Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Adding Mirror Traffic Detection #67

Open
ZeroKong-CN opened this issue Feb 20, 2024 · 9 comments
Open

Adding Mirror Traffic Detection #67

ZeroKong-CN opened this issue Feb 20, 2024 · 9 comments
Labels
enhancement New feature or request

Comments

@ZeroKong-CN
Copy link

ZeroKong-CN commented Feb 20, 2024

After testing, it seems that the core routers & switches' mirror ports' traffic is not currently supported. I enabled the promiscuous mode of the network card under CentOS7 for testing and found that there was no log output.
I hope to add this feature for the following reasons:
The company's security construction is relatively mature, and it is not possible to make major changes under the current circumstances, especially using self-built cores at key nodes. Therefore, I hope to add support for the detection of traffic on mirror ports, to find users with matching characteristics and intercept them through firewalls or AC devices (internet behavior management).
Please assess whether the requirement is feasible to be included in the plan.

经过测试目前貌似并不支持核心路由器&交换机镜像端口的流量,我在CentOS7下开启了网卡混杂模式进行测试发现并没有日志输出。
希望能够添加该功能,原因如下:
目前公司安全建设已经相对成熟,在现有的情况下并不能做大的改动特别是使用自建核心在关键节点。因此希望增加支持对镜像端口流量的检测功能,找出符合特征的用户通过防火墙或AC设备(上网行为管理)进行拦截。
请评估是否可行将该需求纳入计划中。

@zfdx123
Copy link

zfdx123 commented Feb 20, 2024

我注意到这个项目是做流量转发来实现,但是在某些场景下利用镜像端口来处理流量似乎可以减轻服务器压力和降低建设成本以及保证链路稳定性,但是不确定在大流量下是否会出现漏网之鱼的流量,利用交换机镜像端口来实现,我认为很有价值

@tobyxdd tobyxdd added the enhancement New feature or request label Feb 20, 2024
@tobyxdd
Copy link
Collaborator

tobyxdd commented Feb 21, 2024

因为目前是按 inline 部署在路由/交换机上设计的,这样才能实现拦截特定流/包。添加端口镜像的支持本身应该不难,但是现有的 block/drop/modify 这些 actions 就没法实现了。

@zfdx123
Copy link

zfdx123 commented Feb 21, 2024

利用两个网络接口,一个镜像一个发送rst等来实现阻断,不知道是否可行

@ZeroKong-CN
Copy link
Author

ZeroKong-CN commented Feb 21, 2024

因为目前是按 inline 部署在路由/交换机上设计的,这样才能实现拦截特定流/包。添加端口镜像的支持本身应该不难,但是现有的 block/drop/modify 这些 actions 就没法实现了。

主要是大型集团类型的公司只能这样子镜像流量去分析数据。(核心数通设备肯定是那几家的)
对于现有的这些actions可能需要的也是过滤展示数据(流量分析纯日志模式)。。。

@tobyxdd
Copy link
Collaborator

tobyxdd commented Feb 21, 2024

因为目前是按 inline 部署在路由/交换机上设计的,这样才能实现拦截特定流/包。添加端口镜像的支持本身应该不难,但是现有的 block/drop/modify 这些 actions 就没法实现了。

主要是大型集团类型的公司只能这样子镜像流量去分析数据。(核心数通设备肯定是那几家的)
对于现有的这些actions可能需要的也是过滤展示数据(流量分析纯日志模式)。。。

那可以做一个端口镜像的模式, actions 是无效的,只能打 log。等我先弄好日志模式搞吧

@tobyxdd
Copy link
Collaborator

tobyxdd commented Feb 21, 2024

利用两个网络接口,一个镜像一个发送rst等来实现阻断,不知道是否可行

这样最多可以实现 block,还是做不了 drop 和 modify

@lengxu
Copy link

lengxu commented Mar 7, 2024

因为目前是按 inline 部署在路由/交换机上设计的,这样才能实现拦截特定流/包。添加端口镜像的支持本身应该不难,但是现有的 block/drop/modify 这些 actions 就没法实现了。

在文档中查看到:
支持的 action
allow: 放行连接,不再处理后续的包。
block: 阻断连接,不再处理后续的包。
drop: 对于 UDP,丢弃触发规则的包,但继续处理同一流中的后续包。对于 TCP,效果同 block。
modify: 对于 UDP,用指定的修改器修改触发规则的包,然后继续处理同一流中的后续包。对于 TCP,效果同 allow。

对于drop这个action TCP协议是否可以实现,丢弃触发规则的包,但会继续处理后续的包这个效果。

@feiyangbeyond
Copy link

@ZeroKong-CN

找出符合特征的用户通过防火墙或AC设备

是要做禁止某个设备访问某些网站吗?那为什么不直接把规则写到fw或ac里呢?感觉有点伪需求

@ZeroKong-CN
Copy link
Author

@ZeroKong-CN

找出符合特征的用户通过防火墙或AC设备

是要做禁止某个设备访问某些网站吗?那为什么不直接把规则写到fw或ac里呢?感觉有点伪需求

是为了将异常流量给到专用的数据分析设备中。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
enhancement New feature or request
Projects
None yet
Development

No branches or pull requests

5 participants