こんばんわ！
今日もCNDの勉強をしていきます

本記事では「ネットワークトラフィックのモニタリング」についてまとめていきます

ネットワークモニタリング

ネットワークモニタリングは、ネットワークをモニタリングすることで異常な動作、パフォーマンスの問題、帯域幅の問題などがないかを確認するレトロスペクティブなセキュリティアプローチです。

ネットワークセキュリティにおいて不可欠な部分で、組織内のネットワークセキュリティオペレーション内で要求されるタスクです！

また、以下の利点があります！

・ネットワーク内でのパフォーマンスがわかる

・ネットワークのパフォーマンスを最適化できる

・帯域幅のボトルネックを避けられる

・悪意のアクティビティの兆候を検知できる

・不要で脆弱なアプリを特定できる

・セキュリティ違反を調査できる

ネットワークスニッファ

ネットワークスニッファは、インバウンドやアウトバウンドのパケットの分析、追跡、トラフィックのモニタリング、パケットの傍受、パスの記録を行うソフトウェアのことです。

「Wireshrk」「tcpdump」「dsniff」「WinDump」「ManageEngine NetFlow Analyzer」「NetworkMiner」のようなツールがあります。

トラフィックシグネチャ

シグネチャは、送信元/宛先IPアドレス、ポート、TCPフラグ、パケット長、TTL、プロトコルなど一連のトラフィックの特性のことです。


シグネチャのタイプは2つあります。

通常トラフィックシグネチャ

ネットワークに入ることが許可されている許容トラフィックパターン

アタックシグネチャ

ネットワークに入ることが許可されない疑わしいトラフィックパターン


疑わしいトラフィックは下記のようなカテゴリで行っています。

・情報(グレーゾーンのトラフィック)

・偵察(情報取得の意図があるトラフィック)

・非認証アクセス(非認証アクセスを取得する意図があるトラフィック)

・サービス拒否(多数のリクエストがあるトラフィック)


攻撃シグネチャの分析には下記があります。

・コンテンツベース

・コンテキストベース

・アトミックシグネチャベース

・コンポジットシグネチャベース

Wireshark

Wiresharkは、ネットワークのモニタリングと分析に広く使用されているネットワークスニッファです。

ただ、ここで詳細を説明していると日が暮れてしまうので、もし興味がある方は実際に触ってもらえるといいのかなと思います。

使い方は、ネットワークのトラフィックをリアルタイムで監視する方法とトラフィックファイルから読み取る方法があります。

その中で「ftp」「http」「telnet」のようにサービスによって検索を行うこともできます。もちろんIPアドレスやSYN/ACK等の指定も可能です！

まとめ

今日はここまでです。

ネットワークトラフィックの分析は、ネットワークセキュリティでとても大切な要素ですが、ネットワークの知識があって使いこなすことができるのでネットワークの勉強が大事ってことをここで痛感しますね。。

ここまで読んでいただきありがとうございました。