SVN網(wǎng)絡(luò)誘捕系統(tǒng)用戶手冊

網(wǎng)絡(luò)誘捕系統(tǒng)用戶手冊Version1.0關(guān)于本手冊版權(quán)聲明上海滬景信息科技有限公司版權(quán)所有，保留一切權(quán)利。本文件中出現(xiàn)的任何文字?jǐn)⑹觥⑽募袷?、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬上海滬景信息科技有限公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。非經(jīng)本公司書面許可，任何單位和個人不得擅自拷貝、傳播、復(fù)制、泄露本文檔的全部或部分內(nèi)容。信息更新本手冊僅用于為最終用戶提供信息，并且上海滬景信息科技有限公司可以隨時更改或撤回。如需要獲取最新手冊，請聯(lián)系上海滬景信息科技有限公司技術(shù)支持部。 目錄TOC\o"1-4"\h\z\u1、前言 3**文檔范圍 3**讀者對象 3**縮寫和術(shù)語 32、產(chǎn)品安裝及配置 3**將網(wǎng)絡(luò)誘捕系統(tǒng)接入網(wǎng)絡(luò) 3**ANT設(shè)備安裝 4**日志、服務(wù)器仿真、鏡像數(shù)據(jù)存儲模塊安裝 4**ANT配置 5**ANT網(wǎng)管 5**配置管理員新增及登錄 6**服務(wù)資源配置 7**服務(wù)器資源 7**虛擬地址池 8**虛擬化策略 8**服務(wù)器網(wǎng)管策略 9**允許所有用戶網(wǎng)管 9**允許部分用戶網(wǎng)管 10**服務(wù)器ACL 10**允許與所有服務(wù)器建立連接 10**允許與部分服務(wù)器建立連接 10**策略統(tǒng)計 11**日志模塊配置 11**遠(yuǎn)程鏡像配置 11**鏡像配置 12**日志模塊配置 13**日志模塊網(wǎng)管 13**設(shè)備配置 14**抓包配置 14**固定組合抓包 15**自由組合抓包 15**攻擊信息查看 15**首頁 15**攻擊記錄 16**攻擊IP統(tǒng)計 16**目標(biāo)端口統(tǒng)計 17**會話日志 17**ARP日志 18**ICMP日志 18**服務(wù)器仿真模塊配置 193缺省參數(shù)和安全特性 20**網(wǎng)絡(luò) 20**用戶 20**端口 21**安全特性 21**透明無IP地址設(shè)備 21**完備的系統(tǒng)日志 211、前言本手冊適用于WEB方式管理的網(wǎng)絡(luò)誘捕系統(tǒng)，本手冊主要面向管理員、市場支持人員介紹如何配置和管理“網(wǎng)絡(luò)誘捕系統(tǒng)”。本手冊對產(chǎn)品的功能特性進(jìn)行了說明，對安裝使用環(huán)境提出要求，為您正確使用“網(wǎng)絡(luò)誘捕系統(tǒng)”提供便利。**文檔范圍文檔包括系統(tǒng)介紹部分文檔包括系統(tǒng)運行環(huán)境介紹文檔包括常用操作說明介紹**讀者對象實施工程師技術(shù)支持工程師測試工程師客戶處技術(shù)負(fù)責(zé)人與網(wǎng)絡(luò)管理員**縮寫和術(shù)語管理機(jī)：用于通過WEB及后臺的方式對網(wǎng)絡(luò)誘捕系統(tǒng)進(jìn)行配置等操作2、產(chǎn)品安裝及配置**將網(wǎng)絡(luò)誘捕系統(tǒng)接入網(wǎng)絡(luò)網(wǎng)絡(luò)誘捕系統(tǒng)通常由ANT設(shè)備（誘導(dǎo)模塊）及日志模塊、服務(wù)器仿真模塊、鏡像數(shù)據(jù)存儲模塊組成。自主研制的FPGA架構(gòu)誘捕器ANT為硬件產(chǎn)品，用于在網(wǎng)絡(luò)中放置虛擬IP，誘惑病毒掃描及攻擊，同時將流量轉(zhuǎn)發(fā)到服務(wù)器仿真模塊中。日志模塊為軟件，安裝于Linux系統(tǒng)上，用于分析攻擊流量并將結(jié)果展現(xiàn)在WEB頁面上。服務(wù)器仿真模塊為虛擬機(jī)，安裝于Linux系統(tǒng)上，用于響應(yīng)攻擊者的攻擊流。鏡像數(shù)據(jù)存儲模塊，用于存儲網(wǎng)絡(luò)中的攻擊數(shù)據(jù)，可提供深度的網(wǎng)絡(luò)攻擊內(nèi)容分析。**ANT設(shè)備安裝在ANT前面板上有三種網(wǎng)絡(luò)接口，分別標(biāo)識由“Console”和“MGT”，業(yè)務(wù)口。Console口與MGT口用于與管理機(jī)進(jìn)行信息交互。業(yè)務(wù)口用于誘捕及轉(zhuǎn)發(fā)網(wǎng)絡(luò)中流量。根據(jù)三種接口的不同功能，將其接入網(wǎng)絡(luò)。通常情況下，網(wǎng)絡(luò)誘捕系統(tǒng)旁掛在用戶的網(wǎng)絡(luò)中，通常與用戶的交換機(jī)進(jìn)行連接。網(wǎng)絡(luò)誘捕系統(tǒng)可旁掛的位置，可以分為兩種：一種旁掛在用戶網(wǎng)絡(luò)的接入交換機(jī)上，另一種則是旁掛在用戶網(wǎng)絡(luò)的匯聚層交換機(jī)上。用戶可根據(jù)自身網(wǎng)絡(luò)特性選取正確的旁掛位置，將網(wǎng)絡(luò)誘捕系統(tǒng)接入到網(wǎng)絡(luò)中。簡單的ANT接入圖，如下所示：**日志、服務(wù)器仿真、鏡像數(shù)據(jù)存儲模塊安裝為了保證日志模塊、鏡像數(shù)據(jù)存儲模塊的安全，建議在實際部署的過程中，將三個模塊分別部署在不同的機(jī)器上，在此稱之為分開部署方式。此種部署方式的優(yōu)點在于當(dāng)服務(wù)器仿真模塊被攻陷時，攻擊者將無法通過服務(wù)器仿真模塊對日志及鏡像數(shù)據(jù)存儲模塊進(jìn)行破壞。它的缺點在于硬件成本增加，需要三個不同的機(jī)器。另外一種部署方式，將日志、服務(wù)器仿真、鏡像數(shù)據(jù)存儲模塊都部署在同一臺機(jī)器上，稱之為集中部署方式。此種部署方式的優(yōu)缺點與分開部署方式剛好相反。用戶可根據(jù)自身的需求，選擇不同的部署方式。簡單的日志、服務(wù)器仿真、鏡像數(shù)據(jù)存儲模塊部署方式，如下所示：**ANT配置**ANT網(wǎng)管ANT可以使用HTTPS方式對設(shè)備進(jìn)行WEB網(wǎng)管。HTTPS有較好的安全性。下面是ANT的WEB網(wǎng)管。在管理機(jī)上，啟動IE，在地址欄中輸入**，打開登錄頁面。在登錄頁面輸入管理員帳號和密碼，出廠默認(rèn)管理員賬號為“admin”,密碼為“NTc@2010”。頁面登錄成功：**配置管理員新增及登錄ANT出廠時，沒有創(chuàng)建具有配置管理員權(quán)限的用戶。管理員若需要對設(shè)備配置進(jìn)行修改，需要手動添加具有配置管理員權(quán)限的用戶。使用admin用戶登錄ANT設(shè)備后，點擊“系統(tǒng)管理員”進(jìn)入系統(tǒng)管理員頁面點擊新增按鈕，新增配置管理員，再輸入用戶名及密碼使用配置管理員登錄ANT配置管理員登錄成功**服務(wù)資源配置服務(wù)資源指服務(wù)器仿真模塊所開放的端口。用于誘捕網(wǎng)絡(luò)中的異常流量。單擊系統(tǒng)設(shè)置>>服務(wù)資源菜單項，進(jìn)入到服務(wù)資源配置頁面。該頁面可以查看現(xiàn)有的服務(wù)資源配置。單擊新增按鈕，可新增服務(wù)資源配置。**服務(wù)器資源服務(wù)器資源是日志模塊、服務(wù)器仿真模塊的信息。包括名稱、IP、VLAN、MAC、連接的物理端口等信息。單擊系統(tǒng)配置>>服務(wù)器資源菜單項，進(jìn)入到服務(wù)器資源頁面。單擊新增按鈕，可新增服務(wù)器資源。**虛擬地址池虛擬地址池是用戶網(wǎng)絡(luò)中可用的虛擬IP的集合。單擊系統(tǒng)配置>>虛擬地址池菜單項，進(jìn)入到虛擬地址池頁面。單擊新增按鈕，可新增虛擬地址池。**虛擬化策略虛擬化策略能夠?qū)⒎?wù)器仿真模塊開放的服務(wù)映射不同虛擬IP上。映射后的IP并不存在，當(dāng)網(wǎng)絡(luò)中的攻擊者訪問虛擬IP的端口時，誘捕系統(tǒng)會將流量導(dǎo)向服務(wù)器仿真模塊。同時ANT會將攻擊流量的信息發(fā)送到日志模塊，記錄攻擊流量信息。在菜單欄中單擊網(wǎng)絡(luò)虛擬化>>虛擬化策略,進(jìn)入到虛擬化策略配置頁面。該頁面可以查看已配置的虛擬化策略單擊新增按鈕，新增虛擬化策略單擊刪除所有按鈕，可刪除所有虛擬化策略。單擊對應(yīng)虛擬化策略的修改超鏈，可對相應(yīng)虛擬化策略進(jìn)行修改。單擊對應(yīng)虛擬化策略刪除超鏈，可刪除相應(yīng)的虛擬化策略。**服務(wù)器網(wǎng)管策略ANT設(shè)備默認(rèn)情況下，禁止局域網(wǎng)中除攻擊流量之外的其他流量被轉(zhuǎn)發(fā)到日志及服務(wù)器仿真模塊。但為了滿足用戶對日志及服務(wù)器仿真模塊的網(wǎng)管需求，ANT允許用戶配置服務(wù)器網(wǎng)管策略，允許部分用戶或者所有用戶對日志及服務(wù)器仿真模塊的網(wǎng)管。**允許所有用戶網(wǎng)管在菜單欄中單擊網(wǎng)絡(luò)虛擬化>>服務(wù)器網(wǎng)管策略,進(jìn)入到服務(wù)器網(wǎng)管策略頁面單擊新增按鈕，新增所有用戶網(wǎng)管策略**允許部分用戶網(wǎng)管單擊新增按鈕，新增部分用戶網(wǎng)管策略**服務(wù)器ACLANT設(shè)備默認(rèn)情況下，禁止日志模塊、服務(wù)器仿真模塊主動與外網(wǎng)建立連接。在特殊情況下，用戶會允許日志模塊、服務(wù)器仿真與外網(wǎng)的部分或者所有服務(wù)器建立連接。ANT允許用戶配置服務(wù)器ACL，允許日志模塊、服務(wù)器仿真與外網(wǎng)的部分或者所有服務(wù)器建立連接。**允許與所有服務(wù)器建立連接在菜單欄中單擊網(wǎng)絡(luò)虛擬化>>服務(wù)器ACL,進(jìn)入到服務(wù)器ACL頁面單擊新增按鈕，允許與所有服務(wù)器建立連接**允許與部分服務(wù)器建立連接單擊新增按鈕，新增部分用戶網(wǎng)管策略**策略統(tǒng)計策略統(tǒng)計主要用于查看虛擬化策略、服務(wù)器網(wǎng)管策略及服務(wù)器ACL的匹配情況。策略統(tǒng)計可以查看到虛擬化策略、服務(wù)器網(wǎng)管策略及服務(wù)器ACL的包數(shù)量。在菜單欄中單擊網(wǎng)絡(luò)虛擬化>>策略統(tǒng)計,進(jìn)入到策略統(tǒng)計頁面。該頁面可以查看策略的統(tǒng)計情況。**報表中心配置系統(tǒng)配置>>報表中心配置頁面用于配置日志模塊的IP及端口等信息。只有配置正確的日志模塊地址，才能保證日志模塊正確記錄攻擊流信息。**遠(yuǎn)程鏡像配置網(wǎng)絡(luò)配置>>遠(yuǎn)程鏡像配置頁面用于指定攻擊流量遠(yuǎn)程鏡像時的外層IP封裝信息。**鏡像配置在菜單欄中單擊系統(tǒng)維護(hù)>>鏡像>>鏡像類型，進(jìn)入到鏡像類型配置頁面。在頁面中選擇相應(yīng)的單選按鈕，如全部，再點擊確定在菜單欄中單擊系統(tǒng)維護(hù)>>鏡像>>輸入鏡像，進(jìn)入配置頁面配置網(wǎng)絡(luò)側(cè)接口（與用戶交換機(jī)相連的接口）的輸入鏡像，并點擊確定在菜單欄中單擊系統(tǒng)維護(hù)>>鏡像>>輸出鏡像，進(jìn)入配置頁面配置網(wǎng)絡(luò)側(cè)接口（與用戶交換機(jī)相連的接口）的輸出鏡像，并點擊確定**日志模塊配置**日志模塊網(wǎng)管日志模塊安裝成功后，需要在接口配置IP才能網(wǎng)管。首先，修改日志模塊網(wǎng)管的IP地址為13（用戶環(huán)境可以自行配置其他IP）。如下圖所示：日志模塊可以使用HTTPS方式進(jìn)行WEB網(wǎng)管。下面是日志模塊的網(wǎng)管。在管理機(jī)上，啟動IE，在地址欄中輸入**，打開登錄頁面。在登錄頁面輸入管理員帳號和密碼，出廠默認(rèn)管理員賬號為“admin”,密碼為“admin”登錄成功**設(shè)備配置日志模塊必須指定ANT的IP地址，才能解析ANT發(fā)送的攻擊流量信息。在設(shè)備管理>>設(shè)備采集配置頁面，點擊新增，添加ANT信息。添加ANT信息**抓包配置系統(tǒng)設(shè)置>>網(wǎng)絡(luò)配置>>抓包頁面用于配置及查看接口抓包信息。查看已有抓包文件**固定組合抓包固定組合抓包方式只支持IP+端口的過濾的方式。當(dāng)IP及端口配置為固定IP及端口時，表示只抓取此IP的固定端口的流量，其他流量將不會被抓取。配置完成后，需要保存配置，否則設(shè)備重啟后，抓包程序?qū)⑼Ｖ构ぷ鳌?*自由組合抓包固定組合抓包方式支持靈活的包過濾方式。該組合方式支持Tcpdump程序的所有正確過濾條件，可實現(xiàn)靈活的過濾抓包。配置完成后，需要保存配置，否則設(shè)備重啟后，抓包程序?qū)⑼Ｖ构ぷ鳌?*攻擊信息查看**首頁用戶可以在首頁查看最新24小時攻擊IP，攻擊端口，攻擊記錄前十**攻擊記錄用戶可以在攻擊統(tǒng)計>>攻擊記錄頁面查看所有攻擊流信息，默認(rèn)情況下頁面只顯示最近24小時之內(nèi)的統(tǒng)計。用戶可在查詢頁面輸入條件進(jìn)行查詢**攻擊IP統(tǒng)計用戶可以在攻擊統(tǒng)計>>攻擊IP統(tǒng)計頁面查看所有攻擊者的IP信息，默認(rèn)情況下頁面只顯示最近24小時之內(nèi)的統(tǒng)計。用戶可在查詢頁面輸入條件進(jìn)行查詢**目標(biāo)端口統(tǒng)計用戶可以在攻擊統(tǒng)計>>目標(biāo)端口統(tǒng)計頁面查看所有被攻擊端口的信息，默認(rèn)情況下頁面只顯示最近24小時之內(nèi)的統(tǒng)計。用戶可在查詢頁面輸入條件進(jìn)行查詢**會話日志用戶可以在行為日志>>會話日志頁面查看所有經(jīng)過ANT設(shè)備的會話信息，包括正常轉(zhuǎn)發(fā)及丟棄會話的信息，默認(rèn)情況下頁面只顯示最近24小時之內(nèi)的統(tǒng)計。用戶可在查詢頁面輸入條件進(jìn)行查詢**ARP日志用戶可以在行為日志>>ARP日志頁面查看所有用戶到虛擬IP的ARP請求日志，默認(rèn)情況下頁面只顯示最近24小時之內(nèi)的統(tǒng)計。用戶可在查詢頁面輸入條件進(jìn)行查詢**ICMP日志用戶可以在行為日志>>ICMP日志頁面查看所有經(jīng)過ANT設(shè)備的ICMP日志，包括正常轉(zhuǎn)發(fā)及丟棄的ICMP會話，默認(rèn)情況下頁面只顯示最近24小時之內(nèi)的統(tǒng)計。用戶可在查詢頁面輸入條件進(jìn)行查詢**服務(wù)器仿真模塊配置服務(wù)器仿真模塊安裝完畢后，需要在后臺對該模塊進(jìn)行配置。首先在服務(wù)器后臺上執(zhí)行cd/home/honeypot命令，進(jìn)入honeypot目錄。使用vagranthalt命令，關(guān)閉已經(jīng)打開的仿真服務(wù)器。使用vagrantdestroy命令，刪除掉原有的仿真服務(wù)器。根據(jù)需要修改配置文件Vagrantfile，使用viVagrantfile將ifconfigeth1命令的IP地址及掩碼，修改為對應(yīng)的IP及掩碼，再把默認(rèn)網(wǎng)關(guān)修改為對應(yīng)的網(wǎng)關(guān)。同時需要配置正確的橋接端口。然后輸入:wq保存文件并退出編輯。執(zhí)行vagrantup命令，開啟新的仿真服務(wù)器。執(zhí)行vagrantssh命令，進(jìn)入到仿真服務(wù)器，使用ifconfig命令確認(rèn)IP地址配置正確。使用iproute命令確認(rèn)網(wǎng)關(guān)配置正確。輸入exit可通出仿真服務(wù)器，回到服務(wù)器上。使用cd/home命令，進(jìn)入/home目錄，vihoneypotstart.sh，將文件中的Sleep120秒，改成10秒，然后輸入esc:wq命令保存文件并退出。完成以上步驟后，服務(wù)器仿真模塊已可以正常使用了。當(dāng)設(shè)備重啟或是重新開機(jī)時，服務(wù)器仿真模塊的啟動比服務(wù)器啟動需要多花1分半鐘左右。3缺省參數(shù)和安全特性**網(wǎng)絡(luò)ANT默認(rèn)IP：MGT：/24Lpbk0:/24**用戶ANT默認(rèn)用戶：超級管理員,用戶名：admin,密碼：NTc@2010觀察員，用戶名：guest,密碼：NTc@20