alle Blog Artikel
3 min Lesezeit

Mittels Netflow besteht nicht nur die Chance festzustellen, ob ein Host mit Malware infiziert ist, sondern auch verfolgen, wie sich die Malware im Netzwerk verbreitet und welche anderen Hosts kompromittiert werden. Dieses Wissen ist wichtig für die Beseitigung einer Bedrohung. 

Um Netflow nutzen zu können, muss hierfür zunächst sichergestellt werden, dass "ip cef" aktiv ist. Im Anschluss muss auf dem betroffenen Interface, über das der zu untersuchende Traffic hereinkommt, das Kommando "ip route-cache flow" konfiguriert werden. 

Beispiel:

interface FastEthernet0
ip address 172.16.203.201 255.255.255.0
ip route-cache flow

Mit dem Befehl "sh ip cache flow" wird der aktuelle Flow-Cache angezeigt. Zum zurücksetzen des Flow-Cache-Counters dient der Befehl "clear ip flow stats". Das nachfolgende Beispiel zeigt eine händische Auswertung von Flow-Daten.

cisco_router#sh ip cache flow
IP packet size distribution (196113 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .890 .085 .000 .005 .004 .004 .000 .002 .000 .000 .000 .000 .001 .000
89% der Flows sind kleiner 64 Byte
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .004 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 278544 bytes
3633 active, 463 inactive, 86349 added
490470 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
last clearing of statistics never <— Statistik ist seit dem Aktiveren nicht zurückgesetzt worden
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-WWW 18 0.0 2 126 0.0 3.5 11.1
TCP-other 81106 0.0 2 57 0.0 3.0 17.2 —> 81106 TCP Flows waren aktive, jeweils 2 Packete, 57 Byte und nur 3 Sekunden aktiv
UDP-DNS 1567 0.0 7 68 0.0 11.3 17.0
UDP-NTP 2 0.0 1 76 0.0 0.0 17.8
UDP-other 22 0.0 73 78 0.0 55.8 17.2
ICMP 1 0.0 1 64 0.0 0.0 17.5
Total: 82716 0.0 2 58 0.0 3.2 17.2

SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0 192.168.203.118 Se0.101 192.168.233.1 06 0ED8 01BD 2
Fa0 192.168.203.121 Se0.101 192.168.102.152 06 1379 01BD 1
Fa0 192.168.203.126 Se0.101 192.168.241.97 06 06B4 01BD 1
Fa0 192.168.203.126 Se0.101 192.168.33.152 06 067A 01BD 2
Fa0 192.168.203.123 Se0.101 192.168.172.29 06 0DFD 01BD 2
Fa0 192.168.203.123 Se0.101 192.168.44.196 06 0D26 01BD 2
Fa0 192.168.203.125 Se0.101 192.168.154.52 06 0F8E 01BD 2
Fa0 192.168.203.118 Se0.101 192.168.217.114 06 0E47 01BD 2
Fa0 192.168.203.126 Se0.101 192.168.67.229 06 05C2 01BD 2
Fa0 192.168.203.123 Se0.101 192.168.28.200 06 0D24 01BD 2
Fa0 192.168.203.119 Se0.101 192.168.250.47 06 0F82 01BD 2
Fa0 192.168.203.123 Se0.101 192.168.73.151 06 0E75 01BD 1
Fa0 192.168.203.128 Se0.101 192.168.244.14 06 052F 01BD 2
Fa0 192.168.203.125 Se0.101 192.168.122.130 06 0F47 01BD 2
Fa0 192.168.203.121 Se0.101 192.168.148.247 06 12C9 01BD 2
Source Interface: Fa 0
Source IP Address: 192.168.203.121
Destination Interface: Serial 0.101
Destination IP Address: 192.168.148.247
Protocol: 06 = TCP , 01 = ICMP, 11 = UDP
Source Port: 0x12C9 = 4809
Destination Port: 0x01BD = 445
Packete: 2

Zur Identifizierung des möglichen Wurms kann man dann auf der CERT-Seite nach dem Destinationen Port suchen und ggf. den Verursacher herausfinden oder zumindest sehen welche Schwachstelle angegriffen wird und wie sich der Wurm verbreitet. Noch besser bzw. einfacher ist dies beispielsweise mit dem Tool Secure Network Analytics (Stealthwatch) der Firma Cisco.


Suche
tags-stack
Kategorie
calendar-2
Zeitraum