NTAS PCAP分析方案

摘要

网络流量的分析是网络安全可靠运行的重要保障手段,PCAP作为事后分析的金标准已经被企业内各部门广泛使用,成为鉴定问题和事件的凭证。NTAS PCAP分析系统支持对大型PCAP文件的高速解码分析,工程师可从应用层、网络和数据包层全面了解PCAP数据,从而快速定位问题。因为PCAP都保存在NTAS系统内,减少了从网络和桌面泄露敏感信息的风险。

网络分析的金标准

数据包从不说谎,数据包抓取成为网络安全犯罪调查主要证据的黄金标准很长时间了。它是从监控流量传输过的流量的完整复制。数据包不是一种解析,它就是底层的真相。

global

对于网络故障和性能分析,只有数据包能够提供完整的网络通讯现场,包括当时的网络带宽、对涉及的IP地址和端口的数据报文、数据包的接收和响应等,这些发生在毫秒级的数据传输细节是元数据日志不能提供的。

对于安全事件的分析,只有数据包可以提供时间和事件顺序的内在信息,比如攻击来源、受影响的资源、违规接入甚至泄露的数据、攻击如何在网络中横向移动。真实攻击的流量还能提供一些其他重要的信息,比如该攻击是否是以前就发生却未被检测到的、以及部署的缓解技术是否真的有效。相比于日志数据,数据包的数据会更有可能发现之前不知道的行为,比如隐藏的交流/泄露频道、其他正常流量中潜藏的C2信号等。

PCAP会采集所有东西,但是它并不是被设计用于提供实时——或者任何形式的分析,分析是由一些插件或者其他安全工具解决。PCAP的价值是能够抓取并细节地展示真实发生的事情,除了少数的实时分析之外,对网络数据包的分析通常是在事后,网络故障和安全事件的确认几乎总是要依赖于数据包。

PCAP分析工具的挑战

在企业范围内广泛使用pcap来保存网络通讯现场并分析问题,有非常多的工具用于分析和处理pcap数据,比较著名的如tcpdump、wireshark、solarwinds等,一些商业的网络性能分析厂商以及网络安全分析厂商的产品也内置了部分pcap分析功能。

当前的pcap分析工具在发挥重要作用的同时,也面临诸多挑战,主要体现在分析性能、分析能力和数据泄露风险等方面。

分析性能低

当前主要的分析工具是基于桌面环境或者是单机环境运行的,它们在处理大型pcap数据包时会遇到查询效率低、内存和CPU占用高等瓶颈,单个文件在50万个数据包以上就会明显卡顿,数据量再增加就基本不可用了。变通的方案是将pcap切分为多个小型文件,但这会导致会话分割和在多个文件之间来回切换的问题。

分析能力单一

现有工具不具备融合分析的能力,有点主要针对数据包的解码和查询统计,有的针对流量和性能分析,有的从pcap提取应用数据提供查询。很多情况下,工程师需要获得多层次的数据,从而更快速的定位问题,这样就要求工具可以同时提供应用日志、性能指标和包级别的解码分析能力。

数据泄露风险

以桌面工具为基础的分析工具,普遍存在因将pcap数据文件保存到桌面环境,而导致其包含的敏感信息泄露的风险,虽然可以选择将payload切割后下载,但依然可能暴露内部网络的信息,并且数据包被切割后降低了对复杂的网络安全及应用问题的分析能力

img1

难以团队协作

有的情况下,需要团队协作涉及多个工程师分析同一段PCAP。目前的工具只能是将pcap文件通过网络传输共享,当pcap文件过大时会显著的增加对带宽的消耗并增加等待时间,文件在多人间共享也增加了敏感信息泄露的风险,工程师之间分享分析结果还需要借助其它的手段。

NTAS分析系统

NTAS分析系统的PCAP分析能力全部在服务器端实现,为工程师提供了高效的PCAP分析工具,支持大文件的高速解码、融合分析和协同分析。

高速解码

decode

全面兼容wireshark解码引擎,数据包仅需一次解码,可线性扩展解码性能,轻松应对G级别大小或包含数千万个数据包的文件。

包解码分析

NTAS使用兼容wireshark的display filter,工程师无需培训可以直接上手包分析功能,支持端点统计、包查询解码、子查询、I/O图表、TCP流形、过滤器颜色分组等功能。

pcap

秒级流表分析

NTAS针对PCAP重建秒级流表,提供多达百种指标的查询和聚合统计,通过时序图同时对比多个网络会话的指标,可直接打开对应的数据包实施包分析。

flow

应用日志分析

NTAS支持对数据包集的应用日志分析,目前可提取http、tls、DNS的应用日志,并跟踪这些应用日志与网络流及数据包的关联关系,工程师可在时序图上查看应用日志并打开对应的网络包分析。

applog

协同分析

NTAS支持对pcap的协同分析,通过建立和分享分析工程,多个工程师能够将多个pcap置于一个分析工程内进行分析验证,这种协同工作不需要将pcap文件在工程师之间互传。

res

结语

PCAP是网络通讯行为分析的基础数据,无论是网络及应用故障、网络安全事件的调查,都需要网络数据包级别的分析。NTAS分析系统为网络运维和安全团队提供了网络数据包分析的协同工作支持,提高了分析效率,是网络工程师和安全工程师的得力帮手。