Programi za praćenje internetskog prometa Windows. Kako pratiti promet na mreži

Mnogi mrežni administratori često se susreću s problemima koji se mogu riješiti analizom mrežnog prometa. I ovdje nailazimo na takav koncept kao analizator prometa. Pa što je to?

NetFlow analizatori i sakupljači alati su koji vam pomažu u praćenju i analizi podataka o mrežnom prometu. analizatori mrežni procesi omogućuju vam da točno identificirate uređaje koji smanjuju propusnost kanala. Znaju pronaći problematična područja u vašem sustavu i poboljšati ukupnu učinkovitost mreže.

Uvjet " NetFlow" odnosi se na Cisco protokol dizajniran za prikupljanje informacija o IP prometu i nadzor mrežnog prometa. NetFlow je usvojen kao standardni protokol za streaming tehnologije.

Softver NetFlow prikuplja i analizira podatke o protoku koje generiraju usmjerivači i predstavlja ih u formatu jednostavnom za korištenje.

Nekoliko drugih dobavljača mrežne opreme ima vlastite protokole za nadzor i prikupljanje podataka. Na primjer, Juniper, još jedan visoko cijenjeni dobavljač mrežnih uređaja, svoj protokol naziva " J-Protok". HP i Fortinet koriste izraz " s-Protok". Iako se protokoli različito nazivaju, svi rade na sličan način. U ovom ćemo članku pogledati 10 besplatnih analizatora mrežnog prometa i NetFlow kolektora za Windows.

SolarWinds Real-Time NetFlow analizator prometa

Besplatni NetFlow Traffic Analyzer jedan je od najpopularnijih dostupnih alata za besplatno preuzimanje. Daje vam mogućnost sortiranja, označavanja i prikaza podataka na različite načine. To vam omogućuje praktičnu vizualizaciju i analizu mrežnog prometa. Alat je odličan za praćenje mrežnog prometa prema vrsti i vremenskom razdoblju. Kao i pokretanje testova kako bi se utvrdilo koliko prometa troše razne aplikacije.

Ovaj besplatan alat ograničen na jedno NetFlow sučelje za praćenje i pohranjuje samo 60 minuta podataka. Ovaj Netflow analizator moćan je alat koji vrijedi koristiti.

Colasoft Capsa besplatno

Ovaj besplatni analizator LAN prometa omogućuje vam identificiranje i praćenje preko 300 mrežni protokoli, i omogućuje vam stvaranje prilagođenih izvješća. To uključuje praćenje E-mail i sekvencijski dijagrami TCP sinkronizacija, sve je to prikupljeno u jednoj prilagodljivoj ploči.

Ostale značajke uključuju analizu sigurnosti mreže. Na primjer, praćenje DoS/DDoS napada, aktivnosti crva i otkrivanje ARP napada. Kao i dekodiranje paketa i prikaz informacija, statistički podaci o svakom hostu na mreži, kontrola razmjene paketa i rekonstrukcija toka. Capsa Free podržava sve 32-bitne i 64-bitne Windows verzije XP.

Minimalni sistemski zahtjevi za instalaciju: 2 GB RAM memorija i procesorom od 2,8 GHz. Također morate imati Ethernet vezu s Internetom ( NDIS 3 kompatibilan ili noviji), Brzi Ethernet ili Gigabit s upravljačkim programom mješovitog načina rada. Omogućuje vam pasivno snimanje svih paketa koji se prenose preko Ethernet kabela.

Ljutiti IP skener

Ovo je Windows analizator prometa s otvorenim izvorni kod, brz i jednostavan za korištenje. Ne zahtijeva instalaciju i može se koristiti na Linux, Windows i Mac OSX. Ovaj alat radi jednostavnim pinganjem svake IP adrese i može odrediti MAC adrese, skenirati portove, dati NetBIOS informacije, odrediti ovlašteni korisnik V Windows sustavi, otkrijte web poslužitelje i još mnogo toga. Njegove su mogućnosti proširene pomoću Java dodataka. Podaci skeniranja mogu se spremiti u CSV, TXT, XML datoteke.

ManageEngine NetFlow Analyzer Professional

Potpuno opremljena verzija softvera NetFlow tvrtke ManageEngines. Moćan je softver s punim nizom funkcija za analizu i prikupljanje podataka: praćenje propusnost kanal u stvarnom vremenu i obavijesti o dostizanju vrijednosti praga, što vam omogućuje brzo administriranje procesa. Osim toga, pruža sažetak podataka o korištenju resursa, nadzoru aplikacija i protokola i još mnogo toga.

Besplatna verzija Linux prometni analizator omogućuje neograničeno korištenje proizvoda 30 dana, nakon čega možete pratiti samo dva sučelja. Zahtjevi sustava za NetFlow Analyzer ManageEngine ovise o brzini protoka. Preporučeni zahtjevi za minimalne brzine protoka od 0 do 3000 niti u sekundi: dvojezgreni procesor 2,4 GHz, 2 GB RAM-a i 250 GB slobodan prostor na vašem tvrdom disku. Kako se povećava brzina protoka koju treba nadzirati, tako se povećavaju i zahtjevi.

Dude

Ova aplikacija je popularna monitor mreže, razvijen od strane MikroTika. Automatski skenira sve uređaje i ponovno stvara mapu mreže. Dude nadzire poslužitelje koji rade razne uređaje, te upozorava u slučaju problema. Ostale značajke uključuju automatsko otkrivanje i prikaz novih uređaja, mogućnost stvaranja vlastite kartice, pristup alatima za daljinsko upravljanje uređajima i još mnogo toga. Radi na Windowsima Linux Wine i MacOS Darwine.

JDSU mrežni analizator Fast Ethernet

Ovaj program za analizu prometa omogućuje vam brzo prikupljanje i pregled mrežnih podataka. Alat pruža mogućnost pregledavanja registriranih korisnika, određivanja razine korištenja propusnosti mreže po pojedinim uređajima te brzog pronalaženja i ispravljanja grešaka. Također snimajte podatke u stvarnom vremenu i analizirajte ih.

Aplikacija podržava izradu vrlo detaljnih grafikona i tablica koje administratorima omogućuju praćenje anomalija u prometu, filtriranje podataka za prosijavanje velikih količina podataka i još mnogo toga. Ovaj alat je za stručnjake početna razina, kao i za iskusne administratore, omogućuje potpuno preuzimanje kontrole nad mrežom.

Plixer Scrutinizer

Ovaj analizator mrežnog prometa omogućuje prikupljanje i sveobuhvatnu analizu mrežnog prometa te brzo pronalaženje i ispravljanje pogrešaka. Pomoću Scrutinizera možete sortirati svoje podatke na različite načine, uključujući vremenski interval, host, aplikaciju, protokol itd. Besplatna verzija omogućuje kontrolu neograničenog broja sučelja i pohranu podataka za 24 sata aktivnosti.

Wireshark

Wireshark je moćan mrežni analizator može raditi na Linux, Windows, MacOS X, Solaris i drugim platformama. Wireshark vam omogućuje pregled snimljenih podataka pomoću GUI ili upotrijebite uslužne programe TShark u načinu TTY. Njegove značajke uključuju prikupljanje i analizu VoIP prometa, prikaz Etherneta u stvarnom vremenu, IEEE 802.11, Bluetooth, USB, Frame Relay podatke, XML, PostScript, CSV izlaz podataka, podršku za dešifriranje i više.

Sistemski zahtjevi: Windows XP i noviji, bilo koji moderni 64/32-bitni procesor, 400 Mb RAM-a i 300 Mb slobodnog prostora prostor na disku. Wireshark NetFlow Analyzer je moćan alat, što može značajno pojednostaviti rad svakog mrežnog administratora.

Paessler PRTG

Ovaj analizator prometa pruža korisnicima mnogo toga korisne funkcije: podrška za praćenje LAN-a, WAN-a, VPN-a, aplikacija, virtualni poslužitelj,QoS i okruženje. Također je podržan nadzor s više mjesta. PRTG koristi SNMP, WMI, NetFlow, SFlow, JFlow i analizu paketa, kao i praćenje vremena rada/prekida rada i IPv6 podršku.

Besplatna inačica omogućuje vam korištenje neograničenog broja senzora tijekom 30 dana, nakon čega možete koristiti samo do 100 besplatno.

nProbe

To je potpuno opremljena NetFlow aplikacija otvorenog koda za praćenje i analizu.

nProbe podržava IPv4 i IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, sadrži funkcije za analizu VoIP prometa, uzorkovanje toka i paketa, generiranje dnevnika, MySQL/Oracle i DNS aktivnost i još mnogo toga. Aplikacija je besplatna ako preuzmete i kompajlirate analizator prometa na Linux ili Windows. Izvršna datoteka Postavka ograničava obujam snimanja na 2000 paketa. nProbe je potpuno besplatan za obrazovne ustanove, kao i neprofitne i znanstvene organizacije. Ovaj alat će raditi na 64-bitnim verzijama operativnih sustava Linux sustavi i Windows.

Jednostavan za postavljanje!
Grafikoni potrošnje u stvarnom vremenu.
Upravljajte svim uređajima s jednog računala.
Obavijest o prekoračenju limita.
Podržava WMI, SNMPv1/2c/3 i 64-bitne brojače.
Odredite tko preuzima i odakle.
Provjerite svog pružatelja usluga!

"10-Strike: Računovodstvo prometa" je jednostavan program za kontrolu potrošnje prometa na računala, preklopnici, serveri na mreži u poduzeću, pa čak i kod kuće (3 senzora se mogu besplatno pratiti u probna verzijačak i nakon isteka probnog razdoblja od 30 dana). Pratite glasnoće dolazni i odlazni potrošeni promet na računalima u vašoj lokalnoj mreži, uklj. prilikom pristupa internetu.

Program stalno prikuplja statistiku s mrežnih računala o dolaznom i odlaznom prometu te u stvarnom vremenu prikazuje dinamiku promjena brzine prijenosa podataka na mrežnim sučeljima u obliku grafikona i tablica.

S našim računovodstvenim programom možete otkriti nesavjesne korisnike koji troše puno internetskog prometa u vašoj organizaciji. Kršenje radne discipline od strane zaposlenika dovodi do smanjenje produktivnosti rada. Jednostavna analiza potrošnje prometa na računalima zaposlenika omogućit će vam identificiranje najaktivnijih korisnika mreže. Kada koristite WMI senzore, ne morate ništa instalirati na mrežna računala, potrebna vam je samo administratorska lozinka.

Nažalost, kod nas internetski promet za pravne osobe nije još svugdje jeftin. Često se događa da pretjerana internetska aktivnost korisnika (često nevezana uz radni proces) dovodi do prekoračenje troškova organizacije za plaćanje priključka. Korištenje našeg programa spriječit će vaše poslovanje od neočekivano visokih internetskih računa. Možete prilagoditi obavijest o potrošnji određene količine prometa računala na mreži tijekom određenog vremenskog razdoblja.

Možeš promatrati grafikone brzine dolaznog i odlaznog prometa računala i mrežnih uređaja na ekranu u stvarnom vremenu. Može se izvršiti odmah odrediti tko troši najviše prometa i začepi kanal.

Program stalno prati potrošnju prometa na mrežnim računalima i može obavijestiti vas kada se ispune određeni uvjeti, koje možete pitati. Na primjer, ako količina prometa koju potroši bilo koje računalo premaši određenu vrijednost ili prosječnu brzinu prijenosa informacija za određeno razdoblje iznad/ispod granične vrijednosti. Kada je navedeni uvjet zadovoljen, program će obavijestiti na jedan od sljedećih načina:

prikazivanje poruke na zaslonu računala;
zvučni signal;
slanje e-mail poruka;
pisanje u datoteku dnevnika programa;
unos u Dnevnik događaja sustava.

Osim toga, program za obračun prometa može izvršiti određene radnje kada su ispunjeni uvjeti: pokrenite program, izvršite VB ili JS skriptu, ponovno pokrenite uslugu, ponovno pokrenite računalo itd.

Kako radi program za praćenje akumulira statistiku potrošnje prometa mrežna računala. U svakom trenutku možete saznati tko je i koliko prometa potrošio u određenom trenutku te koje su brzine prijenosa podataka ostvarene. Grafikoni brzine preuzimanja/uploada prometa, kao i tablice potrošnje prometa, mogu se izraditi za bilo koje vremensko razdoblje ili datum.

Nagrade

U veljači 2015. godine engleska verzija programa zaslužila je nagradu – finalist na “Network Computing Awards 2015” natječaju popularnog britanskog časopisa “Network Computing” u kategoriji “IT Optimization Product of The Year”.

Prilikom kupnje licence dobit ćete pretplatu na besplatna ažuriranja programa i tehničkih potporu godinu dana.

Preuzmite besplatnu 30-dnevnu verziju sada i isprobajte je! Podržani su Windows XP/2003/Vista/2008/7/8.1/2012/10/2016.

Postoji mnogo programa za praćenje prometa na lokalnoj mreži: plaćeni i besplatni, koji se uvelike razlikuju po funkcionalnosti. Jedan od najpopularnijih Otvoreni izvor programi - SAMS. Ona radi za Linux platforma u suradnji s Squidom.

SAMS zahtijeva PHP5, mi ćemo ga koristiti Ubuntu poslužitelj 14.04. Trebat će nam Squid, Apache2, PHP5 paketi s modulima.

Računovodstvo Internet prometa na lokalnoj mreži Linux

Pokušajmo otkriti kako to funkcionira.

Squid distribuira Internet, prihvaćajući zahtjeve na portu 3128. U isto vrijeme, on piše detaljan log access.log. Sva kontrola se provodi kroz datoteku squid.conf. Lignje ima široke mogućnosti o kontroli pristupa internetu: kontrola pristupa prema adresi, kontrola propusnosti za određene adrese, grupe adresa i mreže.

SAMS radi na temelju analize dnevnika Squid proxy poslužitelj. Sustav za obračun prometa lokalne mreže prati statistiku proxy poslužitelja i u skladu s navedenim pravilima donosi odluku o blokiranju, deblokadi ili ograničenju brzine Squid klijenta.

Instalacija SAMS-a

Instaliranje paketa.

apt-get instaliraj apache2 php5 php5-mysql mysql-poslužitelj php5-gd squid3

Preuzmite i instalirajte SAMS

wget https://github.com/inhab-magnus/sams2-deb/archive/master.zip

raspakirajte master.zip

cd sams2-deb-master/

dpkg -i sams2_2.0.0-1.1_amd64.deb

Instalacija web sučelja

dpkg -i apache2/sams2-web_2.0.0-1.1_all.deb

Mi mijenjamo datoteku /etc/sams2.conf.

DB_PASSWORD=/MySql lozinka/

Pokretanje SAMS-a

početak usluge sams2

Postavljanje Squida

Izmjenjujemo datoteku /etc/squid3/squid.conf

http_port 192.168.0.110:3128
cache_dir ufs /var/spool/squid3 2048 16 256

Omogućujemo sječu i rotaciju trupaca uz pohranu 31 dan.

access_log daemon:/var/log/squid3/access.log lignje

logfile_rotate 31

Zaustavite Squid, napravite predmemoriju.

usluga squid3 stop

usluga squid3 start

Radi čistoće eksperimenta, konfiguriramo jedan od preglednika za rad s proxyjem 192.168.0.110 putem porta 3128. Nakon pokušaja povezivanja dobivamo odbijenicu veze - Squid nema konfigurirana prava pristupa proxyju.

Početno postavljanje SAMS-a

U drugom pregledniku otvorite adresu (192.168.0.110 – adresa poslužitelja).

http://192.168.0.110/sams2

Reći će nam da se ne može spojiti na bazu podataka i ponuditi da izvrši instalaciju.

Navodimo poslužitelj baze podataka (127.0.0.1), prijavu i lozinku za MySql.

Završeno je početno postavljanje sustava obračuna prometa. Sve što ostaje je konfigurirati program.

Praćenje prometa lokalne mreže

Prijavite se u sustav kao administrator (admin/qwerty).

Vrijedno je odmah spomenuti autorizaciju korisnika.

U ogranku Squid otvorite proxy poslužitelj i kliknite gumb "Konfiguriraj proxy poslužitelj" na dnu.

Ovdje je najvažnije naznačiti svoju IP adresu u adresama mapa i datoteka gdje je to potrebno, inače se proxy poslužitelj neće pokrenuti.

Bit svih promjena u SAMS postavkama je da se zapisuju u squid.conf. U pozadini radi Sams2deamon koji prati promjene u postavkama koje zahtijevaju unos u konfiguracijsku datoteku (tamo također možete postaviti interval praćenja).

Ispunite polja "Korisnik" i "IP adresa". Uzmimo isti IP kao korisničko ime (IP računala, ne poslužitelja!). U polje "Dopušteni promet" upisujemo "0", odnosno bez ograničenja. Sva ostala polja izostavljamo.

Dodat će se novi acl za ovu IP adresu i dopuštenje za rad kroz Squid. Ako se konfiguracija nije automatski promijenila, idite na proxy granu i kliknite gumb "Ponovo konfiguriraj Squid". Promjene konfiguracije izvršit će se ručno.

Pokušavamo otvoriti bilo koji URL u pregledniku. Provjeravamo access.log i vidimo zahtjeve koje obrađuje proxy. Kako biste provjerili rad SAMS-a, otvorite stranicu “Korisnici” i kliknite gumb “Ponovni izračun korisničkog prometa” na dnu.

Pomoću donjih gumba za upravljanje statistikom možete dobiti detaljne informacije prema statistikama posjeta korisnika stranicama.

U ovom ćemo članku razmotriti softverska rješenja koja će vam pomoći u kontroli prometa. Zahvaljujući njima možete vidjeti sažetak vaše potrošnje internetske veze odvojeni proces i ograničiti njegov prioritet. Nije potrebno pregledavati snimljena izvješća na osobnom računalu s instaliranim posebnim softverom u OS - to se može učiniti na daljinu. Neće biti problem saznati cijenu potrošenih resursa i još mnogo toga.

Softver tvrtke SoftPerfect Research koji vam omogućuje kontrolu potrošenog prometa. Program predviđa dodatne postavke, koji omogućuju pregled podataka o potrošenim megabajtima za određeni dan ili tjedan, vršne i izvanvršne sate. Moguće je vidjeti indikatore dolazne i odlazne brzine, primljene i poslane podatke.

Alat će biti posebno koristan u slučajevima kada se koristi 3G ili LTE s mjerenjem i, sukladno tome, potrebna su ograničenja. Ako imate više od jednog računa, bit će prikazana statistika za svakog pojedinog korisnika.

DU mjerač

Aplikacija za praćenje potrošnje resursa od svjetska mreža. U radnom području vidjet ćete i dolazne i odlazne signale. Povezivanjem račun usluge dumeter.net, koju nudi programer, možete prikupljati statistiku o korištenju protoka informacija s Interneta sa svih računala. Fleksibilne postavke pomoći će vam pri filtriranju streama i slanju izvješća na vašu e-poštu.

Parametri vam omogućuju da odredite ograničenja pri korištenju veze na World Wide Web. Osim toga, možete odrediti cijenu paketa usluga koje nudi vaš davatelj usluga. Postoji korisnički priručnik u kojem ćete pronaći upute za rad s postojećom funkcionalnošću programa.

Monitor mrežnog prometa

Uslužni program koji prikazuje izvješća o korištenju mreže s jednostavnim skupom alata bez potrebe za prethodnom instalacijom. Glavni prozor prikazuje statistiku i sažetak veze koja ima pristup Internetu. Aplikacija može blokirati stream i ograničiti ga, dopuštajući korisniku da odredi vlastite vrijednosti. U postavkama možete resetirati snimljenu povijest. Postojeće statistike moguće je zabilježiti u log datoteku. Arsenal potrebnih funkcija pomoći će vam da snimite brzine preuzimanja i slanja.

TrafficMonitor

Aplikacija je izvrsno rješenje za suzbijanje protoka informacija s mreže. Postoji mnogo indikatora koji pokazuju količinu potrošene podataka, izlaz, brzinu, maksimalne i prosječne vrijednosti. Postavke softvera omogućuju određivanje cijene trenutno korištenih količina informacija.

Generirana izvješća sadržavat će popis radnji povezanih s vezom. Grafikon se prikazuje u zasebnom prozoru, a ljestvica se prikazuje u stvarnom vremenu; vidjet ćete je na vrhu svih programa u kojima radite. Rješenje je besplatno i ima sučelje na ruskom jeziku.

NetLimiter

Program ima moderan dizajn i snažnu funkcionalnost. Ono što ga čini posebnim jest to što pruža izvješća koja daju sažetak potrošnje prometa za svaki proces koji se izvodi na računalu. Statistika je savršeno razvrstana po različitim razdobljima, pa će stoga biti vrlo lako pronaći željeno vremensko razdoblje.

Ako je NetLimiter instaliran na drugom računalu, možete se spojiti na njega i kontrolirati njegov vatrozid i druge funkcije. Za automatizaciju procesa unutar aplikacije koriste se pravila koja kreira korisnik. U planeru možete stvoriti vlastita ograničenja pri korištenju usluga davatelja usluga, kao i blokirati pristup globalnoj i lokalnoj mreži.

DUPromet

Posebnost ovog softvera je da prikazuje napredne statistike. Postoji informacija o vezi s koje se korisnik prijavio globalni prostor, sesije i njihovo trajanje, kao i trajanje korištenja i još mnogo toga. Sva izvješća su popraćena podacima u obliku dijagrama koji naglašavaju trajanje potrošnje prometa kroz vrijeme. U parametrima možete prilagoditi gotovo svaki element dizajna.

Grafikon koji je prikazan u specifično područje ažuriran u načinu rada sekundu po sekundu. Nažalost, uslužni program nije podržan od strane programera, ali ima ruski jezik sučelja i distribuira se besplatno.

BWMjerač

Program prati download/upload i brzinu postojeće veze. Korištenje filtara prikazuje upozorenje ako procesi u OS-u troše mrežni resursi. Za rješavanje raznih problema koriste se različiti filteri. Korisnik će moći u potpunosti prilagoditi prikazane grafikone prema vlastitom nahođenju.

Među ostalim, sučelje prikazuje trajanje potrošnje prometa, brzinu prijema i uploada, kao i minimalnu i maksimalne vrijednosti. Uslužni program može se konfigurirati za prikaz upozorenja kada se dogode događaji poput broja preuzetih megabajta i vremena veze. Unosom adrese stranice u odgovarajući redak možete provjeriti njen ping, a rezultat se zapisuje u datoteku dnevnika.

BitMeter II

Rješenje za pružanje sažetka korištenja usluga pružatelja usluga. Podaci su dostupni u tabličnom i grafičkom obliku. Parametri konfiguriraju upozorenja za događaje koji se odnose na brzinu veze i potrošeni tok. Radi lakšeg korištenja, BitMeter II vam omogućuje da izračunate koliko će vremena biti potrebno za preuzimanje količine podataka koje unesete u megabajtima.

Funkcionalnost vam omogućuje da odredite koliko je dostupnog volumena preostalo od strane pružatelja usluga, a kada se dosegne ograničenje, poruka o tome prikazuje se na programskoj traci. Štoviše, preuzimanje se može ograničiti u kartici s parametrima, a također možete daljinski pratiti statistiku u načinu preglednika.

Poslano softverski proizvodi bit će nezamjenjiv u praćenju potrošnje internetskih resursa. Funkcionalnost aplikacija pomoći će vam u izradi detaljnih izvješća, a izvješća poslana e-poštom dostupna su za pregled u bilo kojem trenutku.

Svaki administrator prije ili kasnije dobije upute od uprave: "brojite tko ide na mrežu i koliko preuzima." Za pružatelje usluga to je dopunjeno zadacima "puštanja onoga tko treba, primanja plaćanja, ograničavanja pristupa." Što brojati? Kako? Gdje? Puno je fragmentarnih informacija, nisu strukturirane. Administratora početnika ćemo spasiti od zamornih pretraga pružajući mu opće znanje i korisni linkovi za materijal.
U ovom ću članku pokušati opisati principe organiziranja prikupljanja, računovodstva i kontrole prometa na mreži. Razmotrit ćemo problem i navesti moguće načine dohvaćanja informacija s mrežnih uređaja.

Ovo je prvi teorijski članak u nizu članaka posvećenih prikupljanju, računovodstvu, upravljanju i naplati prometa i informatičkih resursa.

Struktura pristupa internetu

Općenito, struktura pristupa mreži izgleda ovako:

Vanjski resursi - Internet, sa svim stranicama, poslužiteljima, adresama i drugim stvarima koje ne pripadaju mreži koju kontrolirate.
Pristupni uređaj – usmjerivač (hardverski ili baziran na računalu), preklopnik, VPN poslužitelj ili koncentrator.
Unutarnji resursi su skup računala, podmreža, pretplatnika čiji se rad na mreži mora uzeti u obzir ili kontrolirati.
Upravljački ili računovodstveni poslužitelj je uređaj na kojem se izvodi specijalizirani softver. Može se funkcionalno kombinirati sa softverskim routerom.

U ovoj strukturi mrežni promet prolazi iz vanjski resursi do internih, i natrag preko pristupnog uređaja. Odašilje informacije o prometu na poslužitelj za upravljanje. Kontrolni poslužitelj obrađuje ove informacije, pohranjuje ih u bazu podataka, prikazuje ih i izdaje naredbe za blokiranje. Međutim, nisu sve kombinacije pristupnih uređaja (metoda) i metoda prikupljanja i kontrole kompatibilne. OKO razne opcije a o njima će biti riječi u nastavku.

Mrežni promet

Prvo morate definirati što se podrazumijeva pod “mrežnim prometom” i što je korisno statističke informacije može se izdvojiti iz toka korisničkih podataka.
Dominantni protokol umrežavanje Za sada ostaje IP verzija 4. IP protokol odgovara sloju 3 OSI modela (L3). Informacije (podaci) između pošiljatelja i primatelja upakirane su u pakete - koji imaju zaglavlje i "payload". Naslov definira gdje i kamo ide paket (IP adrese pošiljatelja i primatelja), veličina paketa, vrsta nosivosti. Većina mrežnog prometa sastoji se od paketa s UDP i TCP korisnim sadržajem - to su protokoli sloja 4 (L4). Osim adresa, zaglavlje ova dva protokola sadrži brojeve portova koji određuju vrstu usluge (aplikacije) koja prenosi podatke.

Da bi prenijeli IP paket preko žica (ili radija), mrežni uređaji su prisiljeni "zamotati" ga (inkapsulirati) u paket protokola sloja 2 (L2). Najčešći protokol ove vrste je Ethernet. Stvarni prijenos“na žicu” ide na 1. razini. Tipično, pristupni uređaj (usmjerivač) ne analizira zaglavlja paketa na razinama višim od razine 4 (s izuzetkom inteligentnih vatrozida).
Informacije iz polja adresa, portova, protokola i brojača duljina iz L3 i L4 zaglavlja podatkovnih paketa čine "sirovi materijal" koji se koristi u obračunu i upravljanju prometom. Zapravo volumen prenesene informacije nalazi se u polju Dužina IP zaglavlja (uključujući duljinu samog zaglavlja). Usput, zbog fragmentacije paketa zbog MTU mehanizma, ukupna količina prenesenih podataka je uvijek veće veličine nosivost.

Ukupna duljina IP i TCP/UDP polja paketa koja su nam u ovom kontekstu zanimljiva iznosi 2...10% ukupne duljine paketa. Ako sve te informacije obrađujete i pohranjujete seriju po seriju, neće biti dovoljno resursa. Srećom, velika većina prometa strukturirana je tako da se sastoji od niza "razgovora" između vanjskih i unutarnjih mrežnih uređaja, koji se nazivaju "tijekovi". Na primjer, unutar jedne operacije prosljeđivanja elektronička pošta(SMTP protokol) otvara se TCP sesija između klijenta i poslužitelja. Karakterizira ga konstantan skup parametara (izvorna IP adresa, izvorni TCP port, odredišna IP adresa, odredišni TCP port). Umjesto obrade i pohranjivanja informacija paket po paket, puno je praktičnije pohraniti parametre protoka (adrese i portove), kao i dodatne informacije - broj i zbroj duljina paketa koji se prenose u svakom smjeru, po izboru trajanje sesije, sučelje usmjerivača indeksi, vrijednost polja ToS itd. Ovaj pristup je koristan za protokole orijentirane na vezu (TCP), gdje je moguće eksplicitno presresti prekid sesije. Međutim, čak i za protokole koji nisu orijentirani na sesiju, moguće je izvršiti agregaciju i logično dovršenje zapisa toka na temelju, na primjer, vremenskog ograničenja. Dolje je izvadak iz SQL baze podataka našeg vlastitog sustava naplate, koji bilježi informacije o tokovima prometa:

Potrebno je napomenuti slučaj kada pristupni uređaj izvodi prevođenje adrese (NAT, maskarading) kako bi organizirao pristup internetu za računala lokalne mreže koristeći jednu, vanjsku, javnu IP adresu. U ovom slučaju, poseban mehanizam zamjenjuje IP adrese i TCP/UDP priključke prometnih paketa, zamjenjujući interne adrese (koje se ne mogu usmjeravati na Internetu) prema njihovim dinamički stol emitiranja. U ovoj konfiguraciji, potrebno je zapamtiti da se za ispravno bilježenje podataka o internim mrežnim hostovima statistika mora prikupljati na način i na mjestu gdje rezultat prijevoda još ne “anonimizira” interne adrese.

Metode za prikupljanje podataka o prometu/statistici

Možete uhvatiti i obraditi informacije o prolaznom prometu izravno na samom pristupnom uređaju (PC usmjerivač, VPN poslužitelj), prenoseći ih s ovog uređaja na zasebni poslužitelj(NetFlow, SNMP), ili "iz žice" (tap, SPAN). Pogledajmo redom sve opcije.

PC ruter

Razmotrimo najjednostavniji slučaj - pristupni uređaj (usmjerivač) temeljen na osobnom računalu s Linuxom.

Kako postaviti takav poslužitelj, prijevod adresa i usmjeravanje, puno je napisano. Zanima nas sljedeći logičan korak - informacije o tome kako doći do podataka o prometu koji prolazi kroz takav server. Postoje tri uobičajene metode:

presretanje (kopiranje) paketa koji prolaze kroz mrežnu karticu poslužitelja pomoću biblioteke libpcap
presretanje paketa koji prolaze kroz ugrađeni vatrozid
korištenje alate treće strane pretvaranje statistike paket po paket (dobivene jednom od prethodne dvije metode) u tok agregiranih informacija o netflowu

Libpcap

U prvom slučaju, kopiju paketa koji prolazi kroz sučelje, nakon što prođe filtar (man pcap-filter), može zatražiti klijentski program na poslužitelju napisan pomoću ove biblioteke. Paket stiže sa zaglavljem sloja 2 (Ethernet). Moguće je ograničiti duljinu snimljenih informacija (ako nas zanimaju samo informacije iz zaglavlja). Primjeri takvih programa su tcpdump i Wireshark. Postoji implementacija libpcap za Windows. Ako se prijevod adrese koristi na PC ruteru, takvo presretanje može se izvršiti samo na njegovom interno sučelje, spojen na lokalnim korisnicima. Na vanjsko sučelje,Nakon emitiranja, IP paketi ne sadrže informacije o ,unutarnjim hostovima mreže. Međutim, ovom metodom nemoguće je uzeti u obzir promet koji stvara sam poslužitelj na Internetu (što je važno ako radi na webu ili Poštanska služba).

libpcap zahtijeva vanjsku podršku operacijski sustav, što trenutno predstavlja instaliranje jedne biblioteke. U tom slučaju aplikacijski (korisnički) program koji prikuplja pakete mora:

otvorite potrebno sučelje
odredite filtar kroz koji će proći primljenih paketa, veličina snimljenog dijela (snaplen), veličina međuspremnika,
postavite parametar promisc, koji mrežno sučelje stavlja u način snimanja za sve pakete koji prolaze, a ne samo one koji su upućeni na MAC adresu ovog sučelja
postavite funkciju (povratni poziv) koja će se pozvati na svaki primljeni paket.

Kada se paket odašilje kroz odabrano sučelje, nakon što prođe filtar, ova funkcija prima međuspremnik koji sadrži Ethernet, (VLAN), IP itd. zaglavlja, ukupna veličina zaskočiti. Budući da biblioteka libcap kopira pakete, ne može se koristiti za blokiranje njihovog prolaza. U tom slučaju morat ćete koristiti program za prikupljanje i obradu prometa alternativne metode, na primjer, pozivanje skripte za postavljanje dane IP adrese u pravilo za blokiranje prometa.

Vatrozid

Hvatanje podataka koji prolaze kroz vatrozid omogućuje vam da uzmete u obzir i promet samog poslužitelja i promet korisnika mreže, čak i kada je prijevod adrese u tijeku. Glavna stvar u ovom slučaju je ispravno formulirati pravilo hvatanja i staviti ga u Pravo mjesto. Ovo pravilo aktivira prosljeđivanje paketa knjižnica sustava, odakle ga aplikacija za računovodstvo i upravljanje prometom može primiti. Za Linux OS, iptables se koristi kao vatrozid, a alati za presretanje su ipq, netfliter_queue ili ulog. Za OC FreeBSD – ipfw s pravilima poput tee ili divert. U svakom slučaju, mehanizam vatrozida nadopunjen je mogućnošću rada s korisničkim programom na sljedeći način:

Korisnički program - rukovatelj prometom - registrira se u sustavu pomoću sistemskog poziva ili biblioteke.
Korisnički program odn vanjska skripta instalira pravilo u firewall koje "omata" odabrani promet (prema pravilu) unutar rukovatelja.
Za svaki prolazni paket rukovatelj prima njegov sadržaj u obliku memorijskog međuspremnika (s IP zaglavljima i sl. Nakon obrade (računovodstva) program također mora reći jezgri operacijskog sustava što dalje učiniti s takvim paketom – odbaciti ga. ili ga proslijedite dalje. Alternativno, moguće je proslijediti modificirani paket jezgri.

Budući da se IP paket ne kopira, već šalje softveru na analizu, moguće ga je “izbaciti”, a time i potpuno ili djelomično ograničiti promet određene vrste (primjerice prema odabranom pretplatniku lokalne mreže). Međutim, ako aplikacijski program prestane odgovarati kernelu o svojoj odluci (na primjer, visi), promet kroz poslužitelj jednostavno se blokira.
Treba napomenuti da opisani mehanizmi, uz značajne količine prenesenog prometa, stvaraju prekomjerno opterećenje poslužitelja, što je povezano sa stalnim kopiranjem podataka iz kernela u korisnički program. Metoda prikupljanja statistike na razini jezgre OS-a, s izlazom agregirane statistike u aplikacijski program preko NetFlow protokola, nema ovaj nedostatak.

Netflow

Ovaj protokol razvio je Cisco Systems za izvoz informacija o prometu s usmjerivača u svrhu obračuna i analize prometa. Najpopularnija verzija 5 sada pruža primatelju tok strukturiranih podataka u obliku UDP paketa koji sadrže informacije o prošlom prometu u obliku takozvanih zapisa protoka:

Količina informacija o prometu je nekoliko redova veličine manja od samog prometa, što je posebno važno u velikim i distribuiranim mrežama. Naravno, nemoguće je blokirati prijenos informacija prilikom prikupljanja statistike putem netflow-a (osim ako se koriste dodatni mehanizmi).
Trenutno, daljnji razvoj ovog protokola postaje popularan - verzija 9, temeljena na struktura predloška zapis toka, implementacije za uređaje drugih proizvođača (sFlow). Nedavno je usvojen standard IPFIX koji omogućuje prijenos statistike putem protokola na dubljim razinama (na primjer, prema vrsti aplikacije).
Implementacija netflow izvora (agenti, sonde) dostupna je za PC usmjerivače, kako u obliku pomoćnih programa koji rade prema gore opisanim mehanizmima (flowprobe, softflowd), tako i izravno ugrađenih u OS kernel (FreeBSD: ng_netgraph, Linux :) . Za softverske usmjerivače, netflow statistički tok može se primati i obrađivati lokalno na samom usmjerivaču ili slati preko mreže (protokol prijenosa - preko UDP-a) do prijemnog uređaja (kolektora).

Program za prikupljanje podataka može skupljati informacije iz više izvora odjednom, mogući razlikovati njihov promet čak i s preklapajućim adresnim prostorima. Korištenjem dodatnih alata poput nprobe moguće je izvršiti i dodatnu agregaciju podataka, bifurkaciju toka ili konverziju protokola, što je važno pri upravljanju velikom i distribuiranom mrežom s desecima usmjerivača.

Netflow izvozne funkcije podržavaju usmjerivače Cisco Systems, Mikrotik i nekih drugih. Sličnu funkcionalnost (s drugim protokolima za izvoz) podržavaju svi glavni proizvođači mrežna oprema.

Libpcap “izvan”

Zakomplicirajmo malo zadatak. Što ako je vaš pristupni uređaj hardverski usmjerivač drugog proizvođača? Na primjer, D-Link, ASUS, Trendnet itd. Najvjerojatnije je nemoguće instalirati dodatne softverski alat prikupljanje podataka. Alternativno, imate pametni pristupni uređaj, ali ga nije moguće konfigurirati (nemate prava ili njime upravlja vaš davatelj). U tom slučaju možete prikupljati informacije o prometu izravno na mjestu gdje se spaja pristupni uređaj interna mreža, korištenjem "hardverskih" sredstava za kopiranje paketa. U ovom slučaju svakako ćete trebati zaseban poslužitelj s namjenskom mrežnom karticom za primanje kopija Ethernet paketa.
Poslužitelj mora koristiti mehanizam za prikupljanje paketa pomoću gore opisane metode libpcap, a naš zadatak je poslati tok podataka identičan onom koji dolazi s pristupnog poslužitelja na ulaz mrežne kartice namijenjene za tu svrhu. Za ovo možete koristiti:

Ethernet - hub: uređaj koji jednostavno prosljeđuje pakete između svih svojih priključaka bez razlike. U modernim stvarnostima može se naći negdje u prašnjavom skladištu, a korištenje ove metode se ne preporučuje: nepouzdana je, mala brzina(nema čvorišta s brzinom od 1 Gbit/s)
Ethernet - preklopnik s mogućnošću zrcaljenja (zrcaljenje, SPAN portovi. Moderni pametni (i skupi) preklopnici omogućuju kopiranje cijelog prometa (dolaznog, odlaznog, oba) drugog fizičkog sučelja, VLAN-a, uključujući udaljeno (RSPAN) na određeno luka
Hardverski razdjelnik, koji može zahtijevati instalaciju za prikupljanje dva mrežne kartice umjesto jednog - a ovo je dodatak glavnom, sistemskom.

Naravno, možete konfigurirati SPAN port na samom pristupnom uređaju (usmjerivaču), ako to dopušta - Cisco Catalyst 6500, Cisco ASA. Evo primjera takve konfiguracije za Cisco prekidač:
monitor sesije 1 izvor vlan 100 ! odakle nabavljamo pakete?
monitor sesije 1 odredišno sučelje Gi6/3! gdje izdajemo pakete?

SNMP

Što ako nemamo ruter pod našom kontrolom, ne želimo kontaktirati netflow, ne zanimaju nas detalji prometa naših korisnika. Jednostavno se spajaju na mrežu putem upravljani prekidač, a samo trebamo grubo procijeniti količinu prometa na svakoj od njegovih luka. Kao što znate, mrežni uređaji s daljinskim upravljanjem podržavaju i mogu prikazati brojače paketa (bajtova) koji prolaze kroz mrežna sučelja. Za njihovo ispitivanje ispravno bi bilo koristiti standardizirani protokol daljinskog upravljanja SNMP. Koristeći ga možete vrlo lako dobiti ne samo vrijednosti navedeni brojači, ali i druge parametre, kao što su naziv i opis sučelja, MAC adrese vidljive kroz njega i dr. korisna informacija. To rade pomoćni programi naredbenog retka (snmpwalk), grafički SNMP preglednici i drugi. složeni programi nadzor mreže (rrdtools, cacti, zabbix, whats up gold, itd.). Međutim, ovu metodu ima dva značajna nedostatka:

Blokadu prometa mogu izvršiti samo potpuno gašenje sučelja, koristeći isti SNMP
brojači prometa snimljeni putem SNMP-a odnose se na zbroj duljina Ethernet paketa (odvojeno unicast, broadcast i multicast), dok ostali prethodno opisani alati daju vrijednosti u odnosu na IP pakete. To stvara primjetnu diskrepanciju (osobito na kratkim paketima) zbog opterećenja uzrokovanog duljinom Ethernet zaglavlja (međutim, to se može približno riješiti: L3_byte = L2_byte - L2_packets * 38).

VPN

Zasebno je vrijedno razmotriti slučaj pristupa korisnika mreži eksplicitnom uspostavom veze s pristupnim poslužiteljem. Klasičan primjer je dobri stari dial-up, čiji je analog u moderni svijet su VPN usluge daljinski pristup(PPTP, PPPoE, L2TP, OpenVPN, IPSEC)

Pristupni uređaj ne samo da usmjerava korisnički IP promet, već također djeluje kao specijalizirani VPN poslužitelj i prekida logičke tunele (često šifrirane) unutar kojih se prenosi korisnički promet.
Da biste uzeli u obzir takav promet, možete koristiti sve gore opisane alate (i oni su vrlo prikladni za dubinsku analizu po portovima/protokolima), kao i dodatne mehanizme koji pružaju alate za kontrolu pristupa VPN-u. Prije svega, govorit ćemo o RADIUS protokolu. Njegov rad je prilično složena tema. Ukratko ćemo spomenuti da kontrolu (autorizaciju) pristupa VPN poslužitelju (RADIUS klijent) kontrolira posebna primjena(RADIUS poslužitelj), koji iza sebe ima bazu podataka (tekstualna datoteka, SQL, Aktivni direktorij) dopušteni korisnici s njihovim atributima (ograničenja brzine veze, dodijeljene IP adrese). Osim procesa autorizacije, klijent povremeno šalje poslužitelju obračunske poruke, informacije o stanju svake trenutno pokrenute VPN sesije, uključujući brojače prenesenih bajtova i paketa.

Zaključak

Objedinimo sve gore opisane metode za prikupljanje informacija o prometu:

Rezimirajmo ukratko. U praksi postoji veliki broj metode povezivanja mreže kojom upravljate (s klijentima ili uredskim pretplatnicima) na vanjsku mrežnu infrastrukturu, korištenjem niza pristupnih sredstava - softverskih i hardverskih usmjerivača, preklopnika, VPN poslužitelja. Međutim, u gotovo svakom slučaju, možete smisliti shemu u kojoj se informacije o prometu koji se prenosi preko mreže mogu usmjeriti na softver ili hardver njegovu analizu i upravljanje. Također je moguće da će ovaj alat omogućiti povratnu informaciju pristupnom uređaju, koristeći inteligentne algoritme za ograničenje pristupa za pojedinačne klijente, protokole i druge stvari.
Ovdje ću završiti analizu materijala. Preostale neodgovorene teme su: