Über die Active-Flow-Ansicht, auf die Sie im Dashboard unter Traffic Dashboard zugreifen, ermitteln Sie zum Beispiel Angriffe aus Botnets. Bots benutzen häufig unbekannte Protokolle auf der Anwendungsschicht. Im Hauptmenü unter Alerts (siehe Warndreieck-Symbol) speichert Ntopng Warnmeldungen. So macht die Software etwa sogenannte Flood Attacks [5] ausfindig und hält zusätzlich die Uhrzeit sowie IP-Adresse des Angreifers fest (Abbildung 7).
Abbildung 7: Um eine Warnung über Flood-Attacken auszulösen, haben wir über 100 Anfragen gleichzeitig an den Webserver geschickt.
Eigene Warnmeldungen definieren Sie über die Einstellungen im UnterpunktPreferences | Alerts des Zahnrad-Symbols (Abbildung 8). Darüber hinaus führt Ntopng eine Blacklist, auf der es sämtliche IP-Adressen vermerkt, von denen eine Spam-Gefahr ausgeht. Die entsprechenden Meldungen erscheinen gegebenenfalls in der Active-Flow-Ansicht sowie im Hauptmenü für Alarme.
Abbildung 8: Ntopng kann mit der entsprechenden Konfiguration Warnungen in Zusammenhang mit DNS-Infektionen, selbst signierten SSL-Zertifikaten oder Malware-Hosts auslösen.
Fazit
Ntopng präsentiert sich als gelungenes Tool, mit dem sich die Netzwerkaktivität auf verschiedene Arten visualisieren lässt. Auf diese Weise erhalten Sie zahlreiche nützliche Informationen über die Aktivitäten im lokalen Netzwerk, weit über das hinaus, was Heimrouter üblicherweise bieten. Andererseits benötigt die Anwendung viele Ressourcen, sodass der RasPi, auf dem Ntopng läuft, sich nicht noch mit anderen Dingen beschäftigen sollte. Um Angriffe zu entdecken, benötigen Sie zudem Erfahrung im Umgang mit Netzwerken.
Glossar
- Port
-
Zulässige Portnummern reichen von 0 bis 65535. Ein Protokoll wie HTTP benötigt einen Port, um die Verbindung als einmalig zu kennzeichnen. So lauscht ein Webserver auf Port 80, während der Webbrowser des Clients einen anderen Port benutzt, um Daten über TCP/IP zum Webserver zu schicken oder zu empfangen.
- L2
-
L2 bezieht sich auf die zweite Schicht des OSI-Referenzmodells, auch Sicherungsschicht genannt. Sie ist unter anderem für die Hardware-Adressierung verantwortlich.
- Anwendungsschicht
-
Die Anwendungsschicht ist die siebte Schicht des OSI-Referenzmodells. Sie wird von Netzwerkanwendungen wie dem Webserver oder E-Mail-Client genutzt, um auf die Dienstleistungen, die ein Protokoll der Anwendungsschicht anbietet, zuzugreifen [6].
- L4-Protokoll
-
Layer 4 beschreibt die Transportschicht des OSI-Referenzmodells. Auf ihr arbeiten beispielsweise die Protokolle UDP sowie TCP. Zu ihren Aufgaben zählt es, Daten in kleinere Pakete zu segmentieren, um sie dann auf der Zielmaschine wieder zu vereinigen.
- SYN – SYN|ACK
-
Um eine Verbindung aufzubauen, sendet ein Client eine SYN-Nachricht. Den Empfang quittiert der Server wiederum mit dem Versand einer ACK-Nachricht an den Client. Zudem beinhaltet die Nachricht des Servers die SYN-Nachricht des Clients. Die SYN-Nachricht des Servers bestätigt der Client wieder mit einer ACK-Nachricht. Hierbei handelt es sich um einen Drei-Wege-Handshake, mit dem TCP eine zuverlässige Verbindung zwischen Client und Server aufbaut.
- RST – FIN
-
Mit dem FIN-Bit signalisiert der Server über das Transmission Control Protocol (TCP) das Ende einer Verbindung. Alternativ lässt sich auch eine RST-Anfrage dafür verwenden; allerdings kann diese auch zum Abbruch einer Verbindung dienen, falls der Server die Verbindung vom Host ablehnt [8].
Infos
- Ntopng: https://www.ntop.org/products/traffic-analysis/ntop
- Benutzerhandbuch: https://raw.githubusercontent.com/ntop/ntopng/dev/doc/UserGuide.pdf
- Gnome Disk Utility https://wiki.ubuntuusers.de/Laufwerksverwaltung
- Sicherheit unter Ntopng: https://www.ntop.org/wp-content/uploads/2017/04/NetworkSecurityUsingntopng.pdf
- Flood Attacks: https://www.youtube.com/watch?v=BzgsT-_GC4Q
- TCP/IP Guide: http://www.tcpipguide.com/free
- Botnet: https://de.wikipedia.org/wiki/Botnet
- FIN versus RST: https://www.quora.com/What-is-the-difference-between-TCPs-FIN-and-RST-packets
