FlowViewer 網路流量分析系統
提供駭客入侵/DDOS攻擊防護
Flowviewer可藉由收集並分析每個IP的詳細資料來偵測出各種網路入侵與網路攻擊
 |
|
l 相容 NetFlow / sFlow 架構,內建資料庫 l 即時性報告查詢最小區間以『分』為單位 l 偵測蠕蟲攻擊及阻斷功能 l 偵測假 / 偽造 IP 功能 l 偵測 SSH 密碼猜測攻擊及阻斷功能 l 偵測 RDP 攻擊及阻斷功能 l 偵測 UDP Flood 攻擊及阻斷功能 l 偵測 DOS 跳板攻擊及阻斷功能 l 偵測 DNS 攻擊及阻斷功能 l 偵測 NTP 攻擊及阻斷功能 l 偵測埠掃描攻擊及阻斷功能 l P2P 軟體限頻及阻斷功能 l 流量配額限頻及阻斷功能 |
|
一、當日流量圖:區分為當日24 小時異常流量分佈圖及IPv4 / IPv6 網路流量圖 二、動態查詢:針對個別設定的條件來做即時查詢 三、批次查詢:針對動態查詢資料量大的,依照個別設定條件進行批次查詢 四、固定報表:區分為年報、月報、周報、日報、時報 五、異常流量報表:區分為年報、月報、周報、日報、時報 六、流量配額控制功能:其功能分成兩種模式:1﹒立即阻斷 2﹒限制頻寬 |
|
l 同時支援分析Netflow 及Sflow 兩大主要flow 格式。 l 可偵測、阻擋Port Scan入侵,也可偵測到被駭客假借IP(Relay Intrusion)去入侵外部IP。 l 自動設定ACL 到L3 Switch,就近阻斷異常流量,即時防止災情氾濫。 l 流量配額(Quota)功能及IP 即時流量查詢。 l P2P 過濾及阻斷、限流功能。 l 偵測內部DDoS, RDP, Port Scan 等傳統IPS無法找到的入侵及攻擊行為 |
 |
|
l 本設備可於網路中任一節點,同時具備接收 s F l o w 及 N e t f l o w 之功能。 l 設備系統提供中文化整合性 W e b 使用者介面,管理者可遠端以瀏覽器進入管理畫面管理所有功能,且提供管理者帳號、密碼之設定功能。 l 系統設備可同時對 L 3 S w i t c h 下 A C L 指令,最多 1 0 台 L 3 S w i t c h 來阻斷被攻擊之I P。需搭配適用 L a y e r 3 之網路設備( C i s c o , F o u n d r y , A l c a t e l , E x t r e m e )。 l 提供異常流量分佈圖,顯示每個小時裡有發生哪些網路攻擊行為,有發生攻擊行為事件時會以顏色做區分顯示,亦可直接點選發生的時間點後自動導入報表做詳細的查詢,方便網路管理者做管理,不須再一一到各個攻擊報表作查詢。 l 提供阻斷鎖定被蠕蟲攻擊之I P功能並可設定所需阻斷之時間,且提供M a i l通知管理者之機制,並提供白名單即發生蠕蟲攻擊時不想被阻斷之I P。 l 提供偵測 P o r t S c a n 埠掃描之功能( N B A D ), 提供可本機或下A C L到C o r eS w i t c h自動阻斷攻擊來源I P並可設定所需阻斷之時間。 l 提供偵測S S H ( S e c u r e S h e l l ) 及 R D P ( R e m o t e D e s k t o p P r o t o c o l ) 密碼猜測攻擊之功能( N B A D ),提供可本機或下A C L到C o r e S w i t c h自動阻斷攻擊來源I P並可設定所需阻斷之時間。 l 提供偵測 D O S ( D e n i a l o f S e r v i c e ) A t t a c k、U D P F l o o d、D N S ( D o m a i n N a m i n g S y s t e m ) A t t a c k、N T P ( N e t w o r k T i m e P r o t o c o l ) A t t a c k攻擊偵測功能 ( N B A D ),可設定之阻斷模式:阻斷攻擊來源為內部 I P、阻斷攻擊來源為外部 I P、內外部I P同時阻斷等三種模式。 l 提供動態查詢分析可任自行定義時間區段(年、月、日、時、分) 間來查詢歷史犯罪記錄, 並提供連線數點選進入顯示詳細資料。 l 提供即時流量報表及網路流量控制功能可分別針對 I P v 4 和 I P v 6 協定。 |
 |
 |
|
一、當日流量圖:區分為當日24小時異常流量分佈圖及IPv4 / IPv6網路流量圖主要針對今天的異常流量行為及IP之上載、下載流量,方便管理者做查詢。異常流量分佈圖每一格方塊代表這個小時裡有發生哪些網路攻擊行為,有發生攻擊行為事件時會以顏色做區分顯示,亦可直接點選發生的時間點後自動導入報表做詳細的查詢,方便使用者做管理,不須再一一到各個攻擊報表作查詢。
為了讓管理更直觀,每日每小時依各駭客入侵及攻擊項目分別直接顯示正常(無色)或異常(有色),針對異常(有色)時段在異常流量分佈圖上,點選顯示被攻擊的時間點,會直接至所查詢的攻擊報表搜尋這一小時裡面有哪些IP在做攻擊。技術採用NBAD(Network Behavior Anomaly Detection)技術收集NetFlow或Sflow並且加以歸類及分析每一筆I P行為模式,而不是採用特徵碼(Pattern),透過收集每個IP封包的細節行為並搭配演算法,由IP行為找出規律性來判斷該行為是否合法。功能的準確性由國家高速網路中心跟台灣國立中興大學有幫我們確認並驗證。 |
||||||||
 |
||||||||
|
二、動態查詢:針對個別設定的條件來做即時查詢 提供動態查詢來源IP的傳輸量及連線數之前5分鐘流量報表,顯示時間須為10秒內顯示完畢,並可查詢歷史IP傳輸量及連線數報表。可任意調整時間區段來查詢任意特定IP,報表包含來源位址、目的位址、連線數及傳輸量。 |
||||||||
 |
||||||||
| 以下圖為例,以2016年9月9日 12:00~13:00這段時間做為查詢條件,來源IP位址為140.x.x.5,查詢時間區段為1小時,查詢時間花費5.5秒。 | ||||||||
 |
||||||||
| 目的位址底下的IP有分為藍色和綠色,藍色代表有經過80 port的IP,點擊74.125.23.102除了導入地理位址查詢系統外,還會再另開一個Web介面,顯示這個網頁的內容,如下圖: | ||||||||
 |
||||||||
| 設備提供Zoom In功能,140.x.x.5到74.125.23.102這個IP產生502個sessions,根據來源位址、來源埠、目的位址、目的埠、時間、Bytes,再強調一次此功能世界上只有Flowviewer設備才有,這是要有超強演算法才能整合分析排列出來。 | ||||||||
 |
||||||||
| 三、批次查詢:針對動態查詢資料量大的,依照個別設定條件進行批次查詢
這個功能主要是當查詢出來的資料需要一段時間,或是查詢出來的資料可以暫存起來等下次登入系統的時候在查看。一般使用者都要在電腦面前的時候才能做動態查詢,這時只要事先設定好要查詢的條件在按下『批次查詢』這個功能,系統就會自動找出時間處理排隊中的任務,讓使用者隨時都可以查看批次查詢完成的相關資料。 |
||||||||
 |
||||||||
| 動態查詢功能可提供電信警察來函,要求查詢某特定IP在何時之流入/流出的來源及目的位置IP,一般國內外即時查詢流量報表設備都預設值為5分鐘區段,Flowviewer設備之預設值為1小時區段,甚至有些廠商根本不敢提供。快速收集NetFlow或Sflow並且加以歸類及分析每一筆內、外部IP資料,包括:來源IP位址(the source IP address)、目的IP位址(the destination IP address)、經過時間(the time duration)、通訊協定(the protocol)、連線數、傳輸量等,並藉由這些資訊來判斷駭客入侵和攻擊。因為這些IP資料是網路最基本的資料,只要有上網路都會留下這些資料,也不必擔心駭客每兩三天變更特徵碼等問題。 |
||||||||
|
四、固定報表:區分為年報、月報、周報、日報、時報 固定報表主要針對目的IP之上載、下載及來源IP之上載、下載等四種,因為來源 IP有可能是校內網路的內部IP,也有可能是校外的外部IP,目的IP也是如此,所以根據上述報表查詢須要有流入的目的(指外部網路下載到內部網路之校內IP)、流入的來源(指外部網路下載到內部網路之校外IP)、流出的來源(指內部網路IP上載到外部網路之校內IP)、流出的目的(指內部網路IP上載到外部網路之校外IP),但也是需要“進出流量合併報表”就是每個IP可看到流入及流出的流量及sessions總合,因為Netflow可以看到內對內的報表(內對內的流量)所以設備也提供“本地端來源”功能。 |
||||||||
 |
||||||||
|
五、異常流量報表:區分為年報、月報、周報、日報、時報 判斷為網路異常之IP,進行Zoom In查詢,了解異常流量IP過去一段時間及埠號,進一步追蹤問題點。Flowviewer設備提供在設備上自動阻斷駭客入侵及攻擊之IP。當駭客由Internet入侵使用單位內部網路,可自動下ACL指令在Core Switch來阻斷,駭客內對內的入侵。大部份的內對內入侵都是透過RDP來執行,而RDP密碼猜測入侵攻擊的偵測功能正是FM-800A的獨家功能。Flowviewer設備除了具備有Port Scan、SSH、RDP等功能來防止駭客入侵,還具備偵測駭客內對內入侵功能,如此才能防止駭客勒索事件(Ransomware Attackers )。 |
||||||||
 |
||||||||
| ※ Flowviewer設備在Inline Mode架構,來防止駭客入侵及攻擊: | ||||||||
 |
||||||||
| 採用In-line Mode方式建置,主要經過本設備都可偵測駭客入侵及攻擊;FM-800A設備具備軟、硬體(Firmware) Auto Bypass,所以當本身設備損壞當機時設備系統都會進入Auto Bypass狀態,而不影響貴單位連線Internet。設備本身可以自動阻擋駭客攻擊或自動在L3核心路由器下ACL指令來阻擋駭客的攻擊。 ※ACL阻斷IP功能介紹: 提供訪問控制列表(Access Control List Entries)ACLs阻斷功能並可設定所需阻斷之時間,且提供通知管理者之機制,此功能針對適用於下列Layer 3之網路設備:(且提供白名單即發生病毒蠕蟲攻擊時不想被阻斷之I P及VLAN)。 適用之核心路由交換器列表: |
||||||||
|
||||||||
| 六、流量配額控制功能:其功能分成兩種模式:1﹒立即阻斷 2﹒限制頻寬 如圖: |
||||||||
 |
||||||||
| 1. 網路流量限制(Quota)功能介紹:在Inline Mode才具備此功能
l 設備系統可設定各個使用者I P位址的,上傳流量限制、下傳流量限制、及上下傳總和流量限制,只要其中任何一項超過限制立即斷線,也可設定上傳(或下傳)而不設定下傳(或上傳),具備彈性靈活之功能。 l 設備系統提供超過流量限制之IP斷線名單。並提供超連結功能顯示斷線名單(即提供使用單位WEB Server超連結功能至本設備,查詢斷線名單) 。 l 設備系統提供中文化之使用者介面,管理者可遠端以瀏覽器進入管理畫面,管理所有功能,且提供管理者帳號、密碼之設定功能。 l 可針對整個網段及個別IP依等級及權限制定流量配額。 |
||||||||
 網路流量限制(Quota)設定畫面 |
||||||||
| 2. 即時流量:此功能有上傳流量、下載流量、總傳輸流量、現在上傳速度、現在下載速度、現在 總使用頻寬、上傳最高頻寬、下載最高頻寬、最高總使用頻寬等資訊,此功能是跟流量配額搭 配使用所以可以看到每個IP之流量配額限制數量及還有剩多少流量可以使用。 | ||||||||
 ※紅色表示流量限額已到達、藍色表示流量限額未達、黑色表示不設流量限額 |
||||||||
| 3. 強制斷線功能:當網路管理者發現某個IP,不正當使用網路資源、惡意亂搞網路等,有提手動供強制斷線功能。
4. 公開報表功能:不用經過本設備帳號及密碼可外拉超連結畫面供使用者查詢 |
||||||||
 |
||||||||
| 5. 彈性功能:當使用者超過規定的流量限制時,仍然可以連線到白名單內的伺服器使用網路資源。 | ||||||||
 |
||||||||
|
七、 總結 Flowviewer設備在Inline Mode具備四大功能:
|
 |
 |
 |