工作中的问题，IPTABLE旁路监听数据包

andijo

我有一台机器是设置成透明网桥，我想问，我还需要在iptabloes里面加入 ip地址伪装的 规则吗？

platinum

原帖由 独孤九贱 于 2005-12-30 10:10 发表


这个问题倒没有遇到，我用一台P3的机器，做局域网协议分析，平均流量在60-70M之间（100M内网），工作很正常……
按照其开发者公布的数据，libpcap能够以更高的速度从网卡高速读取数据包，大约在200M-300M之间 ...

看流量大小是没用的，要看包速率的快慢，这个之前有讨论
用 1518Bytes 的包塞满 100Mbps 链路，和用 64Bytes 塞满 100Mbps 链路，对 CPU 负载是截然不同的，他们的 pps 不同

skylove

原帖由 ljcai123 于 2005-12-29 09:43 发表
主要是想看属单位的微机情况，通过三层设备后已没有arp包了
我原来一般是从轮询包与广播包中找病毒痕迹，只是最近deny的包中有很多源端口固定的UDP包，咨询下属单位后，发现有部分电脑有恶意程序，部分电脑中装了 ...

根据里的结构上来看，没有经过3层设备的嘛.... 不过感觉里的hub该放在防火墙后面才对

skylove

接着谈谈个人意见

我觉得这样做完全是把问题搞复杂了.

如果lz可以控制交换机,那么在交换机上针对内网接入firewall那端的口,做一个端口镜象(值得注意的是有的交换机只能做入/出的镜象),然后把镜象端口直接与你的监控机相连,这样既不会降低原接口的效率与速度,也能尽量让你的监控机接收到完整的内网数据包....至于之后防止丢包,就是上面9贱谈到的2个方面了.

iptables本身不是做来这样抓包用的,所以不太适合,依然推荐你用tcpdump或者win下的sniffer ,抛开个人对操作系统的偏好而看,如果想第一时间尽快分析,我还是推荐sniffer pro.

回楼上一位朋友,layer7是一个根据报文的前几个字节的特征,来判断包的类型并进行策略的一个iptables插件,具体它的功能其实也能用u32插件手工写各个协议的特征代码来实现,layer7是把它模块化和方便化了.

独孤九贱

原帖由 platinum 于 2005-12-30 12:06 发表

看流量大小是没用的，要看包速率的快慢，这个之前有讨论
用 1518Bytes 的包塞满 100Mbps 链路，和用 64Bytes 塞满 100Mbps 链路，对 CPU 负载是截然不同的，他们的 pps 不同

这只是个概论，就是正常情况下，什么帧长都有的一个经验值……

ljcai123

再次感谢诸位百忙中回帖，再做一个小总结（好多大家在上面都说过了）
一、俺是半路出家，没看过源码，只会用现有的程序，单位网规模又小，所以libpcap足够用了
二、透明网桥不需要IP地址伪装，我已搞成了
三、hub外面是路由器交换网,全是三层设备（可能应该把图中“外网”改为“网关”，也许这里误导了大家）
四、想看下属单位的情况，向他们发警告时用。不想分析内网的数据包，所以hub在防火墙外网关内，若放在防火墙内数据包就被防火墙过滤了
五、商业版本防火墙和tcpdump的日志不带协议信息，只有IP与端口（俺暂时还没学会分析tcpdump抓到的Ascii或二进制数据包内容，一般只是看看IP与端口，惭愧中），看不出是什么应用层协议的包，如：短时间内发现大量同一IP同一源端口（UDP6685）向大量IP发包，是病毒？BT？我用tcpdump就分辩不出来，我想sniffer也不行
例子：经我用脚本处理过的防火墙（那个商业防火墙的）日志

proto=UDP       rule=deny       src=10.17.102.1 sport=6685      dst=10.0.0.205  dport=2716
proto=UDP       rule=deny       src=10.17.102.1 sport=6685      dst=10.0.10.14  dport=8414
proto=UDP       rule=deny       src=10.17.102.1 sport=6685      dst=10.81.35.106        dport=5400
proto=UDP       rule=deny       src=10.17.102.1 sport=6685      dst=10.157.149.26       dport=4432
proto=UDP       rule=deny       src=10.17.102.1 sport=6685      dst=10.0.0.8    dport=7476
proto=UDP       rule=deny       src=10.17.102.1 sport=6685      dst=10.61.145.49        dport=20396
proto=UDP       rule=deny       src=10.17.102.1 sport=6685      dst=10.0.0.3    dport=24355

六、从旁路听原来想像觉得可行，实际试过不行，当时网卡肯定是在混杂模式，所以觉得上几楼说得对，可能与底层有关系
七、交换机已没端口了，且不支持网管，手头只有hub，可怜啊
八、原来想搞成旁路设备，现在做成了在线设备，放在图中hub的位置，就能分析了，装的时候加上了IPP2P和l7-filter两种模块，下面是日志中的部分例子：

Dec 30 17:51:21 l7 kernel: IPP2P PACKETIN=eth1 OUT=eth1 SRC=10.16.61.197 DST=10.1.1.47 LEN=126 TOS=0x00 PREC=0x00 TTL=115 ID=13231 PROTO=UDP SPT=27455 DPT=17897 LEN=106
Dec 30 18:25:54 l7 kernel: IPP2P PACKETIN=eth1 OUT=eth1 SRC=10.17.50.99 DST=10.9.255.212 LEN=126 TOS=0x00 PREC=0x00 TTL=104 ID=28831 PROTO=UDP
SPT=11508 DPT=1336 LEN=106
Dec 30 20:02:58 l7 kernel: IPP2P PACKETIN=eth1 OUT=eth1 SRC=10.17.82.23 DST=10.1.1.1 LEN=129 TOS=0x00 PREC=0x00 TTL=40 ID=7569 PROTO=UDP SPT=24286 DPT=2854 LEN=109

即：检测出的都是P2P类数据包
九、一点感慨：需要学的东东还很多，许多问题现在都做不到知其然，更不用说知其所以然了，手头有份Computer Networks IV电子版，到现在只是马马虎虎扫了一遍，习题都还没看过，下决心要好好努力学，争取能够好好学习，天天向上。

[ 本帖最后由 ljcai123 于 2005-12-31 00:51 编辑 ]

急不通

如：短时间内发现大量同一IP同一源端口（UDP6685）向大量IP发包，是病毒？BT？我用tcpdump就分辩不出来，我想sniffer也不行
例子：经我用脚本处理过的防火墙（那个商业防火墙的）日志
===========================================
其实不管是病毒还是BT，对网络的影响都差不多的，至少每向一个新的IP请求连接就会导致路由寻址一次，尤其是在去往internet方向做NAT时，每个连接企图还要在NAT网关上生成一条NAT表项，BT快速的、无限制的向外发起连接请求，会让网关设备的负载快速升高，内网里有几台牛×的机器改改连接数限制，开着BT下东西时，往往就会让路由器瘫掉

bingosek

做协议分析里如果没有带每个连接占用带宽的多少,那么功能上是不完整的.做协议分析时,你可以看到很多的连接,哪些是正常的,哪些是不正常有时是不能看出来的,只有通过带宽占用的多少,才能知道原因所在,或者是瓶颈在哪里
我个人建议条件允许的话还是使用sflow和netflow来做协议分析,当然,交换机要支持这两个协议之一
如果是要用软件来做,最好是用一些专业软件,如computeware.如果是用tcpdump,ethereal来做,功能上满足不了实际要求.

ljcai123

单位还没有说禁止使用P2P类软件，所以只要网络中没病毒包就可以了，目前P2P包对网络影响不大
也想做个较全面的网络分析系统，但领导对这方面不感兴趣，正忙着搞业务系统呢，所以我只好依靠现有条件，自己尽力搞一点了。

[ 本帖最后由 ljcai123 于 2006-1-2 11:26 编辑 ]

juwei008

呵呵，受益良多啊