阿里云国际站：怎样通过流量镜像实现网络行为审计？

基于阿里云VPC流量镜像功能

• 创建流量镜像会话 ：在阿里云控制台的“弹性网卡（ENI）”管理界面，为指定网卡创建流量镜像会话，选择需要镜像的实例网卡作为源，指定流量镜像目标，如另一台实例的网卡或IP地址，还可设置镜像规则，选择镜像全部流量或特定协议、IP范围、端口的流量。
• 配置审计平台 ：将镜像流量转发至部署了安全分析工具的目标实例，如 Suricata 等，Suricata 支持 VXLAN 解封装，具备入侵检测、入侵防御和网络安全监控功能，可有效识别恶意流量模式，并能与 Elasticsearch 等可视化分析系统集成。通过 Filebeat 采集 Suricata 日志，经 Elasticsearch 索引存储后，在 Kibana 进行可视化查询、分析和展示，还可配置 Elasticsearch 将流量记录备份至阿里云 OSS，确保数据安全存储与长期可访问。

利用旁路部署行为审计设备

• 配置交换机端口镜像 ：在交换机上配置端口镜像功能，将内网流量镜像到旁路部署的行为审计设备，如深信服 AC 等。需确认镜像的源接口和目的接口，以及流量方向，然后配置端口镜像功能，并将接受镜像流量的设备接到对应的目的端口。
• 配置审计策略 ：在行为审计设备上配置审计策略，如 SSL 解密策略等，以实现对特定网络行为的审计，如审计邮件外发、网盘上传等内容。同时，可通过安装准入客户端，实现对客户端行为的审计。

采用虚拟化流量镜像

• 环境准备及工具安装 ：在虚拟化环境中，配置好环境，安装所需的软件和工具，如在 Ubuntu 系统下安装流量抓取和分析工具，以及虚拟机管理工具。
• 创建虚拟机并配置网络 ：使用 Virt-Manager 创建虚拟机，配置为桥接网络模式，以便与外部网络通信。
• 配置流量镜像 ：假设目标服务器 IP 为 192.168.1.10，使用 tc 命令设置流量控制规则，将服务器的流量镜像到虚拟机的虚拟网卡上，并使用 tcpdump 命令抓取并保存流量。
• 测试与分析 ：在另一台机器上使用 wget 或 curl 命令访问目标服务器，观察流量是否成功镜像，并检查抓取到的流量数据文件，用 Wireshark 等工具进行分析，为性能调优及安全分析提供支持。

运用全流量分析系统

• 流量采集 ：通过在被采集数据的网络设备上做端口流量镜像，如千兆、万兆以太网端口、分光器、分流器等，将流量报文原始数据发到采集探针的采集端口。采集探针按配置对所有流量或指定 IP 流量，按指定部分报文长度或整个报文存储到其存储空间上。
• 流量分析 ：利用 DPI/DFI 识别和高性能计算，基于流量统计、质量计算、行为分析、异常监控等多种模型，对数据流量的会话和流量统计，生成丰富的 TCP 协议指标以及应用交易指标，为可视化分析提供多个维度的数据源。

借助流量镜像模块

• 加载流量镜像模块 ：在内核中加载流量镜像模块，如 ebpf_clone_redirect 函数等，通过用户态设置模块确定目标过滤条件，加载数据过滤模块和数据复制模块到服务器的网关上。
• 复制转发流量 ：当数据过滤模块获取到达服务器网关上的数据包符合目标过滤条件时，调用数据复制模块，将数据包复制转发至服务器的隧道封装网卡。隧道封装网卡将数据包进行封装后发送至隧道对端的审计服务器进行分析。