优秀征文 | 在笔记本虚拟机中安装持续抓包溯源系统
在上期“NTM公开有奖征集”活动期间,得到了广大小伙伴们的支持。其中不乏优秀的作品,以下为本次征文活动中挑选的优秀作品展示。(本文文字、图片均由作者本人提供,已征得作者同意修改)
偶然间在朋友圈刷到Panabit的活动,感觉挺有趣的,便迅速到官网了解了相关产品属性。
Panabit NTM(Network Trace & Monitor)是一款全新的、基于元数据的全流量分析溯源产品,具备网络全流量态势分析、异常流量监测、攻击流量溯源、安全事件分析等功能,能够满足用户对网络故障定位、网络未知威胁发现、原始数据包溯源等全方位需求,赋予用户最细粒度的可视能力。
于是,在课上我便开始构思整体规划。由于目前还是在校大学生一枚,手头设备仅仅只有笔记本一台,在看到产品最低的要求配置时(2核4G双网卡)脑子里第一想法是与我无关。但是转念一想如果利用VM的虚拟技术,这样我不仅硬件要求满足了,还可以搭建中间件,再用H3C的HCL虚拟出一个简单的网络模型,这样的话岂不是所有条件都可以满足了么。说干就干,一下课迫不及待的返回寝室,开机,下载ISO包,创建虚拟机。怀着忐忑的心情不清楚是否可以一次点亮,当看到和官网里同样的界面时内心暗自yes!
一、 设计规划网络拓扑
由于设备性能有限,只能简单模拟实际的场景。
IP规划
二、搭建环境-安装panabit-NTM
1.到Panabit技术论坛获取ISO文件。
2.创建满足要求的虚拟机。(这一步和创建普通LINUX服务器类似简单说明)(1)(2)(3)
此处我选择的版本是linux-centos7(据我了解国内很多安全产品都是基于centos开发的)在安装成功一次点亮之后证实了我的猜想。[编者注:NTM其实是基于FreeBSD开发的哟]
然后就是按照硬件要求配置虚拟机。(最重要的不然安装不成功)
接下来就是开机—跑代码—出现和官方文档里同样的界面,安装过程很简洁(好评!),输入管理IP网关这些配置,静待出现最后的system will reboot after 10s!表明已经成功安装!接下来就是要在虚拟机中移除介质重启。等待2-3分钟看到P3时就可以通过浏览器使用https协议访问啦。
P1P2P3P4
3.配置中间件及其他网络设备,对NTM设备进行功能测试体验。
因为自身所学疏浅掌握知识点及硬件环境的不足只对产品的一些功能进行了体验和测试。
(1)进入NTM流量概况首页,左边为功能栏,右边可以自定义显示不同的流量详情,其中流量分类特别详细:游戏、财经、视频、P2P下载等等全部都可以识别出来。如果公司装了该产品,老板分分钟掌握员工摸鱼情况 哈哈哈。
(2)主机分析:我自己添加了两台虚拟主机,很详细的显示出当前的时延,流量大小,top目标等等,我觉得这个功能对于网管也是挺友好的,可以及时发现网络不通畅的原因。
(3)协议质量这个分类更是详细(直接识别各种应用的流量详情)这个不免使我震惊。老板真的是分分钟了解员工动态!
(4)溯源分析是该产品的一个特色功能,具体的功能是抓取原始的数据包,自定义设置抓取的策略。保存原始的数据方便以后的溯源和定责。但是这个功能没有测试成功。后续需要再研究研究。
(5)敏感应用针对容易造成攻击或安全隐患的敏感应用,如SYN、ICMP、NTP、SSDP、MSDS等等分别进行单独分析,快速发现内网的安全异常,防患于未然。
总 结
最后简单总结一下吧,目前就体验了这几项功能,其他的没有进行使用和测试,在使用过程中经常出现管理页面加载不够快的问题,粗略估计是由于虚拟机不像是装在真实的物理机中能发挥出全部的性能。但是不得不说Panabit这款产品是一个小精尖的设备,处处能体现出对细节的把控,在国内能免费给大家使用网安产品及技术的Panabit这一点是真的很值得学习(加分!!)。但是很遗憾现在还不能在实际的环境中真实的感受产品的强大之处,不过对于自己学习以及实践能力还是有很好的锻炼。
● 编者按该投稿文章出自一在校大学生之手,虽然可以看出作者对NTM产品本身的理解稍显稚嫩,但能够亲自动手,并做到如此程度实属不易,也不免让编者感慨后生可畏。希望作者能够学业有成,如果有机会的话,Panabit也非常欢迎这样的人才加入哦!
页:
[1]