主計處統計專區 國情統計通報 全國統計資料 統計法制與標準分類 資訊服務

::: 首頁 > 資訊管理 > 政府機關資訊通報

調查局「Ntop 於網路流量及安全管理之應用」

 

壹、前言

網路流量及安全管理一直是網管的主要課題，管理者必須瞭解網路傳輸瓶頸，並據以規劃後續擴充作業，但在現今複雜的異質網路環境下，對於網路問題的鑑別，常需藉助通訊協定分析儀(sniffer)或探測器(probe)；另由於非IP協定如Appletalk、IPX等對網路流量的影響不易察知，網路中的使用者擅自更改個人電腦的設定，也可能產生潛在的安全問題，使得管理者必須持續的監控網路運作情形，才能瞭解問題發生的原因。

大型網路的管理工作，常以建置功能完整的網管工作站，利用SNMP向網路設備如路由器或集線器等收集資訊，進行儲存、分析，並以適當的圖形或表格方式呈現在工作站的畫面上，供網管人員參考，但諸如Openview等網管軟體，功能雖完整但卻價格昂貴。

部分機關基於資訊安全與頻寬管理的因素，並未全面開放員工經由內部網路任意連接網際網路，對於員工多樣化的網際網路運用需求，則以建置ADSL以為因應，對於此類的小型網路，由於成本效益的考量，並不適宜建置昂貴的網管系統，但又不得不加以適當的管理，故運用開放源碼(open source)的軟體，似乎是一個可行的途徑；本篇作業報導即針對類似需求，提出一個既簡單又近乎免費的解決方案-ntop，供大家參考。

圖一、ntop網路流量分時統計圖

 

貳、系統建置

一、硬體需求：一台舊PC(本實作案例CPU為Pentium 166，RAM為32M，硬碟為3G，配備一片網路卡)。
二、作業系統：Trustix 1.5（以RedHat Linux為基礎的一個經過安全強化並精簡後的版本，可自www.trustix.net下載）。
三、資料庫系統：本例使用MySQL，於安裝作業系統時一併安裝。
四、Ntop主程式：本例使用2.0 Stable版本，可自www.ntop.org下載更新版本。
五、其他相關軟體：

（一）libpcap封包擷取工具，於安裝作業系統時一併安裝，亦可自www.tcpdump.org下載。
（二）gdbm快取工具，於安裝作業系統時一併安裝，亦可自www.gnu.org下載。
（三）nmap網路掃瞄及作業系統辨識軟體，可自www.nmap.org下載。

 

參、系統架構

圖二、ntop系統架構

一、封包擷取元件(Packet Capture)：利用libpcap對網路上的封包逐一加以擷取，交由分析元件處理，由於libpcap內建緩衝區不足，可能造成封包漏失的情形，ntop另利用gdbm實作第一層快取，SQL資料庫為第二層快取(請參考下文) ，在流量突增的情形下，確保對封包的擷取不會漏失。

二、封包分析元件(Packet Analyzer and Correlator)：ntop對於常見的通訊協定均具備辨識的功能，能對ntop所在的網路中，所有傳送及接收的封包，依據通訊協定的類別及傳送接收的主機，分別記錄其傳輸量及封包數。

三、迷你網頁伺服器(Report Engine)：對於所記錄的數據，經分類排序後轉換成網頁型態，交由內建的迷你網頁伺服器處理，部份數據更利用gd及libpng函式轉換為餅狀或柱狀圖，提供給瀏覽器客戶端；使用者亦可透過瀏覽器對ntop進行遠端管理；此舉避免因另行設定網頁伺服器而增加的系統管理及安全設定的問題。

四、資料庫客戶端(SQL Event Emitter)：為增進系統效能、減低對記憶體的消耗，ntop除利用gdbm為第一層快取，記錄IP位址解析及遠端作業系統辨識等資料外，對於TCP 連線及其他相關資料，則利用內建資料庫客戶端，傳送至本機或遠端的資料庫加以儲存。

 

參、系統功能

Ntop的發展原係為因應對網路頻寬使用狀況的掌握，正如運用unix系統中的top指令以瞭解系統資源使用狀況一樣，ntop對網路管理工作具有下列重要功能：

一、網路流量檢測：

Ntop對每一台可見的主機，均對其資訊傳輸活動加以記錄，包括：

（一）資料傳送及接收：依據不同的通訊協定分別統計其傳送及接收的資料量與封包數量。
（二）IP多址廣播：對發出或接收多址廣播(multicast)的主機分別記錄其傳輸量及封包數量。
（三）TCP連線記錄：目前已建立的網路連線，及其相關流量資料。
（四）UDP資料傳輸量及其通訊埠。
（五）TCP與UDP服務項目。
（六）作業系統名稱。
（七）個別主機的頻寬使用率。

圖三、資料傳送分佈表

另外，ntop亦對網路整體流量進行分類統計，包括下列項目：

（一）流量分佈情形：區分為本網路主機之間、本網路與外部網路之間、外部網路與本網路之間的網路流量統計。
（二）封包分佈情形：依據封包大小、廣播型態及IP與非IP等加以分類及統計。
（三）協定使用及分佈情形：本網路各主機傳送與接收資料所使用的通訊協定種類與資料傳輸量。

圖四、通訊協定使用分佈圖

 

二、網路設定監控

網路使用者必須遵守機關訂定之作業規範，共同維護網路的正常運作，管理者從ntop收集的流量資訊中加以分析，可以發現下列違反規定的情形：

（一）IP重複使用情形。
（二）擅自設定路由功能或子網路遮罩設定錯誤情形。
（三）網路應用程式設定錯誤情形：例如outlook被設定為每五分鐘向郵件主機查詢一次新郵件，ntop客戶端每十秒鐘向主機校正時鐘一次等情形，均可能造成頻寬無謂的浪費。
（四）網路服務濫用情形：例如機關規定瀏覽外部網站必須經由proxy主機，而使用者故意規避的情形，其他如自行建置HTTP及FTP伺服器之情形。
（五）使用者設定不必要的通訊協定：例如在無Novell伺服器的環境中發現IPX通訊協定之情形。
（六）過度耗用頻寬的情形：例如持續傳輸大型檔案，長時間佔用頻寬，以致於影響他人作業之情形。

三、網安事件偵測

ntop對於網路安全相關事件的偵測功能，來自於其對封包擷取及分析的能力，網路管理人員必須瞭解網路及通訊協定的基本原理，才能深入解析出其中的意義。

（一）通訊埠掃描的偵測：ntop監控傳輸目的埠小於1024的封包，並記錄每台主機最後三次的連線情形，故無論是本網主機向外掃瞄，或外部主機向本網掃描，均可由持續監控後察知；通訊埠掃瞄可能是進一步入侵行為的前奏，故必須謹慎因應。
（二）特洛伊木馬的偵測：一些著名的木馬程式使用特定的通訊埠，例如BO2K使用1349、8787、31337、54320、54321號等通訊埠，ntop週期性地監控這些通訊埠，藉已發現可疑的木馬程式，對於具有變換通訊埠功能的木馬，則須管理人員提高警覺，隨時對可疑的通訊埠進行追查，才能發現。
（三）阻斷服務攻擊的偵測：對於大量出現設定SYN旗標卻無後續連線動作的封包，持續湧向特定主機的情形，可能是一種DOS攻擊，其結果將造成受害主機耗盡其系統IP堆疊，以致於無法與其他主機建立新的連線，ntop對於這種封包具有記錄功能。
（四）可疑封包的偵測：對於封包中具有RST旗標、單一的SYN/ACK或SYN/FIN旗標等，代表不正常的終止連線或對網路的掃瞄偵測，管理者通常可藉由對此類封包的研析，進而發現對網路侵害的潛在問題。

 

圖五、可疑封包偵測情形

 

肆、結語

ntop係由義大利Pisa大學教授Luca Deri於1997年開始研發，基於GNU GPL的精神以開放源碼方式免費提供網路社群使用，本項作業所使用的系統亦均係開放源碼軟體，系統建置僅需一台堪用的舊PC，網管人員可視實際的需要自行建置，以協助網路管理工作。惟該軟體是網管人員依據特定需求而開發，可能無法像商業軟體一樣，適合大多數的人使用，然其所具備的流量檢測及基本的封包辨識功能，相信仍能符合小型網路的簡單管理需求。（本文由法務部調查局資訊室提供）