一、引言

前几期我们介绍了关于主机的相关日志分析和威胁场景,介绍了基于账号登陆异常的检测,基于账号异常行为的检测,基于数据泄露/篡改的检测,基于进程异常的检测。本期我们将介绍对于网络设备中相关的日志进行分析。

二、分析检测

1.交换机端口状态频繁改

告警发生场景:一般情况而言,交换机的端口在被使用时为UP状态,未使用时为Down状态。如果状态频繁改变,会给网络链路和数据传送带来影响

攻击方式:交换机端口物理线路问题或端口工作方式以及或者为环路状态。

检测思路:可以通过人工查看原始的交换机内日志进行分析,或者通过日志审计工具解析原始日志,分析出存在端口状态频繁改变的情况,进行告警。

日志来源:对交换机的日志进行统计为例:

*Feb 23 15:38:17: %LINK-3-UPDOWN: Interface GigabitEthernet 0/8, changed state to up.

*Feb 23 15:38:17: %LINK-3-UPDOWN: Line protocol on Interface GigabitEthernet 0/8, changed state to down.

人工分析: 可以通过对原始日志进行分析。存在短时间内端口状态频繁改变的日志,同时对交换机的端口线路等进行查看,判断是否设备异常。

工具分析:通过日志解析日志事件类型为状态改变,一定时间内同一端口频繁up或down,触发告警。并可以结合相关知识库,定位告警事件的问题原因,快速进行解决。


2. 路由器风扇故障

告警发生场景:路由器的风扇可能被拔出或者风扇损坏,对设备和业务造成局部故障

攻击方式:路由器的风扇意外损坏或者被拔出。

检测思路:可以通过人工定期巡检机房的设备等,或者通过日志审计工具解析路由器原始日志,分析出路由器的风扇故障日志,进行告警。

日志来源:以路由器的日志统计为例:

Feb 23 15:38:17 2021 jskbs02 %%10DEVM/1/FAN STATE CHANGES TO FAILURE(t):   Trap 1.3.6.1.4.1.25506.8.35.12.1.6<hh3cfanfailure>: fan ID is 1  

Feb 23 15:38:17 2021 jskbs02 %%10DEVM/2/FAN_FAILED(l): Fan 1 failed.

人工分析: 可以通过对机房设备定期巡检或者对原始日志进行分析,判定设备异常。

工具分析:通过对原始日志解析日志事件类型为风扇状态,解析风扇状态为故障。并可以结合相关知识库,定位路由器风扇故障原因,快速进行解决。


3. 防火墙策略拒绝

告警发生场景:防火墙策略拒绝了某个IP的访问

攻击方式:不符合防火墙相关策略的方式进行访问,被防火墙策略拒绝。

检测思路:可以通过人工查看所有的防火墙日志,发现有防火墙策略拒绝的日志,然后进行分析。或者可以通过日志审计工具进行分析解析出防火墙的策略结果为拒绝。

日志来源:以安天镇关防火墙和飞塔防火墙的日志为例:

<190>Feb  3 2021 09:24:36 NAT-Firewall %%01POLICY/6/POLICYDENY(l):vsys=public, protocol=6, source-ip=89.248.xxx.51, source-port=44041, destination-ip=1.189.xxx.239, destination-port=4010, time=2021/2/3 17:24:36, source-zone=untrust, destination-zone=dmz, application-name=, rule-name=default.   

date=2020-09-17 time=09:41:29 devname=YXXX-FW devid=FG1K5D3I17803043 logid=0001000014 type=traffic subtype=local level=notice vd=root srcip=60.24.xx.206 srcport=5966 srcintf="port2" dstip=112.84.XX.83 dstport=337X8 dstintf="root" sessionid=2312522242 proto=17 action=deny policyid=0 policytype=local-in-policy dstcountry="China" srccountry="China" trandisp=noop service="udp/33718" app="udp/33718" duration=0 sentbyte=0 rcvdbyte=0 sentpkt=0 appcat="unscanned" crscore=30 craction=131072 crlevel=high.

人工分析: 可以通过对防火墙的相关日志进行分析,分析发现防火墙策略deny事件。

工具分析:通过对原始日志解析防火墙的相关日志,解析出策略结果是deny事件,同时分析出相关的源目IP和源目端口等等,满足定义的告警规则,触发告警,并及时通过邮件等等进行通知相关负责人。


4. 路由器配置失败

告警发生场景:路由器进行配置操作时,操作失败。

攻击方式:内部员工或者外来攻击者对路由器的配置进行操作。

检测思路:可以通过人工查看所有的路由器的日志,发现有路由器配置操作失败日志,然后进行分析。或者可以通过日志审计工具进行分析解析出路由器的配置操作结果为失败。

日志来源:路由器的配置操作日志:

Feb 23 15:38:18 2021 pjsxuzm02 %%10XMLAGENT/6/EDIT-CONFIG: -DevIP=11.24.XX.254; User (adwan, 11.25.XXX.136, session ID 3) performed an edit-config operation: message ID=30766, operation result=Failed, XPath=/rpc/edit-config[1]/config[1]/top[1]/MQC[1]/InterfacePolicy[1]/Application[1], error message=Operation failed.?

人工分析: 可以通过对路由器的相关日志进行分析,分析发现路由器配置操作失败事件。

工具分析:通过对原始日志解析路由器的相关日志,解析出配置操作结果是失败的事件,同时分析出相关的IP地址,路径等等,满足定义的告警规则,触发告警,并及时通过邮件等等进行通知相关负责人。


三、总结

以上本文介绍了几类关于网络设备的一些日常容易被忽略的威胁场景。其中包括:交换机的端口状态频繁改变、路由器的硬件风扇故障和路由器的配置操作失败、防火墙的策略拒绝四个场景。安全威胁事件,不容忽视。学习了解相关的检测手段,再根据分析工具。可以更好的及时发现一些威胁,从而减少以及避免相关威胁带来的损失。

网络设备中的日志分析_安全

网络设备中的日志分析_网络_02

相关分享:

Linux日志分析场景(一)

linux日志分析场景(二)