Scrutinizer

如何防止NetFlow Export 風暴?

在測量NetFlow 流量時,我們通常說每秒/數千個流量。該數據通過UDP從網路基礎結構導出到NetFlow收集器。這導致巨大的資料流量,其數量與NetFlow監控設備觀察到的唯一流量的量成比例。收集所有這些資料而不遺失封包可能是一個真正的挑戰,但通過一些基本的調整和高性能工具如Scrutinizer,可以實現完美的流量收集。

何時匯出NetFlow數據?

流量資料保存在流量暫存中,而對話仍然被處理流量的網路設備視為活動的。通常,您可能會發現自己將行輸入流量設定,例如“cache timeout active 60”或“cache timeout inactive 15”。這些命令用於定義如何確定流完整併準備匯出到Scrutinizer。如果連接始終處於活動狀態,則“活動超時”值將在指定的時間量後結束流量並開始新記錄,指示在匯出流量的最後一個封包之後多長時間開始“非活動值”設置計時器。這種類型的暫存適用於NetFlow 收集,因為它擴展了NetFlow的匯出。

流量資料的性能監視可能需要您設定週期暫存。在此設定中,無論任何單個流量的間格時間如何都會定期匯出所有流量資料。雖然在性能監視中收集某些數值是必需的,但這種類型的流量暫存可能很危險,因為它會立即轉儲存為完全流量暫存。這可能會導致大量Flow或IPFIX資料風暴(Storm)通過您的網路流向您的netflow收集器。可以通過設定“Spread”間隔來控制此行為。Spread間隔管控每幾秒的時間匯出暫存流量,從而減少預設行為的突發。在一個實例中,我們在現場觀察到具有數百個相同配置的設備的環境,所有設備都同步匯出而未配置傳播間隔。沒有收集大量的流量資料,因為它無法通過網路。請記住,NetFlow / IPFIX是UDP,因此當丟棄該封包時,來源不知道要重新傳輸。

如何防止NetFlow Export 風暴?

可以在效能監視器設定中開啟匯出Spread在套用在監視器的介面之前或直接透過Service Policy。

Conf t
Flow monitor type performance-monitor [name of monitor]
Cache type synchronized
Cache timeout synchronized [seconds until synchronized export] export-spread [amount of time in seconds to spread flows over]
End

在基本設定中,使用60秒作為同步匯出和15秒作為匯出Spread是安全的。這仍然會每分鐘終止流量和維持與Scrutinizer’s Atomic Flow估算在一分鐘的間隔,同時以15秒的間隔傳輸流量資料以防止流量風暴。有關詳細訊息,您可以參考此主題的思科檔案。

Scrutinizer 能消化每秒數百萬的流量在大型群簇環境設定中,並且採用匯出spreading等策略對於維護收集這些資料量所需的網路性能至關重要。如果您對Scrutinizer實例中的MFSN值有疑問或正在透過NetFlow部署,請聯繫我們Plixer支援團隊 (易璽科技 )。Plixer與世界各地的團隊合作,幫助在大容量環境中利用Netflow資料。

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

Scrutinizer 快速安裝指南

本指南將回顧部署所需的內容以及成功完成部署所需的步驟。

(如果要在Hyper-V上進行部署或希望了解有關部署過程的更多詳細訊息,請查看我們的“詳細手冊”)。

在開始之前,您需要從Plixer獲取OVF和授權,或者在此處申請評估授權(評估將使用eval許可證進行部署),因為我們需要在部署後將授權輸入於webUI。

確保在部署期間準備好分配給Scrutinizer的IP地址是沒問題的。(我們建議您為Scrutinizer虛擬機NIC提供靜態MAC地址,因為這樣可以防止電腦ID發生變化並防止授權問題發生。)

Scrutinizer虛擬設備需要至少100GB的硬碟空間,16GB的RAM和1個帶4個核心的CPU。

您將從Scrutinizer VA中獲得的性能取決於其部署的硬體和分配給VA的資源。

建議專用於而不是共享分配給Scrutinizer虛擬機的所有資源。這對於Scrutinizer資料存儲區尤為重要。在具有大量NetFlow資料的環境中,Scrutinizer將需要專用資料存儲。建議將Scrutinizer硬體設備用於具有極高流量的部署,因為它們旨在處理最高流量。

現在我們知道了我們需要什麼,讓我們動手進行部署Scrutinizer吧!

在ESXi上Scrutinizer OVF 的詳細部署:

1.下載最新的Scrutinizer 虛擬設備版本。您可以按照我們之前討論過的評估連結或聯繫我們的OVF代表來完成此操作。

2.使用VMware vSphere或vCenter連接到要部署Scrutinizer虛擬設備的ESX主機。

3.從檔案(位於左上角)>部署OVF模板。

4.選擇“本地文件”並瀏覽到下載的Scrutinizer OVF文件和Scrutinizer VMDK文件,然後單擊“下一步”。

5.為您的Scrutinizer VA命名,然後按“下一步”。

6.如果尚未選擇主機,請選擇要部署的ESX,然後按“下一步”。

7.查看虛擬機的詳細訊息,然後按“下一步”。

8.選擇資料存儲,將硬碟格式設置為“Thin Provision”,然後按“Next”。

注意:請務必閱讀“優化Scrutinizer數據存儲”部分以獲得最佳性能和收集率。

9.選擇Scrutinizer虛擬設備要使用的網路。

10.將顯示您選擇的選項的摘要。單擊“完成”,它將導入Scrutinizer虛擬設備。這可能需要一些時間,所以可以去喝個咖啡然後回來再繼續。

11.在啟動Scrutinizer虛擬機之前,為授權目的設置靜態MAC地址非常重要。右鍵單擊Scrutinizer VM並選擇“編輯設置…”

12.選擇Network Adapter,將MAC地址設置為手動,輸入唯一的MAC地址,然後繼續執行下一步。

13.下一步是為Scrutinizer虛擬機分配和專用資源。出於評估目的,Scrutinizer OVF獲得4CPU 4核,16GB RAM和100GB磁碟空間。

部署Scrutinizer虛擬設備時,建議增加資源以滿足本文前面列出的建議系統要求。由於所有安裝都會有所不同,因此可能需要更多資源。

從“虛擬硬體”選項卡開始,根據需要增加RAM,CPU和硬碟(有關詳細訊息,請參閱系統要求部分)。

14.接下來,導航到“資源”選項卡。在“CPU和RAM”下,將“共享”值設置為“高”,並將“預留”最大值設置為專用於虛擬機的資源量。現在按“確定”。

注意:下面的螢幕截圖中的RAM量位於小型測試ESX伺服器上,因此它與生產安裝不匹配。

15.右鍵單擊Scrutinizer虛擬機並打開電源。

16.單擊控制台預覽窗口,然後選擇“打開遠程控制台”。將打開一個新窗口,然後您可以使用root / scrutinizer登錄Scrutinizer虛擬設備。

注意:伺服器將執行快速設置並立即重新啟動。

17.再次登錄伺服器並回答問題。按“Enter”鍵,伺服器將重新啟動以套用必要的設置。

18.現在,在Web瀏覽器中登錄Scrutinizer Web界面並輸入必要的授權密鑰。

安裝適用於ESXi的WMware Tools:

別擔心,我們剛剛完成!

打開電源並完成初始Scrutinizer配置後,您可以(可選)在設備上安裝VMware Tools。您需要這些工具才能正常關閉Scrutinizer並防止損壞。

預設情況下不安裝VMware Tools,因為每個版本的ESX都安裝不同的VMware Tools軟體套件。或是您可以從command line 執行:

1.使用您在初始部署中設置的密碼以“plixer”用戶身份登錄設備。

2.在Scrutinizer交互式提示符中,鍵入以下命令:

“scrut_util.exe”

‘enable vmwaretools’

3.然後,該工具將顯示終端中的檔案。

4.你完成了!您將能夠在摘要選項下查看vSphere中設備的詳細訊息。

有什麼問題嗎?請隨時聯繫我們尋求幫助並立即開始安裝吧。

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

Scrutinizer 常見問題之二

Q7。Scrutinizer的試用版是否可用於評估使用?

當然可以。下載免費版的Scrutinizer後,您可以通過填寫此表單獲得評估授權以試用完整版本。

Q8。Scrutinizer免費版和商業版之間有什麼區別?

Scrutinizer事件反應系統的商業版本包括Flow Analytics附加模組,該模組可增加歷史資料保留和網路行為分析。

Q9。系統要求是什麼?

Scrutinizer的系統要求在此處詳述。

Q10。如何在路由器/交換機上啟用NetFlow或sFlow?

請參考我們編制的完整的指令列表,用於在不同的路由器和交換機上配置NetFlow,IPFIX和sFlow

Q11。如何確定我的Cisco設備是否支持NetFlow?

查看Cisco IOS NetFlow簡介,了解您是否擁有NetFlow兼容的Cisco路由器或交換機。

Q12。如果我需要Scrutinizer不支援的功能怎麼辦?

在Plixer,我們知道我們的平台需要靈活。如果您想要增加功能,請點擊這裡來了解我們的專業服務與您一起合作。

Q13。Scrutinizer是否支持其他語言?

Scrutinizer目前支持以下語言; 繁體中文,簡體中文,英語,法語,德語,日語,韓語,葡萄牙語,俄語和西班牙語。

Q14。啟用NetFlow是否會影響路由器/交換機的性能?

有關如何啟用NetFlow影響Cisco路由器或交換機性能的詳細信息,請查看NetFlow性能分析白皮書[PDF]

Q15。Scrutinizer在收集流量到產出圖表大約需要等多久?

基本上不到5分鐘甚至更快。請確保在路由器或交換機上正確配置NetFlow

Q16。為什麼某些Port標記為lflndex3或僅標記為1,2,3等?

如果Port未回應Scrutinizer發送的SNMP請求,則會發生這種情況。打開列出所有界面的SNMP視圖,然後點擊「更新」按鈕。請在“Scrutinizer手冊”中查看“Device Details View ”。

Plixer

推薦您9個免費網路監控工具

隨著網際網路對我們的影響越來越大,經常被問到要推薦哪些免費的網路監控工具。這是一個經常被問到的問題,在搜索免費的網路監控工具後時我們推薦了幾個免費網路監控工具。

免費網路監控工具

  1. Scrutinizer Incident Response System:雖然大多數人認為Scrutinizer是付費商業版的NetFlow / IPFIX分析器,但它實際上是一個免費的解決方案,可以選擇升級以添加歷史報告和流量分析。首次下載時,您可以使用這些附加功能完整版本的30天試用期。如果30天後覺得它不是您需要的功能,您還是可以繼續無限期地使用免費版本。
  2. Flowalyzer:Flowalyzer是一個NetFlow和sFlow工具套件,用於測試和設定在發送和接收NetFlow和sFlow數據的硬體或軟體。Flowalyzer可以幫助IT專業人員對Cisco等供應商的硬體以及NetFlow收集器 軟體進行故障排除,確保他們使用的任何Flow技術都能在兩端正確設定。
  3. IPFIXify:IPFIXify可接收,格式化和匯出從複雜IT基礎架構(無論是實體,虛擬還是雲端)生成的大量有價值的系統運行狀況數據。
  4. Getif:根據他們的網站,“Getif是一個免費的多功能Windows GUI網路工具,由Philippe Simonet編寫。除其他外,它是一個出色的SNMP工具,允許您從SNMP設備收集和繪製訊息。這些設備包括(但絕不僅限於)Windows 2000(當然使用SNMP4NT或SNMP4W2K 或SNMP-Informant extension agents!),以及其他操作系統以及大多數主要網路公司(即Cisco,3COM)製造的設備,Dlink,諾基亞…等等)。“
  5. STG:雖然主要用於與路由器建立SNMP連接並監控輸入和輸出流量,但STG可以適用於連接幾乎任何SNMP OID並跟踪其他指標。
  6. Wireshark:迄今為止,Wireshark是最有用的網路監控解決方案之一,是一款免費的開源封包分析器。用於網路故障排除、分析、軟體和通訊協議開發以及教育。如果您不熟悉使用Wireshark,我推薦他們的DisplayFilters  顯示過濾器檔。它將為您提供搜索封包的良好開端。
  7. Nmap:Nmap是一個免費的開源實用程式,用於網路發現和安全審查。透過使用Nmap,網路專業人員可以快速發現網路上的Open Port和其他安全漏洞。要完成包括UDP Port在內的完整掃描,您可以使用nmap -sS -sU -T4 -A -v 10.1.15.66之類的command。
  8. Zenmap:Zenmap實際上是Nmap的圖形用戶界面(GUI)。它允許您通過命令行應用程式完成相同的命令,但是以一種更容易理解的方式。如果您使用的是Windows操作系統,強烈建議您使用它。順便說一句,為Nmap提供的command也可以貼到Zenmap中。Zenmap還提供了一些開箱即用的預定義command,因此無需經驗。
  9. DNSQuerySniffer:如果您對某些有趣的事情感興趣並希望了解您的客戶端如何利用DNS,建議使用DNSQuerySniffer。它允許您在每次連接到Internet時觀察由您自己的電腦建立的DNS流量。

雖然這當然只是網路專業人士的一小部分選項,但希望這可以幫助您充分利用網路並確保網路安全。如果您對網路監控有任何疑問,請聯絡我們的支援團隊,他們將很樂意為您提供幫助。

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

Plixer與合作夥伴的解決方案

Cisco 解決方案整合簡介

Plixer很榮幸成為思科的首選解決方案合作夥伴,思科是全球IT和網路領域的領導者。Scrutinizer專注在從思科解決方案匯出的Flow和Matedata上,確保整個環境中呈現最佳上下文資料和可見性。對於具有異構網絡的組織,Scrutinizer將這些思科與網路上其他供應商設備的匯出的Flow結合數據來呈現視覺化分析。

[下載完整PDF電子檔]

Gigamon解決方案簡介

當出現問題時,無論是與設備,應用程式或安全相關的IT團隊都需要更好的洞察力和上下文,以便發現不需要的行為或惡意的行為。換句話說,他們需要Scrutinizer。與Gigamon GigaSECURE Security Delivery Platform配合使用時,Scrutinizer可提供快速了解根本原因與分析所需的取證資料並協助選擇最佳行動方案,可縮短解決問題的時間。

[下載完整PDF電子檔]

Palo Alto Networks解決方案簡介

PaloAltoNetworks®使用industry standard protocol安全分析透過Plixer NetFlow提供前所未有的用戶名和應用程式使用訊息的視覺化資料。用Plixer Scrutinizer系統收集並分析NetFlow,IPFIX和sFlow,以便進行監控在法律取證調查時提供上下文詳細訊息。

[下載完整PDF電子檔]

 

Ixia解決方案簡介

Ixia網路可視性解決方案與Plixer Scrutinizer事件反應系統相結合,有助於確保客戶不斷線或降低用戶體驗。Ixia NVS在客戶資料中心的所有實體和虛擬存取點提供分接點並提供客制的監控數據來源的分析工具。

[下載完整PDF電子檔]

Endace解決方案簡介

Scrutinizer和EndaceProbes一起提供獨特的強大Flow和封包分析解決方案,可加速識別、調查和解決安全威脅以及網路和應用程式性能問題。

[下載完整PDF電子檔]

 

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

Scrutinizer如何建立Network Map?

Network Map為用戶提供了網路拓撲結構的高階視圖以及流量在網路中的流動方式。最常見的是作為快速參考用,以確定連接是否飽和。如果我們將結合Map功能與當前Flow數據中匯出的一些獨特元素相結合該如何處理?

在此介紹在Scrutinizer中建立網路地圖的過程以及用戶可以在其環境中利用的一些獨特範例。

設計你的地圖

第一步是決定我們想要建立的地圖類型。首先,我將建立一個簡單的網路。我們將從“地圖”標籤開始,然後選擇左側的“新建”選項。首先,我們必須決定要建立哪種地圖類型。我們可以建立一個’html5’,’Plixer Map’,或者我們可以利用Google地圖(請注意,Google地圖需要使用API密鑰,可免費申請)。在這裡,選擇了Plixer Map。

接下來,將設備作為Objects(目標)。正如下面的截圖中看到的,Objects(目標)不僅限於網路設備。在拓撲圖中包含了ISP的Objects(目標),以及嵌在拓撲視圖中的child maps。

一旦設定好Objects(目標),下一步就是建立連接。透過Connections Tab完成,Connections提供選項來表示這些連線。大部分連線都是連接每個設備的physical interfaces(實體介面) 。這允許我們以速率或百分比使用率來查看通過設備的流量。還在連接的設備之間的嵌套地圖建立了logical connections(邏輯連線)。

Connections的好處是雙重的:即時利用我們的連接並允許我們深入研究並查看正在進行的對話。

嵌套地圖

讓我們深入了解“Sales Team”地圖。從我們的拓撲圖中,我們透過點擊該地圖放大到我們的銷售部門:

在這裡,建立了一個代表幾個銷售團隊成員的地圖。該地圖的獨特之處在於連接回到3850的每個連線都是僅根據該用戶的流量進行過濾的自定報告。從這裡可以估計每個用戶消耗的流量。這裡的另一個常見用例是監控VoIP流量而不是用戶的流量。

首先,讓我們看看這些連接是如何形成的。首先建立了一個隔離用戶流量的報告:

然後我使用此報告將Objects(目標)“ShaneS”連接到3850 switch交換機。現在從拓撲圖中可以深入到銷售團隊,在那裡我可以監控每個特定用戶。

讓我們從用戶流量轉向監控我們的應用服務器。從拓撲圖中可以看到應用服務器建立了一個嵌套地圖。與建立銷售團隊地圖的方式類似,使用一個Objects(目標)來表示我們的應用服務器,然後製作一個自定報告來隔離特定的應用程式流量。

在這裡看到了一些特定於最終用戶環境的獨特地圖。由於沒有兩個環境是相同的,因此可以靈活地定義想關注的流量,這是一個很棒的用處。

如果您對Mapping Functionality有任何疑問,請隨時聯繫我們,還可以前往Plixer的Youtube頻道plixerweb,在那裡您可以查看許多影片範例,包括建立地圖的示範操作

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

利用 Scrutinizer 縮短遭受網路攻擊時的反應時間

在網路攻擊期間,必須手動破譯大量安全數據來尋找相關訊息會花費很多時間,浪費金錢和失去客戶信任。 網路和安全智慧平台可大大地提高基礎架構的價值,顯著縮短反應時間並實現自動化數據報告和反應。

利用Scrutinizer 的智慧平台從流量Netflow來分析網路和安全更有效率來尋找問題會更有用。

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

網路安全問題:印表機正在遭受網路攻擊?

在今天的數位世界中,沒有什麼是安全的。駭客攻擊網路印表機的事件也有所聞,要知道您的網路印表機遭受攻擊並不是一件容易的事,但這種類型的攻擊如何影響您的網路?更重要的是如何監控它?

這一切都來自德國波鴻魯爾大學(Ruhr-UniversitätBochum)的一項研究,他們分析了來自幾家供應商的20台印表機和多功能印表機(MFP)。他們發現每個單元都受到至少一個漏洞的影響。這包括可用於使設備崩潰或獲取提供對組織網路的訪問的敏感訊息的缺陷

該研究還提到,駭客還可以存取所存儲的傳真號碼,電子郵件聯繫人和本地用戶的PIN以及SNMP community strings等訊息。由於可以使用電子郵件到印表或掃描到FTP將它們整合到網路中,所以MFP的情況會變得更暗。從這一點來看,攻擊者可以獲取LDAP,POP3,SMTP,outbound HTTP Proxy,FTP,SMB和WebDAV的密碼。他們還可以獲取IPSec pre-shared密鑰。

研究人員發現,這些攻擊會通過惡意網站使用跨站點印表(XSP)和跨網域資源共享通過網路或網際網路遠端啟動。

接下來的問題是如何監控?

印表機攻擊的一種工具是CORS欺騙和跨站點印表(XPS)的組合,它允許攻擊者通過基於Web的攻擊訪問印表機,使用隱藏的IFrame將HTTP POST請求發送到 Port9100 / tcp受害者內部網路中的印表機。使用Scrutinizer之類的工具可以監控和警告這種類型的網路流量。

細分資源

第一件事是建立一個名為“印表機”的IP組。這為我們提供了一個可過濾的元素,可以在構建報告時使用。為此,請點擊Admin Tab > Definitions > IP Groups。在此,您可以建立新群組並添加各種IP。請注意,您有很多方法可以定義IP範圍。也許您的印表機在某個IP範圍或子網中?

過濾該流量

下一步是過濾到IP組的9100 TCP流量,到“Status Tab”選項中選擇這些印表機所在的路由器。然後點擊Filter / Details按鈕並選擇“filters”。增加剛剛建立的印表機組,選擇“Well Wellown Port”,然後輸入9100會將時間範圍更改為每五分鐘一次。這會強制Scrutinizer在顯示數據後持續回報最後五分鐘的報告。

添加閾值

現在我們需要添加一個監視器。點擊 filter/thresholds 按鈕,然後點擊“thresholds”。首先,我將閾值設置為低,以便您可以看到網路上已存在哪種類型的9100 TCP流量。隨後您可以將IP排除利用過濾器或群組。基本上建立一個允許流量的白名單。如果想看建立此類監視器的另一個例子,請務必查看Plixer的Adam Howarth在使用網路流量智能監控POS時寫的網誌

還有更多…

在此只展示了一種監控網路上此類流量的方法。但過濾和監控NetFlow / IPFIX流量中發送的任何元素的能力有很多可能性。如果您需要改善安全狀況並獲得更深入的可見性,歡迎下載評估Scrutinizer來為您的網路流量提供更深入的報告。

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

使用NetFlow監控BYOD設備

由於增加的網路負載以及它們可能帶來的新安全風險,使用Netflow監控BYOD正成為大多數人的網路的一個大問題。在這篇中,希望能夠闡明思科最近推出的一些新功能,以幫助跟踪網路上的行為。

思科無線NetFlow:

由於大多數進入網路的BYOD都可能連接到您的無線網路,因此思科採用AVC指標導出NetFlow。這允許我們使用Cisco ISE 或Active目錄通過MAC地址,SSID,接入點甚至用戶名稱追踪用戶的設備。以及查看有多少主機連接到每個SSID或AP。這使其在性能和安全空間都有益。

應用程式感知NetFlow:

獲取用戶/主機連接的用戶名和IP非常好,但應用程式訊息更好。截至2014年11月,NetFlix消耗了35%的互聯網流量(來源)。這導致企業網路的強力推動來監控網路,尤其是在頻寬非常昂貴的遠距辦公室。使用我們的思科WLC中的NetFlow以及從ISE給我們的指標,我們可以輕鬆地深入研究這個並抓住罪魁禍首!

除了捕捉非工作行為之外,您還可以幫助阻止一些辦公室盜版者在網路上下載受版權保護的資料。現在,我們可以輕鬆快速輕鬆地捕獲Bit Torrent流量或任何可疑流量,並輕鬆降低您的MTTK(平均知曉時間)並幫助解決您可能遇到的任何網路問題。

正如您從上圖中看到的那樣,列出了可疑IP以及登錄用戶,現在允許我們使用Cisco ISE integration在NetFlow收集器的GUI內從無線IP中踢出它們。

正如您所看到的,監控BYOD已經發生了相當大的變化,從跟踪網路中的MAC地址和將多維數據集轉移到多維數據集的過程中,試圖讓某人下載大文件。由於身份服務並使用戶意識到他們的流量正在被監控和看到,現在它變得更加容易。如果您在網路上設置監控BYOD有任何疑問或需要任何幫助,請隨時與我們聯繫!