旁路流量检测--流量镜像
旁路流量检测–流量镜像
在生产环境当中,经常会出现核心交换机旁挂入侵检测探针类安全设备用于对生产网络安全进行监测和保障,确保网络环境能够安全稳定的运行。
入侵检测系统就不多说,对流量进行分析和流量特征库进行比对,上报异常流量行为和动作,为网络安全管理员提供防护思路,取证异常流量五元组信息等等,总结来说就是为了保证内网安全运行的安全设备;
交换机侧需要将所有流量镜像到IDS上面进行检测分析;
(这里拿华三交换机举例说明)
H3C端口镜像:
1. —本地端口镜像
mirroring-group 1 local
mirroring-group 1 mirroring-port port to port both
mirroring-group 1 monitor-port port
2. —远程端口镜像
A: #源交换机
mirroring-group 1 remote-source #创建源镜像
vlan 10 #创建vlan用于传输镜像流量undo mac-address mac-learning enable #关闭学习mac
mirroring-group 1 remote-probe vlan 10 #配置vlan10用于传输
mirroring-group 1 mirroring-port port to port both #配置监听口
mirroring-group 1 reflector-port port #配置源反射口
interface port #配置出端口并放行传输镜像vlanport link-type trunkport trunk permit vlan 10B: #中间交换机
vlan 10undo mac-address mac-learning enable #关闭学习mac
interface portport link-type trunk #配置入端口并放行传输镜像vlanport trunk permit vlan 10
interface portport link-type trunk #配置出端口并放行传输镜像vlanport trunk permit vlan 10C:
mirroring-group 1 remote-destination #远程镜像目的交换机
vlan 10 #传输远程镜像的vlanundo mac-address mac-learning enable #关闭学习mac
mirroring-group 1 remote-probe vlan 10 #vlan10是远端镜像传输vlan
interface port #镜像流量入接口port link-type trunkport trunk permit vlan 10
interface port #镜像流量最终出口mirroring 1 monitor-portundo stp enableport access vlan 10
还有一种情况是,本地存在多台检测设备或审计系统都需要进行流量镜像,而交换机型号性能不支持开启多个端口,可以使用下面第三种方式!!!!!!!!
3. 本地需要多个镜像口
流量镜像(需要多个monitor,镜像)
mirroring-group 1 remote-source
mirroring-group 1 mirroring-port g1/0/1 to g1/0/20
mirroring-group 1 reflector-port g1/0/23 (未使用端口做反射口)
vlan 999 (镜像vlan)
最后将需要镜像端口加入access vlan 999即可
旁路流量检测--流量镜像相关推荐
- apache日志 waf_WAF对WebShell流量检测的性能分析
最近在一次授权渗透测试中遇到了一个棘手的场景,万能的队友已经找到了后台上传点,并传了小马然后开心地用antsword进行连接,但是由于明文传输很快被waf感知,并引起了管理员的注意,很快我们的马被清了 ...
- Centos 7 部署suricata流量检测
转载自:https://zhuanlan.zhihu.com/p/64742715 对部分安装报错的地方进行了修改,建议按照原文安装,原文有ES对接 内网搭建Suricata进行流量检测 目标机器版本 ...
- wan口有流量但电脑上不了网_路由器wan口流量_双WAN口路由器配置(WAN口设置/WAN口在线检测/流量均衡控制)_路由器检测不到wan...
双WAN口路由器配置(WAN口设置/WAN口在线检测/流量均衡控制) 不少网吧都采用了双WAN路由器的双WAN口接入设计,但是对于如何使用好这样的设备,用户有不少疑问,我们针对这种路由器中的WAN口设 ...
- 融合多头注意力机制的网络恶意流量检测
摘要 [目的]现有的网络恶意流量检测方法依赖统计特征进行建模,忽略了网络流量本身所具备的时序特征,通过对时序特征的提取.学习.建模,可以进一步提高网络恶意流量检测精度.[方法]将网络流量以会话为基本单 ...
- Maltrail恶意流量检测系统
Maltrail恶意流量检测系统 项目介绍 项目GitHub地址 项目架构 项目数据集 运行方式 订阅源扩展 数据采集模块提取 项目介绍 maltrail是一款轻量级的恶意流量检测系统,其工作原理是通 ...
- 网络入侵检测系统之Suricata(七)--DDOS流量检测模型
Suricata支持DDOS流量检测模型 What 分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序 ...
- DDoS攻击流量检测方法
DDoS攻击流量检测方法 检测分类 1)误用检测 误用检测主要是根据已知的攻击特征直接检测入侵行为.首先对异常信息源建模分析提取特征向量,根据特征设计针对性的特征检测算法,若新数据样本检测出相应的特征 ...
- C#编程_网卡信息检测与网络流量检测
网卡信息检测与网络流量检测 文章目录 网卡信息检测与网络流量检测 网卡信息检测相关类 Network Interface类 获取网卡的信息 IPInterfaceProperties类 实例 网卡单播 ...
- 加密恶意流量检测思路分析
文章目录 背景及现状 加密恶意流量特征分析 特征类别 特征提取 加密恶意流量检测流程 数据采集 特征工程 模型训练 参考资料 背景及现状 为了确保通信安全和隐私以及应对各种窃听和中间人攻击,HTTPS ...
最新文章
- Siverlight去掉ToolTip的白色边框
- Mac OS使用技巧十九:Safari碉堡功能之二查看网页源码
- 中文整合包_案例 | 美研市场营销和整合营销专业1620Fall 580+申请实例(含MS+PHD)...
- 作为一个女程序员,无奈!
- 学习需要用心 规划和落实
- mybatis与Spring整合配置文件
- 研磨设计模式之简单工厂模式
- 智慧能源管理系统解决方案
- 使用前端技术实现静态图片局部流动效果
- 两种方式,实现 SpringBoot 中数据库密码加密
- java单击按钮实现窗口隐藏
- 句子成分分析(C++)
- VMware: 虚拟机启动没有IP地址
- 【小白】【大学】一名嵌入式软件开发小白的单片机学习历程、心路历程、经验分享
- springbootadmin 客户端监控配置
- 《规范》前端编码规范
- ELK在安全运营中的应用实践
- /bin/sh: 1: x86_64-linux-gnu-gcc: not found
- 一个自学网络安全攻防的弱鸟简单描述下关于压力测试如何实现的
- 信息熵、gini、信息增益