虹科分享 | 如何通过ntopng流量规则来监控网络流量
虹科网络安全2023-08-25 15:33:52
让我们假设您有一个网络,其中本地主机生成恒定数量的流量。你如何发现他们是否行为错误?碰巧,一些本地主机行为开始异常,与它们之前相比,有一个异常的流量(发送或接收):您如何发现这些情况并通过警报报告它们。
这就是我们创建本地流量规则页面的原因:用户现在可以为一些(或所有)本地主机定义自定义卷/吞吐量阈值。您还可以设置分数和应用协议的阈值。)。
例如,如果网络中有一台DNS服务器,可以对该主机进行关于DNS流量的检查:如果主机的DNS流量超过1 GB/天,请提醒我。
阈值是如何设置的
在本地流量规则(Load Traffic Rules)
在这里,可以为您想要的每个本地主机或接口设置您喜欢的规则。
该规则由以下部分组成:
Ø 目标(监控对象)
Ø 类型(主机或接口)
Ø 指标(受监控的内容)
Ø 检查频率(监控频率)
Ø 阈值(阈值不能超过上限/下限)
(相反,在操作列中,可以编辑/删除规则)。
通过单击表搜索栏旁边的‘+’图标,可以添加新规则。
在这里可以执行以下操作:
Ø 设置规则类型
Ø 添加目标(我们正在监视的内容)
Ø 选择受监视的指标:流量、分数和所有应用程序协议(例如,DNS、HTTP、SMTP、…)
Ø 设置检查频率:每五分钟、每小时或每天一次
Ø 指定阈值,可以用容量(例如1 GB)、吞吐量(例如1 Gbps)或百分比(例如+20%,表示当前值不能超过上次检查期间度量值的20%)进行测量
因此,现在是时候监控您的主机和接口,并确保它们不会有不当行为。
联系我们
扫码加入虹科网络安全交流群或微信公众号,及时获取更多技术干货/应用案例。
虹科网络安全
定期更新技术干货/应用案例,让网络安全更简单。