艾体宝干货 IOTA流量分析秘籍第三招:检测黑名单上的IP地址
艾体宝干货 | IOTA流量分析秘籍第三招:检测黑名单上的IP地址
IOTA 设备提供 RESTful API,允许直接访问存储在设备上的数据。这对于集成到各种场景中非常有用。在本例中,可以过滤当前捕获内容中的黑名单 IP。用例可能是分析某些内部 IP 是否未传播到特定访问级别之外,或者某些设备是否从不应访问的区域进行访问。
IOTA简介
IOTA 是一款功能强大的网络捕获和分析解决方案,适用于边缘和核心网络。IOTA 系列包括便携式 EDGE 型号、高速 CORE 型号和 IOTA CM 集中设备管理系统。IOTA 解决方案可为分支机构、中小企业和核心网络(如数据中心)提供快速高效的网络分析和故障排除功能。
IOTA 设备提供 RESTful API,允许直接访问存储在设备上的数据。这对于集成到各种场景中非常有用。在本例中,可以过滤当前捕获内容中的黑名单 IP。用例可能是分析某些内部 IP 是否未传播到特定访问级别之外,或者某些设备是否从不应访问的区域进行访问。
一、前提条件
二、设置 IOTA 设备
- 连接 IOTA 设备
- 将 IOTA 设备连接到要监控的网段。
- 确定正确的网段至关重要。通过目视检查 IOTA 设备上的流量,确保在捕获期间使用正确的网段。
- 访问 IOTA 网络界面
- 打开网络浏览器并输入 IOTA 设备的 IP 地址。
- 例如:https://(用 IOTA 设备的实际 IP 地址替换)。
- 使用正确的凭证登录。该脚本使用的用户名/密码组合应允许它查看必要的信息。
- 配置捕获设置
- 设置用于捕获数据包的网络接口。
- 从设备的 Web 界面选择要监控的接口。
- 根据需要配置过滤器,以关注特定流量类型。
- 您可以根据需要设置过滤器,只捕获特定类型的流量,如 HTTP 或 FTP。
三、使用 IOTA 数据库查询引擎
查询引擎允许任何用户以机器可读的方式与 IOTA 设备交互,以查询元数据数据库。用户只需输入用户名/密码,即可通过 RESTful API 访问数据库。
为确保敏感信息不被传播,以及设备上的任何信息都不会被用户篡改,建议创建一个新的特殊用户。在本例中,创建了一个用户名为 “apitest ”的用户。请注意,该用户已作为 “查看器 ”自动添加到组织中。不需要配置任何其他功能,而且该角色只允许只读访问,可以防止任何误传。
四、安全考虑
这里使用的解决方案是为使用脚本创建一个专用的用户/密码组合。由于建议保护 IOTA 的直接访问不受任何外部干扰,并使用 HTTPS 连接,因此这样做没有问题。但请注意,良好的做法是确保该用户/密码组合不在任何其他情况下使用,并且该用户仅具有查看器角色(新用户默认具有该角色)。
五、检测黑名单 IP 的 Python 脚本
import requests
import re
import time
import urllib.parse
import json
import argparse
from urllib3.exceptions import InsecureRequestWarning
def main():
# CLI options
parser = argparse.ArgumentParser(description='Compare IP blacklist files against IOTA metadata. Blacklist files must contain a list of single IPv4/IPv6 addresses or IP subnet in CIDR notation.')
required_args = parser.add_argument_group('required')
required_args.add_argument('-d', '--device_ip', help='Device IP address')
required_args.add_argument('-i', '--infile', nargs='+', help = 'Blacklist file(s)')
parser.add_argument('-u', '--device_username', default='admin', help='Device IP username (default: admin)')
parser.add_argument('-p', '--device_password', default='admin', help='Device IP password (default: admin)')
parser.add_argument('-l', '--query_time_window_s', type=int, default=600, help='Number of seconds from the current time to query IOTA metadata (default: 600)')
args = parser.parse_args()
if args.device_ip:
iota_ip_address = args.device_ip
if args.device_username:
iota_username = args.device_username
if args.device_password:
iota_password = args.device_password
if args.query_time_window_s:
query_time_window_s = args.query_time_window_s
if args.infile:
blacklist_files = args.infile
query_time_window_end = int(time.time())
query_time_window_start = query_time_window_end - query_time_window_s
results = {}
session = requests.Session()
session.auth = (iota_username, iota_password)
# Suppress warnings from urllib3
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)
# Open blacklist files, iterate over them
for blacklist_file in blacklist_files:
count_fail = 0
print(f' - {blacklist_file}')
with open(blacklist_file) as f:
for line in f:
# Skip comments or empty lines
if re.match(r"^[;#s]", line):
continue
# Current IP address or subnet
ip = line.split()[0]
print(f' - {ip:45}', end='')
# Handle CIDR subnet query
if re.match(r"^(?:(?:(?:[0-9]{1,3}.){3}[0-9]{1,3}/[0-9]{1,2})|(?:[0-9a-fA-F:]{2,39}/[0-9]{1,2}))$", ip):
query = urllib.parse.quote(f"SELECT COUNT(DISTINCT FLOW_ID) AS matching_flows FROM flows.base WHERE (isIPAddressInRange(IP_SRC, '{ip}') OR isIPAddressInRange(IP_DST, '{ip}')) AND DATE_PKT_MS_FIRST >= toDateTime64({query_time_window_start}, 3) AND DATE_PKT_MS_FIRST <= toDateTime64({query_time_window_end}, 3) FORMAT JSON", safe='()*')
response = session.get('https://'+iota_ip_address+'/api/datasources/proxy/3/?query='+query, verify=False)
matching_flows = json.loads(response.content)['data'][0]['matching_flows']
if matching_flows == "0":
print('Ok')
else:
count_fail += 1
print(f'Match (flows: {matching_flows})')
# Handle single IP address query
elif re.match(r"^(?:(?:(?:[0-9]{1,3}.){3}[0-9]{1,3})|(?:[0-9a-fA-F:]{2,39}))$", ip):
query = urllib.parse.quote(f"SELECT COUNT(DISTINCT FLOW_ID) AS matching_flows FROM flows.base WHERE (IP_SRC = '{ip}' OR IP_DST = '{ip}') AND DATE_PKT_MS_FIRST >= toDateTime64({query_time_window_start}, 3) AND DATE_PKT_MS_FIRST <= toDateTime64({query_time_window_end}, 3) FORMAT JSON", safe='()*')
response = session.get('https://'+iota_ip_address+'/api/datasources/proxy/3/?query='+query, verify=False)
matching_flows = json.loads(response.content)['data'][0]['matching_flows']
if matching_flows == "0":
print('Ok')
else:
count_fail += 1
print(f'Match (flows: {matching_flows})')
# Some unknown case
else:
print('Unhandled case')
# Record results after completing file
results[blacklist_file] = count_fail
# Print results
print('nResultsn===')
for file in results:
print(f' - {file:47}{str(results[file])} matches')
if __name__ == '__main__':
main()
六、脚本分步说明
1.导入必要的库
import requests
import re
import time
import urllib.parse
import json
import argparse
from urllib3.exceptions import InsecureRequestWarning
2.设置配置
# CLI options
parser = argparse.ArgumentParser(description='Compare IP blacklist files against IOTA metadata. Blacklist files must contain a list of single IPv4/IPv6 addresses or IP subnet in CIDR notation.')
required_args = parser.add_argument_group('required')
required_args.add_argument('-d', '--device_ip', help='Device IP address')
required_args.add_argument('-i', '--infile', nargs='+', help = 'Blacklist file(s)')
parser.add_argument('-u', '--device_username', default='apitest', help='Device IP username (default: apitest)')
parser.add_argument('-p', '--device_password', default='apitest', help='Device IP password (default: apitest)')
parser.add_argument('-l', '--query_time_window_s', type=int, default=600, help='Number of seconds from the current time to query IOTA metadata (default: 600)')
- -d / -device_ip
- IOTA 设备的 IP。
- -i / -infile
- 包含要查找的 IP 地址的文本文件。也可以提供地址范围的 CIDR 子网查询。文件可能包含以 ; 或 # 为前缀的注释。任何空行或以空格开头的行都将被省略。通过多次提供此参数,可以向脚本提交多个输入文件。
- -U / -device_username
- 上一步中定义的用户名。
- -p / -device_password
- 上述步骤中定义的密码。
- -l / -query_time_window_s
- 查询应在过去多少时间内进行。默认值为 600 秒,相当于 10 分钟。
输入文件:
以输入文件为例,它将搜索特定子网以及内部 DNS 服务器的所有 IP 地址。
# IP Address of DNS server
192.168.1.250
# Host range for internal testing
10.40.0.0/24
3.检测黑名单 IP 的主逻辑
主逻辑打开黑名单文件,逐步进行解析,并查询内部数据库,进行相应的子网查询或直接 IP 地址查询。
query = urllib.parse.quote(f"SELECT COUNT(DISTINCT FLOW_ID) AS matching_flows FROM flows.base WHERE (isIPAddressInRange(IP_SRC, '{ip}') OR isIPAddressInRange(IP_DST, '{ip}')) AND DATE_PKT_MS_FIRST >= toDateTime64({query_time_window_start}, 3) AND DATE_PKT_MS_FIRST <= toDateTime64({query_time_window_end}, 3) FORMAT JSON", safe='()*')
response = session.get('https://'+iota_ip_address+'/api/datasources/proxy/3/?query='+query, verify=False)
matching_flows = json.loads(response.content)['data'][0]['matching_flows']
首先,设置查询。在本例中,我们只需要查询找到的条目的数量,这就是我们执行 COUNT 操作的原因。数据库以 SQL 格式进行查询。
创建查询后,将建立一个会话,该会话将使用 HTTP GET 操作来查询信息。查询结果以 JSON 数据形式显示,目前正在读取第一个条目。
对于找到的每个 IP 地址,将打印匹配条目的数量,对于每个文件,将打印匹配条目的总数。
七、运行脚本
建议在 Python 环境中运行脚本。可以使用以下命令来实现:
python3 -m venv ./Development/iota
source ./Development/iota/bin/activate
python3 -m pip install argparse requests
这将创建一个 Python3 venv 环境(更多信息请参见此处),并安装默认环境中不存在的所需库。
然后,假设 Python 脚本和 infile 文件都在当前目录下,下面的命令将运行该脚本:
在这种情况下,IOTA 的定位是在出站广域网连接上进行捕获。在最后 10 分钟内,内部 DNS 服务器没有进行任何出站 DNS 查询,但内部测试网络通过广域网连接发送了 4 次数据。
在本例中,脚本被用作白名单测试,但也可轻松配置为黑名单测试。
结论
通过本指南,您可以有效地利用 IOTA 设备及其 REST API 来监控网络流量,并使用 Python 检测黑名单 IP 地址。这种方法为在自动化监控环境中维护网络安全提供了强大的工具。
审核编辑 黄宇
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
API
+关注
关注
2文章
2516浏览量
67194 -
网络安全
+关注
关注
11文章
3543浏览量
63651 -
Iota
+关注
关注
0文章
33浏览量
8856
发布评论请先 登录
相关推荐
热点推荐
Omdia最新研究表明:蜂窝物联网数据流量到2035年将达到218.6艾字节
根据Omdia的最新研究,蜂窝物联网连接产生的数据流量预计到2035年将增至218.6艾字节(EB)。对可分析数据的市场需求持续上涨推动了这一增长,企业希望借此提升运营效率和挖掘全新营收机会。
科普|什么是MAC地址、MAC码、OUI码、蓝牙串号
(EthernetAddress)或物理地址(PhysicalAddress),它是一个用来确认网上设备位置的地址。在OSI模型中,第三层网络层负责IP
PCBA失效分析怎么做?第三方机构详解7步标准流程
的第三方检测机构, 广东省华南检测技术有限公司 (以下简称“华南检测”)每年处理上百起失效案例。今天,我们用一篇实操干货,把PCBA失效
艾体宝洞察 | 免费领白皮书!洞悉制造业智能化转型下的人因风险与破局之道
重点速览智能制造在提升生产效率的同时,也暴露了严峻的安全短板,其中人为漏洞正成为最薄弱的环节。本文结合艾体宝KnowBe4最新研究,揭示制造业转型中的累积的安全债务、供应链安全威胁和高价值数据泄露
如何高效修改西门子PLC的相同IP地址
随着“智能制造”与“工业4.0”的持续推进,越来越自动化设备需接入信息化管理系统,但很多企业在早期设备采购或新增设备时,往往缺乏对设备 IP 地址进行统一规划,导致不同厂家设备或同型号多台设备出现
工业NAT网关实现PLC、机床等设备IP地址冲突的解决方案
在工业自动化项目中,工程师经常会遇到一个问题——IP地址冲突。比如一台编写好程序的自动化设备,其内部PLC的IP地址是固定的192.168.1.1,在接入工厂局域网络时却发现无法联网,
IP地址冲突导致德国站群服务器断网的解决方法?
在网络管理中,IP地址冲突是一个常见且令人头疼的问题。尤其是对于依赖站群服务器进行大规模网络操作的企业而言,IP冲突可能会导致整个服务器群组无法正常工作,从而造成严重的业务中断。本文将探讨如何解决因
OT网络流量分析的突破口:IOTA助力安全与效率双提升
重点速览面对复杂的OT网络环境,传统的数据采集与分析工具往往难以满足高效性和精准性的需求。ProfitapIOTA提供了一种智能化的解决方案,使企业能够更快速、更准确地进行流量分析与故障诊断。本文
DPI技术赋能:开启智能流量分析新纪元
随着企业数字化转型的深入,网络流量复杂度与安全威胁呈现爆炸式增长。传统防火墙与入侵检测系统面对加密流量和高级威胁显得力不从心,关键业务响应延迟激增,未知恶意流量渗透导致数据泄露风险高,
协议分析仪支持哪些高级触发选项?
之间的通信。
优势:检测异常参数或边界条件,适用于性能测试和故障排查。
掩码触发
功能:通过掩码提取协议字段的特定位进行匹配(如IP地址的某一段、CAN ID的优先级位)。
示例:捕获所有源
发表于 07-23 14:21
CNC的IP地址相同冲突如何解决?
在网络世界中,每个设备都需要一个独特的标识来确保信息的准确传输,这个标识就是IP地址。然而,在CNC(数控机床)生产车间中,由于存在多个品牌、不同型号的设备,且这些设备在出厂测试时往往会被配备相同
国台办痛批台当局将华为、中芯列入黑名单的荒谬之举
近日,台当局经济部门更新所谓 “战略性高科技货品出口实体管理名单”,将华为、中芯国际及多家相关子公司列入其中。这一举动引发广泛关注,国台办对此做出回应。 在近期的新闻发布会上,国台办发言人针对
评论