开源: 网络流量分析工具
运维人员去现场去帮助客户网络运维,在不摸清资产和网络通信关系时是不敢贸然动任何配置的,因为这个环境可能是工业生产环境或者正在跑的地铁环境,任何差错将带来巨大的损失。所以第一件事是需要分析 现场的网络通信关系。@pdai
现场工程师还会遇到:
- 原有网络中,没有网络资产的统计关系表;
- 原有网络有相关的通信设计图,但是后续资产变更后,并没有更新原有通信图;(通信设计图和实际网络运行环境不一致)
- 有一些工具可以分析流量或者之间的关系,但是工具很重。
这个系统主要帮助工程师分析 __网络通信关系 __的一个 __轻量级 __集成工具。
适用场景和使用方式
适用场景
- IT环境
- 工控环境
使用方式
- 实时分析方式
- 离线流量包分析方式
实时模式
实时流量总览
离线模式以 实时分析单台IT环境流量包为例。
选择 实时流量分析模式,选择指定网卡,系统将监听指定网卡上的流量。注意: 如果是监听整个IT环境流量,可以将流量打到某个网卡,同时监听该网卡。
可以看到下图实时的流量,网卡信息,IP排行等等。
内网和外网间通信
通过指定关注的网段(通常是内网),可以查看这些网段之间的关联关系:
内网之间的通信
通过指定关注的网段(通常是内网),可以查看这些网段之间的关联关系:
IP和端口分析
检索IP相关流量包
可以检索IP:
IP之间的通信关系
IP通信全局图,圆圈大小表示流量大小:
看指定IP和其它IP通信:
看IP组之间关系:
IP和端口间通信关系
如上图IP之间的关系,发现某两个IP之间流量通信比较大,可以分析下这个IP通过什么端口和其它IP通信的。
还有其它模式不再一一介绍。
服务发现
服务发现需要往监控环境中发送部分流量包。
主动扫描端口和服务
点击服务发现:
发现结果: 可以看到这些IP是使用的系统,通过什么端口开放了什么服务等:
离线模式
本例子以 抓取某工控环境下流量包为例,通过分析离线流量包来进行分析。
流量总览
选择 离线模式,选择流量pcap包,可以看到流量发生时间段和流量图等等
IP通信关系(可检索进一步分析)
可以看到通常工业环境下流量是比较单一的,相比IT环境会简单和稳定许多
内网通信关系
查看内网之间的通信关系
