网页上看到的第一个东西就是一个总的通信流量表和过去的一天半时间里的数据包总数。向下滑动网页可以看到更详细的统计。你可以看到通信流量按协议分类,然后按端口分类,再然后按发送的主机分类。在连接到上述网页的样本网页上,你可以看到PSU已经设置了基于子网的视图。这同config文件中再加上一行一样简单。你可以告诉那些市场营销人员或者工程师,他们正在用光全部的带宽。你还可以发现“top SYNners”和最普通的“top talkers”等图表。这些图表能够让你迅速发现使用最多带宽的机器的IP地址,不管这些机器使用什么协议。
网络图表示例
仅在主页上就有许多信息。而且你随意增加多少信息都可以。如果这个“top ports”(主要端口)的图表不适合你的需求,你可以进行修改并且跟踪你喜欢的任何一组端口。主要的SYN计数和TCP蠕虫表格让你迅速看到你的网站受到蠕虫感染的真实情况。这个图表还能告诉你,你是否受到了拒绝服务攻击,或者你是否通过某个标签参加一次拒绝服务攻击。当然,这些就是全部的MRTG(多路由器流量图示器)图表。因此,你可以最多看到一年的有价值的数据。
Ourmon软件的基本思路是,把这个软件安装在你的边界附近,检测你的站点进出的全部数据。这需要功能稍微强大一些的服务器以满足快速互联网连接的需求。但是,这个软件提供的数据是非常珍贵的。在配置速度最快的奔腾4芯片的计算机上运行的Ourmon软件能够跟上包交换设备(PSU)的GB连接速度(实际使用的连接速度是每秒200至400MB)。不过,速度较慢计算机可以用来监视速度较慢的连接。根据你需要监视的项目数量的不同,配置500MHz奔腾3处理器的计算机就可以轻松处理每秒35MB的连接。
设置Ourmon软件需要花一些时间。但是,以默认的图表方式安装这个软件速度非常快。下个星期的文章里,我们将介绍如何安装和设置Ourmon软件,重点介绍个性化设置以满足你的需求。
