安全的數(shù)據(jù)中心可以幫助企業(yè)降低業(yè)務宕機和安全問題造成的損失。

傳輸在網(wǎng)絡中的數(shù)據(jù)包一般都存在風險，IT安全專家們需要對此加以重視。

每時每刻，以百萬計的網(wǎng)絡數(shù)據(jù)包進入企業(yè)網(wǎng)絡，安全專家有責任對這龐大的網(wǎng)絡流量進行分析并阻止和減少惡意數(shù)據(jù)包對網(wǎng)絡的危害。為了更有效率的履行上述職責，人們已經(jīng)開發(fā)了不少方法和工具，如入侵檢測系統(tǒng)，入侵防御系統(tǒng)，WEB應用防火墻等。若這些方法運用得當，可以非常有效的過濾惡意流量，保障網(wǎng)絡安全。

然而，很多時候網(wǎng)絡攻擊者可以成功突破這些防御機制壁壘，人們往往更多在事后才發(fā)現(xiàn)入侵痕跡。這是攻擊者與防守者之間的對弈，防守者則需要十分熟悉Wireshark網(wǎng)絡分析技巧。

步驟一：設置捕獲點

企業(yè)安全專家可能嘗試的方法是，通過啟用Wireshark捕獲網(wǎng)絡中兩個不同點，來驗證防火墻性能效率。首先，在直通模式設備的非軍事區(qū)中，開啟混合模式，并啟動Wireshark進行抓包。這樣能獲取到所有試圖通過網(wǎng)絡的未過濾數(shù)據(jù)包。接著，立即在在防火墻后的某臺設備上開啟Wireshark。根據(jù)實際網(wǎng)絡拓撲，可能需要配置一個監(jiān)控點。在數(shù)據(jù)獲取到一定量后，保存數(shù)據(jù)并開始分析。

步驟二：檢查是否有入侵

對比步驟一中收集的兩個數(shù)據(jù)包，對比依據(jù)為防火墻上設置的過濾規(guī)則，檢查數(shù)據(jù)是否存在差異。例如，許多防火墻默認屏蔽所有TCP 23端口的Telnet流量。可以嘗試從外部網(wǎng)絡發(fā)起針對內部網(wǎng)絡設備的telnet登錄。檢查Wireshark獲取的數(shù)據(jù)內容，驗證數(shù)據(jù)包是否有發(fā)往防火墻。接下來，需要見證防火墻后的Wireshark數(shù)據(jù)，通過過濾器塞選Telent流量，如果發(fā)現(xiàn)有任何Telnet記錄，則說明防火墻配置存在嚴重問題了。

警覺的安全專家需要時刻意識到上述Telnet測試是最最基本的，對生產環(huán)境并不會有任何影響，因為當今最復雜的防火墻已經(jīng)可以輕松拒絕傳統(tǒng)非安全協(xié)議，如Telnet和FTP。盡管如此，既然已經(jīng)著手測試，上述內容是一個不錯的開始。所以，在我們通過Wireshark捕捉兩臺網(wǎng)絡設備的數(shù)據(jù)包后，現(xiàn)在可以開始著手更深入的包檢測方法。

步驟三：限制網(wǎng)絡端口

在開啟Wireshark一段時間后，停止捕捉并將文件保存為PCAP文件格式。如果兩個捕捉點之間有任何互聯(lián)網(wǎng)信息數(shù)據(jù)傳輸，那么數(shù)據(jù)包的數(shù)量將很快達到上千個。

大多數(shù)企業(yè)需要某種類型的網(wǎng)站展示，主要有兩種可能性：業(yè)務需要Web服務器，而且服務器通常要開放TCP 80端口。由于通過80端口的HTTP流量無須任何驗證，許多攻擊者操作HTTP報文作為通過防火墻的方法，并以此竊取重要數(shù)據(jù)。簡單來說。HTTP是大多數(shù)防火墻允許通過并直接放行的報文，所以攻擊者會將攻擊信息捎帶在正常的數(shù)據(jù)報文中，作為獲得某些授權的方式。

例如，惡意用戶可通過操縱HTTP報文的方式，讓WEB響應大量的敏感信息，而這些信息可能是不允許未經(jīng)授權查看的。更具體來說，惡意用戶可以使用通配符路徑插入結束語句，指示接收結點返回攻擊者想要的指定目錄所有文件。例如，一個惡意的HTTP GET方法可能看來如下所示：

GET /complete_table/*.html HTTP/1.1\r\n

如果防火墻沒有配置為針對所有Web流量的深度包檢測模式，那么上述命令可能允許終端用戶獲取/complete_table/目錄下的所有HTML文件。Wireshark捕獲功能一直開啟的話，可以通過如下命令進行過濾分析：

http.request.method==GET && http.request.uri=="/complete_table/*"

在語句中將/complete_table/*替換成可通過HTTP訪問的文件具體路徑。如果WEB服務器是Linux系統(tǒng)，那么路徑可能看起來像這樣：

/var/www/your_files*

在http.request.uri字段會因網(wǎng)絡而異，但可以通過通配符來尋找問題，我們需要確定通配符*在哪里出現(xiàn)。如果發(fā)現(xiàn)這方面的線索，深入分析后將可能找到更合乎邏輯的解釋。

防火墻與其他網(wǎng)絡防御設備解決方案差異很大。某些設備高品質，高可配置和高性能。其他設備則更傾向與在可行性與預算允許情況下的權宜之計。無論組織選擇何種針對互聯(lián)網(wǎng)的防御機制，都需要人工和一些直覺來分析網(wǎng)絡數(shù)據(jù)包并預測未來可能的數(shù)值趨勢。