Programmid Interneti-liikluse jälgimiseks Windows. Kuidas jälgida liiklust võrgus

Paljud võrguadministraatorid puutuvad sageli kokku probleemidega, mida saab lahendada võrguliiklust analüüsides. Ja siin puutume kokku sellise kontseptsiooniga nagu liiklusanalüsaator. Mis see siis on?

NetFlow analüsaatorid ja kogujad on tööriistad, mis aitavad teil jälgida ja analüüsida võrguliikluse andmeid. Analüsaatorid võrguprotsessid võimaldab teil täpselt tuvastada seadmeid, mis vähendavad kanali läbilaskevõimet. Nad teavad, kuidas leida probleemsed alad süsteemis ja parandada võrgu üldist tõhusust.

Mõiste " NetFlow" viitab Cisco protokollile, mis on loodud IP-liikluse teabe kogumiseks ja võrguliikluse jälgimiseks. NetFlow on vastu võetud kui standardprotokoll voogedastustehnoloogiate jaoks.

NetFlow tarkvara kogub ja analüüsib ruuterite genereeritud vooandmeid ning esitab need kasutajasõbralikus vormingus.

Mitmetel teistel võrguseadmete müüjatel on jälgimiseks ja andmete kogumiseks oma protokollid. Näiteks Juniper, teine kõrgelt hinnatud võrguseadmete müüja, nimetab oma protokolli " J-Flow". HP ja Fortinet kasutavad terminit " s-Flow". Kuigi protokolle nimetatakse erinevalt, töötavad need kõik sarnaselt. Selles artiklis vaatleme 10 tasuta võrguliikluse analüsaatorit ja NetFlow kogujat Windowsi jaoks.

SolarWindsi reaalajas NetFlow liiklusanalüsaator

Tasuta NetFlow Traffic Analyzer on üks populaarsemaid tööriistu tasuta allalaadimine. See annab teile võimaluse andmeid mitmel erineval viisil sortida, sildistada ja kuvada. See võimaldab võrguliiklust mugavalt visualiseerida ja analüüsida. Tööriist on suurepärane võrguliikluse jälgimiseks tüübi ja ajaperioodi järgi. Samuti testide käivitamine, et teha kindlaks, kui palju liiklust erinevad rakendused tarbivad.

See tasuta tööriist piiratud ühe NetFlow seireliidesega ja salvestab ainult 60 minutit andmeid. See Netflow analüsaator on võimas tööriist, mida tasub kasutada.

Colasoft Capsa tasuta

See tasuta kohtvõrgu liiklusanalüsaator võimaldab teil tuvastada ja jälgida üle 300 võrguprotokollid ja võimaldab luua kohandatud aruandeid. See hõlmab jälgimist Meil ja järjestusskeemid TCP sünkroonimine, kõik see on koondatud ühele kohandatavale paneelile.

Muud funktsioonid hõlmavad võrgu turvalisuse analüüsi. Näiteks DoS/DDoS rünnakute, usside tegevuse ja ARP rünnaku tuvastamise jälgimine. Lisaks pakettide dekodeerimisele ja teabe kuvamisele, statistilistele andmetele iga võrgu hosti kohta, paketivahetuse juhtimine ja voo rekonstrueerimine. Capsa Free toetab kõiki 32-bitisi ja 64-bitisi Windowsi versioonid XP.

Minimaalsed süsteeminõuded paigaldamiseks: 2 GB muutmälu ja 2,8 GHz protsessor. Teil peab olema ka Etherneti ühendus Internetiga ( NDIS 3 või uuem), Kiire Ethernet või Gigabit koos segarežiimi draiveriga. See võimaldab teil passiivselt jäädvustada kõik Etherneti kaabli kaudu edastatavad paketid.

Vihane IP-skanner

See on avatud Windowsi liikluse analüsaator lähtekood, kiire ja lihtne kasutada. See ei vaja installimist ja seda saab kasutada operatsioonisüsteemides Linux, Windows ja Mac OSX. See tööriist töötab lihtsalt iga IP-aadressi pingimisega ja suudab määrata MAC-aadresse, skannida porte, pakkuda NetBIOS-i teavet, määrata volitatud kasutaja V Windowsi süsteemid, avastage veebiservereid ja palju muud. Selle võimalusi laiendatakse Java pistikprogrammide abil. Skannimisandmeid saab salvestada CSV-, TXT-, XML-failidesse.

ManageEngine NetFlow Analyzer Professional

ManageEngines'i NetFlow tarkvara täisfunktsionaalne versioon. See on võimas tarkvara täieliku valiku funktsioonidega analüüsiks ja andmete kogumiseks: monitooring ribalaius kanal reaalajas ja teated läviväärtuste saavutamise kohta, mis võimaldab protsesse kiiresti administreerida. Lisaks annab see kokkuvõtlikud andmed ressursikasutuse, rakenduste ja protokollide jälgimise ning palju muu kohta.

Tasuta versioon Linuxi liiklusanalüsaator lubab toodet piiramatult kasutada 30 päeva, pärast mida saab jälgida vaid kahte liidest. Nõuded süsteemile NetFlow Analyzer ManageEngine jaoks sõltuvad voolukiirusest. Soovitatavad nõuded minimaalsetele voolukiirustele 0 kuni 3000 keerme sekundis: kahetuumaline protsessor 2,4 GHz, 2 GB muutmälu ja 250 GB vaba ruum teie kõvakettal. Seiratava voolu kiiruse kasvades suurenevad ka nõuded.

Kutt

See rakendus on populaarne võrgumonitor, mille on välja töötanud MikroTik. See skannib automaatselt kõik seadmed ja loob uuesti võrgukaardi. Kutt jälgib töötavaid servereid erinevaid seadmeid ja hoiatab probleemide korral. Muud funktsioonid hõlmavad uute seadmete automaatset tuvastamist ja kuvamist, loomise võimalust enda kaardid, juurdepääs seadme kaughalduse tööriistadele ja palju muud. See töötab Windowsis Linuxi vein ja MacOS Darwine.

JDSU võrguanalüsaatori kiire Ethernet

See liiklusanalüsaatori programm võimaldab teil kiiresti võrguandmeid koguda ja vaadata. Tööriist võimaldab vaadata registreeritud kasutajaid, määrata üksikute seadmete võrgu ribalaiuse kasutustaset ning kiiresti leida ja parandada vigu. Samuti jäädvustage andmeid reaalajas ja analüüsige neid.

Rakendus toetab väga üksikasjalike graafikute ja tabelite loomist, mis võimaldavad administraatoritel jälgida liiklusanomaaliaid, filtreerida andmeid suurte andmemahtude läbisõelumiseks ja palju muud. See tööriist on mõeldud spetsialistidele algtaseme, aga ka kogenud administraatoritel, võimaldab teil võrgu üle täielikult kontrolli võtta.

Plixeri kontrollija

See võrguliikluse analüsaator võimaldab võrguliiklust koguda ja igakülgselt analüüsida ning vigu kiiresti leida ja parandada. Scrutinizeriga saate oma andmeid sortida mitmel viisil, sealhulgas ajaintervalli, hosti, rakenduse, protokolli ja muu järgi. Tasuta versioon võimaldab teil juhtida piiramatut arvu liideseid ja salvestada andmeid 24-tunnise tegevuse kohta.

Wireshark

Wireshark on võimas võrgu analüsaator saab töötada Linuxis, Windowsis, MacOS X-is, Solarises ja muudel platvormidel. Wireshark võimaldab teil vaadata jäädvustatud andmeid kasutades GUI või kasutage TTY-režiimis TSharki utiliite. Selle funktsioonide hulka kuuluvad VoIP-liikluse kogumine ja analüüs, Etherneti reaalajas kuvamine, IEEE 802.11, Bluetooth, USB, Frame Relay andmed, XML, PostScript, CSV-andmete väljund, dekrüpteerimise tugi ja palju muud.

Süsteeminõuded: Windows XP ja uuemad, iga kaasaegne 64/32-bitine protsessor, 400 Mb RAM ja 300 Mb vaba ruumi kettaruum. Wireshark NetFlow Analyzer on võimas tööriist, mis võib oluliselt lihtsustada iga võrguadministraatori tööd.

Paessler PRTG

See liikluse analüsaator pakub kasutajatele palju kasulikud funktsioonid: LAN-i, WAN-i, VPN-i, rakenduste jälgimise tugi, virtuaalserver,QoS ja keskkond. Toetatud on ka mitme saidi jälgimine. PRTG kasutab SNMP-d, WMI-d, NetFlow-d, SFlow-d, JFlow-d ja pakettanalüüsi, aga ka tööaja/seisakuaja jälgimist ja IPv6 tuge.

Tasuta versioon võimaldab 30 päeva jooksul kasutada piiramatul hulgal andureid, pärast mida saab tasuta kasutada vaid kuni 100.

nProbe

See on täisfunktsionaalne avatud lähtekoodiga NetFlow jälgimis- ja analüüsirakendus.

nProbe toetab IPv4 ja IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, sisaldab funktsioone VoIP liikluse analüüsiks, voo ja pakettide proovivõtuks, logi genereerimiseks, MySQL/Oracle ja DNS tegevuseks ning paljuks muuks. Rakendus on tasuta, kui laadite alla ja kompileerite liiklusanalüsaatori Linuxis või Windowsis. Käivitav fail Seade piirab püüdmismahu 2000 paketiga. nProbe on haridusasutustele, aga ka mittetulundus- ja teadusorganisatsioonidele täiesti tasuta. See tööriist töötab operatsioonisüsteemide 64-bitistes versioonides Linuxi süsteemid ja Windows.

Lihtne seadistada!
Reaalajas tarbimise graafikud.
Juhtige kõiki seadmeid ühest arvutist.
Teavitus limiidi ületamise korral.
Toetab WMI, SNMPv1/2c/3 ja 64-bitisi loendureid.
Tehke kindlaks, kes ja kust alla laadib.
Kontrollige oma teenusepakkujat!

"10-Strike: Liiklusarvestus" on lihtne programm liikluse tarbimise kontrollimiseks võrgus olevad arvutid, kommutaatorid, serverid ettevõttes ja isegi kodus (3 andurit saab tasuta jälgida prooviversioon isegi pärast 30-päevase prooviperioodi möödumist). Jälgige helitugevusi sissetulevad ja väljaminevad tarbitud liiklus arvutites kogu teie kohalikus võrgus, sh. Internetti pääsemisel.

Programm kogub võrgu hostidelt pidevalt statistikat sissetuleva ja väljamineva liikluse kohta ning kuvab reaalajas andmeedastuskiiruse muutuste dünaamikat võrguliidestel graafikute ja tabelite kujul.

Meie raamatupidamisprogrammiga saate tuvastada hoolimatuid kasutajaid, kes tarbivad palju Interneti-liiklust teie organisatsioonis. Töödistsipliini rikkumine töötajate poolt toob kaasa vähenenud tööviljakus. Lihtne töötajate arvutite liikluse tarbimise analüüs võimaldab teil tuvastada kõige aktiivsemad võrgukasutajad. WMI-andurite kasutamisel ei pea te isegi võrguarvutitesse midagi installima, vajate lihtsalt administraatori parooli.

Kahjuks pole meie riigis juriidilistele isikutele mõeldud Interneti-liiklus veel kõikjal odav. Tihti juhtub, et kasutajate liigne Interneti-aktiivsus (sageli tööprotsessiga mitteseotud) viib selleni kulude ületamine organisatsioonid ühenduse eest maksma. Meie programmi kasutamine aitab vältida teie ettevõtte ootamatult kõrgeid Interneti-arveid. Saate kohandada teatis teatud liiklusmahu tarbimise kohta arvutid võrgus teatud aja jooksul.

Sa saad jälgige sissetuleva ja väljuva liikluse kiirusgraafikuid arvutid ja võrguseadmed ekraanil reaalajas. Saab teha kiiresti määrake, kes kulutab kõige rohkem liiklust ja ummistab kanali.

Programm jälgib pidevalt võrguarvutite liiklustarbimist ja saab teatab teile, kui teatud tingimused on täidetud, mida saate küsida. Näiteks kui mis tahes arvuti tarbitud liikluse hulk ületab määratud väärtuse või keskmise teabeedastuskiiruse teatud perioodüle/alla läviväärtusest. Kui määratud tingimus on täidetud, programm annab teada teile ühel järgmistest viisidest:

teate kuvamine arvutiekraanil;
helisignaal;
e-kirjade saatmine;
programmi logifaili kirjutamine;
sisenemine süsteemi sündmuste logisse.

Lisaks saab liiklusarvestusprogramm hukata teatud toimingud, kui tingimused on täidetud: käivitage programm, käivitage VB või JS skript, taaskäivitage teenus, taaskäivitage arvuti jne.

Nagu seireprogramm töötab kogub liikluse tarbimise statistikat võrguarvutid. Saate igal ajal teada, kes ja kui palju liiklust igal ajahetkel tarbis ning millised andmeedastuskiirused saavutati. Liikluse alla-/üleslaadimiskiiruse graafikuid ja liikluse tarbimise tabeleid saab koostada mis tahes ajaperioodi või kuupäeva kohta.

Auhinnad

2015. aasta veebruaris pälvis programmi ingliskeelne versioon auhinna - populaarse Briti ajakirja "Network Computing" konkursi "Network Computing Awards 2015" finalisti kategoorias "Aasta IT optimeerimise toode".

Litsentsi ostmisel saate tellimuse tasuta uuendused programmid ja tehnilised toetust üheks aastaks.

Laadige kohe alla tasuta 30-päevane versioon ja proovige seda! Toetatakse Windows XP/2003/Vista/2008/7/8.1/2012/10/2016.

Kohalikus võrgus on liikluse jälgimiseks palju programme: nii tasulisi kui ka tasuta, mis erinevad suuresti funktsionaalsuse poolest. Üks populaarsemaid Avatud lähtekoodiga programmid – SAMS. Ta töötab Linuxi platvorm koostöös Squidiga.

SAMS nõuab PHP5, me kasutame Ubuntu server 14.04. Vajame moodulitega pakette Squid, Apache2, PHP5.

Interneti-liikluse arvestamine kohaliku võrgu Linuxis

Proovime välja mõelda, kuidas see töötab.

Squid levitab Internetti, võttes vastu taotlusi pordis 3128. Samal ajal kirjutab see üksikasjalikku logi access.log. Kogu juhtimine toimub faili squid.conf kaudu. Kalmaaril on laiad võimalused Interneti-juurdepääsu kontrollimisel: juurdepääsu juhtimine aadressi järgi, ribalaiuse juhtimine konkreetsete aadresside, aadressirühmade ja võrkude jaoks.

SAMS töötab logianalüüsi põhjal Squid puhverserver. Kohaliku võrgu liikluse arvestussüsteem jälgib puhverserveri statistikat ja vastavalt määratud poliitikatele teeb otsuse Squid kliendi blokeerimiseks, deblokeerimiseks või kiiruse piiramiseks.

SAMS-i installimine

Pakettide installimine.

apt-get install apache2 php5 php5-mysql mysql-server php5-gd squid3

Laadige alla ja installige SAMS

wget https://github.com/inhab-magnus/sams2-deb/archive/master.zip

lahti pakkima master.zip

cd sams2-deb-master/

dpkg -i sams2_2.0.0-1.1_amd64.deb

Veebiliidese installimine

dpkg -i apache2/sams2-web_2.0.0-1.1_all.deb

Muudame faili /etc/sams2.conf.

DB_PASSWORD=/MySql parool/

SAMS-i käivitamine

teenindus sams2 käivitub

Squidi seadistamine

Muudame faili /etc/squid3/squid.conf

http_port 192.168.0.110:3128
cache_dir ufs /var/spool/squid3 2048 16 256

Võimaldame logimist ja logide pööramist koos 31-päevase ladustamisega.

access_logi deemon:/var/log/squid3/access.log squid

logfile_rotate 31

Peatage Squid, looge vahemälu.

teenindus kalmaar3 peatus

teenuse squid3 algus

Katse puhtuse huvides konfigureerime ühe brauserist töötama puhverserveriga 192.168.0.110 pordi 3128 kaudu. Pärast ühenduse loomist saame ühenduse keeldumise – Squidil pole puhverserveri juurdepääsuõigusi seadistatud.

SAMS-i esialgne seadistamine

Avage teises brauseris aadress (192.168.0.110 – serveri aadress).

http://192.168.0.110/sams2

Ta teatab meile, et ta ei saa andmebaasiga ühendust luua ja pakub installi teostamist.

Määrame MySqli jaoks andmebaasiserveri (127.0.0.1), sisselogimise ja parooli.

Liiklusarvestussüsteemi esmane seadistamine on lõpetatud. Jääb vaid programm konfigureerida.

Kohaliku võrgu liikluse jälgimine

Logige süsteemi sisse administraatorina (admin/qwerty).

Seda tasub kohe mainida kasutaja autoriseerimise kohta.

Squidi harus avage puhverserver ja klõpsake allosas nuppu "Puhverserveri seadistamine".

Siin on kõige olulisem märkida vajadusel kaustade ja failide aadressidesse oma IP-aadress, muidu puhverserver ei käivitu.

Kõikide SAMS-i sätete muudatuste olemus seisneb selles, et need kirjutatakse faili squid.conf. Taustal töötab Sams2deamon, mis jälgib seadistuste muudatusi, mis nõuavad konfiguratsioonifaili sisestamist (seal saab määrata ka jälgimisintervalli).

Täitke väljad "Kasutaja" ja "IP-aadress". Võtame kasutajanimega sama IP (arvuti, mitte serveri IP!). Väljale "Lubatud liiklus" sisestame "0", st ilma piiranguteta. Jätame välja kõik muud väljad.

Selle IP-aadressi ja Squidi kaudu töötamise loa jaoks lisatakse uus acl. Kui konfiguratsiooni pole automaatselt muudetud, minge puhverserveri harusse ja klõpsake nuppu "Seadista Squid uuesti". Konfiguratsiooni muudatused tehakse käsitsi.

Püüame avada brauseris mis tahes URL-i. Kontrollime access.logi ja näeme puhverserveri poolt töödeldud päringuid. SAMS-i toimimise kontrollimiseks avage leht "Kasutajad" ja klõpsake allosas nuppu "Arvuta kasutaja liiklus uuesti".

Kasutades statistika haldamiseks allolevaid nuppe, saate detailne info lehtede kasutajate külastuste statistika järgi.

Selles artiklis käsitletakse tarkvaralahendusi, mis aitavad teil liiklust kontrollida. Tänu neile näete oma Interneti-ühenduse tarbimise kokkuvõtet eraldi protsess ja piirata selle prioriteeti. Salvestatud aruandeid pole vaja vaadata arvutis, mille OS-i on installitud spetsiaalne tarkvara - seda saab teha kaugjuhtimisega. Pole probleemiks välja selgitada tarbitud ressursside maksumus ja palju muud.

SoftPerfect Researchi tarkvara, mis võimaldab teil tarbitud liiklust kontrollida. Programm pakub lisaseaded, mis võimaldavad näha teavet konkreetse päeva või nädala tarbitud megabaitide kohta, tipp- ja tipptundidel. Võimalik on näha sissetulevate ja väljaminevate kiiruste, vastuvõetud ja saadetud andmete näitajaid.

Tööriist on eriti kasulik juhtudel, kui kasutatakse mõõdetud 3G-d või LTE-d ja vastavalt sellele on vaja piiranguid. Kui teil on rohkem kui üks konto, kuvatakse statistika iga üksiku kasutaja kohta.

DU arvesti

Rakendus ressursitarbimise jälgimiseks alates veeb. Tööalal näete nii sissetulevaid kui ka väljaminevaid signaale. Ühendades konto arendaja pakutava teenuse dumeter.net abil saate koguda statistikat Internetist tuleva teabevoo kasutamise kohta kõigist arvutitest. Paindlikud seaded aitavad teil voogu filtreerida ja aruandeid oma meilile saata.

Parameetrid võimaldavad teil määrata piiranguid veebiühenduse kasutamisel. Lisaks saate määrata teenusepakkuja pakutava teenusepaketi maksumuse. Seal on kasutusjuhend, kust leiate juhised programmi olemasoleva funktsionaalsusega töötamiseks.

Võrguliikluse monitor

Utiliit, mis kuvab lihtsa tööriistakomplektiga võrgukasutuse aruandeid ilma eelneva installimiseta. Peaaknas kuvatakse statistika ja Interneti-juurdepääsuga ühenduse kokkuvõte. Rakendus võib voo blokeerida ja seda piirata, võimaldades kasutajal määrata oma väärtused. Seadetes saate salvestatud ajaloo lähtestada. Olemasolevat statistikat on võimalik salvestada logifaili. Vajalike funktsioonide arsenal aitab teil salvestada alla- ja üleslaadimiskiirusi.

TrafficMonitor

Rakendus on suurepärane lahendus võrgust tuleva teabevoo vastu võitlemiseks. On palju indikaatoreid, mis näitavad tarbitud andmemahtu, väljundit, kiirust, maksimaalseid ja keskmisi väärtusi. Tarkvaraseaded võimaldavad teil määrata praegu kasutatava teabemahu maksumuse.

Loodud aruanded sisaldavad ühendusega seotud toimingute loendit. Graafik kuvatakse eraldi aknas ja skaalat kuvatakse reaalajas; näete seda kõigi programmide peal, milles töötate. Lahendus on tasuta ja sellel on venekeelne liides.

NetLimiter

Programmil on kaasaegne disain ja võimas funktsionaalsus. Eriliseks teeb selle see, et see pakub aruandeid, mis annavad kokkuvõtte iga arvutis töötava protsessi liiklustarbimisest. Statistika on erinevate perioodide kaupa suurepäraselt sorteeritud ja seetõttu on soovitud ajavahemiku leidmine väga lihtne.

Kui NetLimiter on installitud teise arvutisse, saate sellega ühenduse luua ja juhtida selle tulemüüri ja muid funktsioone. Rakendusesiseste protsesside automatiseerimiseks kasutatakse kasutaja loodud reegleid. Planeerijas saate teenusepakkuja teenuste kasutamisel luua oma piirangud, samuti blokeerida juurdepääsu globaalsetele ja kohalikele võrkudele.

DUTliiklus

Selle tarkvara eripära on see, et see kuvab täpsemat statistikat. Seal on teave ühenduse kohta, millelt kasutaja sisse logis globaalne ruum, seansid ja nende kestus, samuti kasutamise kestus ja palju muud. Kõikidele aruannetele on lisatud diagrammi kujul olev teave, mis toob esile liiklustarbimise kestuse ajas. Parameetrites saate kohandada peaaegu kõiki disainielemente.

Graafik, mis kuvatakse konkreetne piirkond värskendatakse sekund-sekundi režiimis. Kahjuks arendaja utiliiti ei toeta, kuid sellel on vene liidese keel ja seda levitatakse tasuta.

BWMeter

Programm jälgib alla-/üleslaadimist ja olemasoleva ühenduse kiirust. Filtrite kasutamine kuvab hoiatuse, kui OS-i protsessid tarbivad võrguressursse. Erinevate probleemide lahendamiseks kasutatakse erinevaid filtreid. Kasutaja saab kuvatavaid graafikuid täielikult oma äranägemise järgi kohandada.

Muuhulgas näitab liides liiklustarbimise kestust, vastuvõtu- ja üleslaadimiskiirust ning minimaalset ja maksimaalsed väärtused. Utiliiti saab konfigureerida kuvama hoiatusi selliste sündmuste korral nagu allalaaditud megabaitide arv ja ühenduse aeg. Sisestades saidi aadressi vastavale reale, saate kontrollida selle pingi ja tulemus kirjutatakse logifaili.

BitMeter II

Lahendus pakkuja teenuste kasutamise kokkuvõtte tegemiseks. Andmed on saadaval nii tabeli- kui ka graafilises vormingus. Parameetrid konfigureerivad hoiatusi ühenduse kiiruse ja tarbitud vooga seotud sündmuste kohta. Kasutamise hõlbustamiseks võimaldab BitMeter II arvutada, kui palju aega kulub sisestatud andmemahu allalaadimiseks megabaitides.

Funktsionaalsus võimaldab teil määrata, kui palju teenusepakkuja pakutavat vaba mahtu on alles, ja kui limiit on täis, kuvatakse tegumiribal sellekohane teade. Veelgi enam, allalaadimist saab parameetrite vahekaardil piirata ja brauseri režiimis saate statistikat ka eemalt jälgida.

Esitatud tarkvaratooted on Interneti-ressursside tarbimise jälgimisel asendamatu. Rakenduste funktsionaalsus aitab koostada detailseid aruandeid ning e-posti teel saadetud aruanded on vaatamiseks saadaval igal sobival ajal.

Iga administraator saab varem või hiljem juhtkonnalt juhised: "loege kokku, kes on võrgus ja kui palju nad alla laadivad." Teenusepakkujate jaoks täiendavad seda ülesanded "laske sisse, kes seda vajab, võtab makse, piirab juurdepääsu". Mida lugeda? Kuidas? Kuhu? Palju on fragmentaarset infot, see pole struktureeritud. Päästame algaja administraatori tüütutest otsingutest, pakkudes talle üldteadmisi ja Kasulikud lingid materjalide jaoks.
Selles artiklis püüan kirjeldada võrgu liikluse kogumise, arvestuse ja kontrolli korraldamise põhimõtteid. Vaatleme probleemi ja loetleme võimalikud viisid teabe hankimiseks võrguseadmetest.

See on esimene teoreetiline artikkel liiklus- ja IT-ressursside kogumisele, arvestusele, haldamisele ja arveldamisele pühendatud artiklite sarjas.

Interneti-juurdepääsu struktuur

Üldiselt näeb võrgu juurdepääsu struktuur välja selline:

Välised ressursid - Internet koos kõigi saitide, serverite, aadresside ja muude asjadega, mis ei kuulu teie kontrollitavasse võrku.
Juurdepääsuseade – ruuter (riistvara- või arvutipõhine), lüliti, VPN-server või koondaja.
Sisemised ressursid on arvutite, alamvõrkude, abonentide kogum, mille tööd võrgus tuleb arvestada või kontrollida.
Haldus- või raamatupidamisserver on seade, millel töötab spetsiaalne tarkvara. Funktsionaalselt kombineeritav tarkvara ruuteriga.

Selles struktuuris toimub võrguliiklus väliseid ressursse sisemistele ja tagasi juurdepääsuseadme kaudu. See edastab liiklusteabe haldusserverisse. Juhtserver töötleb seda teavet, salvestab selle andmebaasi, kuvab selle ja annab blokeerimiskäske. Kuid mitte kõik juurdepääsuseadmete (meetodite) ning kogumis- ja juhtimismeetodite kombinatsioonid ei ühildu. KOHTA erinevaid valikuid ja seda arutatakse allpool.

Võrguliiklus

Esiteks peate määratlema, mida tähendab "võrguliiklus" ja mis on kasulik statistiline teave saab kasutaja andmevoost välja võtta.
Domineeriv protokoll Interneti-töö Praegu jääb alles IP-versioon 4. IP-protokoll vastab OSI mudeli 3. kihile (L3). Saatja ja saaja vaheline teave (andmed) pakitakse pakettidesse, millel on päis ja "kasulik koormus". Pealkiri määrab, kus ja kuhu ta läheb pakett (saatja ja saaja IP-aadressid), paketi suurus, kasuliku koormuse tüüp. Suurem osa võrguliiklusest koosneb UDP- ja TCP-koormusega pakettidest – need on 4. kihi (L4) protokollid. Lisaks aadressidele sisaldab nende kahe protokolli päis pordinumbreid, mis määravad andmeid edastava teenuse (rakenduse) tüübi.

IP-paketi edastamiseks juhtmete (või raadio) kaudu on võrguseadmed sunnitud selle 2. kihi (L2) protokolli paketti pakkima (kapseldama). Kõige tavalisem seda tüüpi protokoll on Ethernet. Tegelik ülekanne"juhtme juurde" läheb 1. tasemele. Tavaliselt ei analüüsi pääsuseade (ruuter) paketipäiseid tasemest 4 kõrgemal tasemel (välja arvatud intelligentsed tulemüürid).
Andmepakettide L3 ja L4 päistest pärit aadresside, portide, protokollide ja pikkuseloendurite väljadelt pärinev teave on "tooraine", mida kasutatakse liikluse arvestuses ja haldamises. Tegelikult maht edastatud teave asub IP päise väljal Length (sh päise enda pikkus). Muide, MTU mehhanismist tingitud pakettide killustatuse tõttu on edastatud andmete kogumaht alati suurem suurus kasulik koormus.

Meile antud kontekstis huvitavate paketi IP ja TCP/UDP väljade kogupikkus on 2...10% paketi kogupikkusest. Kui töötlete ja salvestate kogu selle teabe partiide kaupa, ei jätku ressursse. Õnneks on valdav enamus liiklusest struktureeritud nii, et see koosneb välis- ja sisevõrguseadmete vahelistest vestlustest, mida nimetatakse voogudeks. Näiteks ühe edastamistoimingu raames meili(SMTP-protokoll) kliendi ja serveri vahel avatakse TCP-seanss. Seda iseloomustab konstantne parameetrite komplekt (allika IP-aadress, lähte-TCP-port, sihtkoha IP-aadress, sihtkoha TCP-port). Informatsiooni paketthaaval töötlemise ja salvestamise asemel on palju mugavam salvestada voo parameetreid (aadressid ja pordid), aga ka lisateavet - igas suunas edastatavate pakettide arv ja pikkuste summa, soovi korral seansi kestus, ruuteri liides indeksid, ToS välja väärtus jne. See lähenemine on kasulik ühendusele orienteeritud protokollide (TCP) puhul, kus on võimalik seansi lõpetamine selgesõnaliselt pealt kuulata. Kuid isegi mitteseansile orienteeritud protokollide puhul on võimalik näiteks ajalõpu alusel teostada vookirje liitmist ja loogilist lõpetamist. Allpool on väljavõte meie enda arveldussüsteemi SQL-andmebaasist, mis logib teavet liiklusvoogude kohta:

Tuleb märkida juhtum, kui juurdepääsuseade teostab aadressi tõlkimist (NAT, maskeerimine), et korraldada Interneti-juurdepääsu kohtvõrgu arvutitele, kasutades ühte välist avalikku IP-aadressi. Sel juhul asendab spetsiaalne mehhanism liikluspakettide IP-aadressid ja TCP/UDP-pordid, asendades sisemised (Internetis mittemarsruutitavad) aadressid vastavalt oma dünaamiline tabel saateid. Selles konfiguratsioonis tuleb meeles pidada, et sisevõrgu hostide andmete korrektseks salvestamiseks tuleb statistikat koguda viisil ja kohas, kus tõlketulemus ei muuda sisemisi aadresse veel “anonüümseks”.

Meetodid liikluse/statistika teabe kogumiseks

Saate koguda ja töödelda teavet liikluse edastamise kohta otse juurdepääsuseadmes endas (arvuti ruuter, VPN-server), edastades selle sellest seadmest eraldi server(NetFlow, SNMP) või "juhtmest" (kraan, SPAN). Vaatame kõiki võimalusi järjekorras.

PC ruuter

Vaatleme kõige lihtsamat juhtumit - juurdepääsuseadet (ruuterit), mis põhineb Linuxiga töötaval arvutil.

Kuidas sellist serverit seadistada, aadressi tõlkimist ja marsruutimist, palju on kirjutatud. Meid huvitab järgmine loogiline samm - teave selle kohta, kuidas saada teavet sellist serverit läbiva liikluse kohta. On kolm levinud meetodit:

serveri võrgukaarti läbivate pakettide pealtkuulamine (kopeerimine), kasutades libpcap teeki
sisseehitatud tulemüüri läbivate pakettide pealtkuulamine
kasutamine kolmanda osapoole tööriistad paketthaaval statistika (saadud ühe kahest eelnevast meetodist) teisendamine koondatud võrguvoo teabe vooks

Libpcap

Esimesel juhul saab selle teegi abil kirjutatud serveri klientprogramm pärast filtri läbimist (man pcap-filter) nõuda liidest läbiva paketi koopiat. Pakett saabub 2. kihi päisega (Ethernet). On võimalik piirata jäädvustatud info pikkust (kui meid huvitab ainult selle päisest pärinev info). Sellised programmid on näiteks tcpdump ja Wireshark. Windowsi jaoks on olemas libpcap rakendamine. Kui aadressi tõlkimist kasutatakse arvutiruuteris, saab sellist pealtkuulamist teostada ainult sellel sisemine liides, ühendatud kohalikud kasutajad. Peal väline liides,Pärast levitamist ei sisalda IP-paketid teavet võrgu sisemiste hostide kohta. Selle meetodi puhul on aga võimatu arvestada serveri enda poolt Internetis tekitatud liiklusega (mis on oluline, kui see töötab veebi- või Postiteenus).

libpcap vajab välist tuge operatsioonisüsteem, mis praegu tähendab ühe teegi installimist. Sel juhul peab pakette koguv rakendus (kasutaja) programm:

avage vajalik liides
määrake läbitav filter paketid kätte saanud, jäädvustatud osa suurus (snaplen), puhvri suurus,
määrake parameeter Promisc, mis lülitab võrguliidese püüdmisrežiimi kõigi mööduvate pakettide jaoks, mitte ainult nende jaoks, mis on adresseeritud selle liidese MAC-aadressile
määrata igale vastuvõetud paketile funktsioon (tagasihelistamine).

Kui pakett edastatakse valitud liidese kaudu, võtab see funktsioon pärast filtri läbimist vastu puhvri, mis sisaldab Etherneti, (VLAN), IP-d jne. päised, üldine suurus snaplendama. Kuna libcapi teek kopeerib pakette, ei saa seda kasutada nende läbipääsu blokeerimiseks. Sel juhul peab kasutama liikluse kogumise ja töötlemise programmi alternatiivsed meetodid, näiteks skripti kutsumine, et paigutada antud IP-aadress liikluse blokeerimise reeglisse.

Tulemüür

Tulemüüri läbivate andmete hõivamine võimaldab arvestada nii serveri enda kui ka võrgukasutajate liiklusega isegi siis, kui aadressi tõlkimine on käimas. Peamine on sel juhul püüdmisreegel õigesti sõnastada ja sisestada Õige koht. See reegel aktiveerib pakettide edastamise süsteemi raamatukogu, kust liiklusarvestuse ja -korralduse rakendus selle kätte saab. Linux OS-i puhul kasutatakse tulemüürina iptablesi ja pealtkuulamistööriistad on ipq, netfliter_queue või ulog. OC FreeBSD jaoks – ipfw reeglitega nagu tee või ümbersuunamine. Igal juhul täiendab tulemüüri mehhanismi võimalus töötada kasutajaprogrammiga järgmisel viisil:

Kasutajaprogramm – liikluse töötleja – registreerib end süsteemis süsteemikõne või teegi abil.
Kasutajaprogramm või väline skript paigaldab tulemüüri reegli, mis “mähib” valitud liikluse (vastavalt reeglile) töötleja sisse.
Iga läbiva paketi kohta saab töötleja selle sisu mälupuhvrina (koos IP-päistega jne. Peale töötlemist (arvestamist) peab programm operatsioonisüsteemi tuumale ka ütlema, mida sellise paketiga edasi teha – see ära visata Teise võimalusena on võimalik edastada muudetud pakett kernelile.

Kuna IP-paketti ei kopeerita, vaid saadetakse tarkvarasse analüüsimiseks, on võimalik see "väljastada" ja seega teatud tüüpi liiklust täielikult või osaliselt piirata (näiteks valitud kohaliku võrgu abonendiga). Kui aga rakendusprogramm lõpetab tuumale oma otsusele vastamise (näiteks ripub üles), blokeeritakse serverit läbiv liiklus lihtsalt.
Tuleb märkida, et kirjeldatud mehhanismid tekitavad märkimisväärse edastatava liikluse korral serverile liigse koormuse, mis on seotud andmete pideva kopeerimisega kernelist kasutaja programm. OS-i kerneli tasemel statistika kogumise meetodil NetFlow protokolli kaudu rakendusprogrammi koondstatistika väljundiga seda puudust ei ole.

Netflow

Selle protokolli töötas välja Cisco Systems, et eksportida ruuteritest liiklusteavet liikluse arvestuse ja analüüsimise eesmärgil. Kõige populaarsem versioon 5 pakub nüüd adressaadile struktureeritud andmete voogu UDP-pakettide kujul, mis sisaldavad teavet varasema liikluse kohta niinimetatud vookirjete kujul:

Liiklust puudutava teabe hulk on mitu suurusjärku väiksem kui liiklus ise, mis on eriti oluline suurte ja hajutatud võrkude puhul. Loomulikult on võrguvoo kaudu statistika kogumisel teabe edastamist võimatu blokeerida (kui ei kasutata täiendavaid mehhanisme).
Praegu on populaarseks muutumas selle protokolli edasiarendus - versioon 9, mis põhineb malli struktuur voo rekord, teostused teiste tootjate seadmetele (sFlow). Hiljuti võeti kasutusele IPFIX standard, mis võimaldab protokollide kaudu statistikat edastada sügavamal tasemel (näiteks rakenduse tüübi järgi).
Arvutiruuterite jaoks on saadaval võrguvoo allikate (agendid, sondid) juurutamine nii ülalkirjeldatud mehhanismide järgi töötavate utiliitide kujul (flowprobe, softflowd) kui ka otse OS-i kernelisse sisseehitatud (FreeBSD: ng_netgraph, Linux:) . Tarkvararuuterite puhul saab võrguvoo statistika voogu vastu võtta ja töödelda lokaalselt ruuteris endas või saata võrgu kaudu (edastusprotokoll – UDP kaudu) vastuvõtvasse seadmesse (kollektorisse).

Kogumisprogramm suudab koguda teavet korraga paljudest allikatest, suutes eristada nende liiklust isegi kattuvate aadressiruumide korral. Kasutades lisatööriistu nagu nprobe, on võimalik teostada ka täiendavat andmete koondamist, voo bifurkatsiooni või protokolli teisendamist, mis on oluline kümnete ruuteritega suure ja hajutatud võrgu haldamisel.

Netflow ekspordifunktsioonid toetavad Cisco Systemsi, Mikrotiku ja mõne muu ruutereid. Sarnast funktsiooni (teiste ekspordiprotokollidega) toetavad kõik suuremad tootjad võrguseadmed.

Libpcap "väljas"

Teeme ülesande pisut keerulisemaks. Mis siis, kui teie juurdepääsuseade on teise tootja riistvararuuter? Näiteks D-Link, ASUS, Trendnet jne. Tõenäoliselt on lisa installimine võimatu tarkvara tööriist andmete kogumine. Teise võimalusena on teil nutikas juurdepääsuseade, kuid seda pole võimalik konfigureerida (teil pole õigusi või seda kontrollib teie teenusepakkuja). Sel juhul saate liiklusteavet koguda otse juurdepääsuseadme kohtumispunktis sisevõrk, kasutades pakettide kopeerimiseks riistvara. Sel juhul vajate Etherneti pakettide koopiate vastuvõtmiseks kindlasti eraldi serverit, millel on spetsiaalne võrgukaart.
Server peab kasutama pakettide kogumise mehhanismi, kasutades ülalkirjeldatud libpcap meetodit ja meie ülesandeks on edastada selleks ettenähtud võrgukaardi sisendisse andmevoog, mis on identne juurdepääsuserverist tulevaga. Selleks saate kasutada:

Ethernet – jaotur: seade, mis lihtsalt edastab pakette valimatult kõigi oma portide vahel. Kaasaegses reaalsuses võib seda leida kusagilt tolmusest laost ja selle meetodi kasutamine pole soovitatav: see on ebausaldusväärne, madal kiirus(1 Gbit/s kiirusega jaoturid puuduvad)
Ethernet – peegeldamisvõimalusega lüliti (peegeldamine, SPAN-pordid. Kaasaegsed nutikad (ja kallid) kommutaatorid võimaldavad kopeerida kogu liikluse (sissetulev, väljaminev, mõlemad) mõnest teisest füüsilisest liidesest, VLAN-ist, sealhulgas kaugjuhtimispuldist (RSPAN). sadamasse
Riistvarajaotur, mis võib vajada installimist, et koguda kaks võrgukaardidühe asemel - ja see on lisaks peamisele, süsteemsele ühele.

Loomulikult saate juurdepääsuseadmel endal (ruuteril) konfigureerida SPAN-pordi, kui see seda võimaldab - Cisco Catalyst 6500, Cisco ASA. Siin on näide sellisest konfiguratsioonist Cisco lüliti:
monitori seansi 1 allikas vlan 100 ! kust me pakid saame?
monitori seansi 1 sihtliides Gi6/3! kus me pakke väljastame?

SNMP

Mis siis, kui meil pole ruuterit meie kontrolli all, me ei soovi võrguvooluga ühendust võtta, meid ei huvita meie kasutajate liikluse üksikasjad. Need on lihtsalt selle kaudu võrku ühendatud hallatav lüliti, ja me peame lihtsalt ligikaudselt hindama liikluse mahtu igas selle sadamas. Nagu teate, saavad kaugjuhtimispuldi toega võrguseadmed kuvada võrguliideseid läbivate pakettide (baitide) loendureid. Nende küsitlemiseks oleks õige kasutada standardiseeritud kaughaldusprotokolli SNMP. Seda kasutades saate üsna hõlpsalt mitte ainult väärtusi määratud loendurid, aga ka muid parameetreid, nagu liidese nimi ja kirjeldus, selle kaudu nähtavad MAC-aadressid ja muud kasulik informatsioon. Seda teevad käsurea utiliidid (snmpwalk), graafilised SNMP-brauserid ja palju muud. keerulised programmid võrgu jälgimine (rrdtools, kaktused, zabbix, whats up gold jne). Kuid, seda meetodit sellel on kaks olulist puudust:

Liiklust saab blokeerida ainult täielik väljalülitamine liides, kasutades sama SNMP-d
SNMP kaudu võetud liiklusloendurid viitavad Etherneti pakettide pikkuste summale (eraldi unicast, ringhääling ja multisaade), samas kui ülejäänud eelnevalt kirjeldatud tööriistad annavad IP-pakettide suhtes väärtused. See tekitab märgatava lahknevuse (eriti lühikeste pakettide puhul), mis on tingitud Etherneti päise pikkusest tingitud ülekoormusest (sellega saab aga ligikaudu võidelda: L3_byte = L2_byte - L2_packets * 38).

VPN

Eraldi tasub kaaluda kasutaja juurdepääsu võrgule, luues selgesõnaliselt ühenduse juurdepääsuserveriga. Klassikaline näide on vana hea dial-up, mille analoog in kaasaegne maailm on VPN-teenused kaugjuurdepääs(PPTP, PPPoE, L2TP, OpenVPN, IPSEC)

Juurdepääsuseade mitte ainult ei suuna kasutaja IP-liiklust, vaid toimib ka spetsiaalse VPN-serverina ja lõpetab loogilised tunnelid (sageli krüpteeritud), mille sees kasutajaliiklust edastatakse.
Sellise liikluse arvessevõtmiseks saate kasutada kõiki ülalkirjeldatud tööriistu (ja need sobivad hästi portide/protokollide põhjal põhjalikuks analüüsiks), samuti täiendavaid mehhanisme, mis pakuvad VPN-i juurdepääsukontrolli tööriistu. Kõigepealt räägime RADIUS-protokollist. Tema töö on üsna keeruline teema. Mainime lühidalt, et VPN-serverile (RADIUS-kliendile) juurdepääsu kontrolli (volitamist) kontrollib spetsiaalne rakendus(RADIUS server), mille taga on andmebaas (tekstifail, SQL, Active Directory) lubatud kasutajad koos nende atribuutidega (ühenduskiiruse piirangud, määratud IP-aadressid). Lisaks autoriseerimisprotsessile saadab klient perioodiliselt serverisse arvestusteateid, teavet iga hetkel töötava VPN-seansi oleku kohta, sealhulgas edastatud baitide ja pakettide loendurid.

Järeldus

Toome kõik ülalkirjeldatud liiklusteabe kogumise meetodid kokku:

Teeme kokkuvõtte. Praktikas on olemas suur hulk meetodid teie hallatava võrgu (klientide või kontoriabonentidega) ühendamiseks välise võrgu infrastruktuuriga, kasutades mitmeid juurdepääsuvahendeid - tarkvara ja riistvara ruuterid, kommutaatorid, VPN-serverid. Peaaegu igal juhul saab aga välja mõelda skeemi, kus info üle võrgu edastatava liikluse kohta saab suunata tarkvara või riistvara selle analüüs ja juhtimine. Samuti on võimalik, et see tööriist võimaldab juurdepääsuseadmele tagasisidet anda, kasutades üksikute klientide, protokollide ja muude asjade intelligentseid juurdepääsupiirangu algoritme.
Siin ma lõpetan materjali analüüsi. Ülejäänud vastamata teemad on: