Многу мрежни администратори често наидуваат на проблеми кои можат да се решат со анализа на мрежниот сообраќај. И тука наидуваме на таков концепт како анализатор на сообраќај. Па што е тоа?

NetFlow анализаторите и колекторите се алатки кои ви помагаат да ги следите и анализирате податоците за мрежниот сообраќај. Анализатори мрежни процесиви овозможува прецизно да ги идентификувате уредите што ја намалуваат пропусната моќ на каналот. Тие знаат како да најдат проблематични областиво вашиот систем и да ја подобрите севкупната ефикасност на мрежата.

Терминот " NetFlow" се однесува на протокол на Cisco дизајниран да собира информации за IP сообраќајот и да го следи мрежниот сообраќај. NetFlow е усвоен како стандарден протоколза технологии за стриминг.

Софтверот NetFlow собира и анализира податоци за протокот генерирани од рутерите и ги прикажува во формат погодна за корисниците.

Неколку други продавачи на мрежна опрема имаат свои протоколи за следење и собирање податоци. На пример, Juniper, уште еден високо почитуван продавач на мрежни уреди, го нарекува својот протокол " J-Flow“. HP и Fortinet го користат терминот " s-Проток“. Иако протоколите се нарекуваат поинаку, сите тие работат на сличен начин. Во оваа статија, ќе разгледаме 10 бесплатни анализатори на мрежен сообраќај и колектори NetFlow за Windows.

Анализатор на сообраќај во реално време на NetFlow SolarWinds

Бесплатниот NetFlow Traffic Analyzer е една од најпопуларните алатки достапни за бесплатно преземање. Тоа ви дава можност за подредување, означување и прикажување податоци на различни начини. Ова ви овозможува практично да го визуелизирате и анализирате мрежниот сообраќај. Алатката е одлична за следење на мрежниот сообраќај по тип и временски период. Како и извршување на тестови за да се утврди колку сообраќај трошат различни апликации.

Ова бесплатна алаткаограничен на еден интерфејс за следење NetFlow и складира само 60 минути податоци. Овој Netflow анализатор е моќна алатка која вреди да се користи.

Colasoft Capsa Free

Овој бесплатен LAN анализатор на сообраќај ви овозможува да идентификувате и надгледувате над 300 мрежни протоколи, и ви овозможува да креирате сопствени извештаи. Вклучува мониторинг Е-поштаи дијаграми за низа TCP синхронизација, сето ова е собрани во еден приспособлив панел.

Други карактеристики вклучуваат анализа на безбедноста на мрежата. На пример, следење на DoS/DDoS напади, активност на црви и откривање на ARP напади. Како и декодирање на пакети и прикажување информации, статистички податоци за секој домаќин на мрежата, контрола на размена на пакети и реконструкција на протокот. Capsa Free ги поддржува сите 32-битни и 64-битни верзии на Windows XP.

Минимални системски барања за инсталација: 2 GB меморија за случаен пристапи процесор од 2,8 GHz. Мора да имате и етернет конекција на Интернет ( Во согласност со NDIS 3 или повисоко), Брз етернетили Гигабит со драјвер за мешан режим. Ви овозможува пасивно да ги снимате сите пакети пренесени преку етернет кабел.

Лути IP скенер

Ова е анализатор на сообраќај на Windows со отворено изворен код, брз и лесен за употреба. Не бара инсталација и може да се користи на Linux, Windows и Mac OSX. Оваа алатка работи со едноставно pinging на секоја IP адреса и може да одреди MAC адреси, да скенира порти, да обезбеди информации за NetBIOS, да одреди овластен корисникВ Windows системи, откријте веб-сервери и многу повеќе. Неговите способности се прошируваат со користење на Java додатоци. Податоците од скенирањето може да се зачуваат во CSV, TXT, XML датотеки.

ManageEngine NetFlow Analyzer Professional

Целосно опремена верзија на софтверот NetFlow на ManageEngines. Тоа е моќно софтверсо целосен опсег на функции за анализа и собирање податоци: следење пропусниот опсегканал во реално време и известувања за достигнување на вредностите на прагот, што ви овозможува брзо администрирање на процесите. Покрај тоа, тој обезбедува збирни податоци за користење на ресурси, следење на апликации и протоколи и многу повеќе.

Бесплатна верзијаЛинукс сообраќаен анализатор овозможува неограничена употреба на производот 30 дена, по што можете да следите само два интерфејси. Системски барањаза NetFlow Analyzer ManageEngine зависат од брзината на проток. Препорачани барања за минимални стапки на проток од 0 до 3000 нишки во секунда: процесор со две јадра 2,4 GHz, 2 GB RAM и 250 GB слободен просторна вашиот хард диск. Како што се зголемува брзината на протокот што треба да се следи, така се зголемуваат и барањата.

Еј

Оваа апликација е популарна мрежен монитор, развиен од MikroTik. Тој автоматски ги скенира сите уреди и повторно создава мрежна мапа. The Dude ги следи серверите што работат разни уреди, и предупредува во случај на проблеми. Други карактеристики вклучуваат автоматско откривање и прикажување на нови уреди, можност за креирање сопствени картички, пристап до алатки за далечинско управување со уреди и многу повеќе. Работи на Windows Линукс винои MacOS Darwine.

JDSU мрежен анализатор Брз етернет

Оваа програма за анализатор на сообраќај ви овозможува брзо собирање и прегледување на мрежните податоци. Алатката обезбедува можност за прегледување регистрирани корисници, одредување на нивото на користење на мрежен опсег од поединечни уреди и брзо наоѓање и поправка на грешки. И, исто така, снимајте податоци во реално време и анализирајте ги.

Апликацијата поддржува создавање на високо детални графикони и табели кои им овозможуваат на администраторите да ги следат сообраќајните аномалии, да ги филтрираат податоците за да просејуваат големи количини на податоци и многу повеќе. Оваа алатка е наменета за специјалисти влезно ниво, како и за искусни администратори, ви овозможува целосно да ја преземете контролата врз мрежата.

Plixer Scrutinizer

Овој мрежен анализатор на сообраќај ви овозможува да собирате и сеопфатно да го анализирате мрежниот сообраќај и брзо да ги наоѓате и поправате грешките. Со Scrutinizer, можете да ги сортирате вашите податоци на различни начини, вклучително и по временски интервал, домаќин, апликација, протокол и повеќе. Бесплатната верзија ви овозможува да контролирате неограничен број интерфејси и да складирате податоци за 24 часа активност.

Wireshark

Wireshark е моќен мрежен анализаторможе да работи на Linux, Windows, MacOS X, Solaris и други платформи. Wireshark ви овозможува да ги гледате снимените податоци користејќи GUI, или користете ги комуналните услуги TShark во режим на TTY. Неговите карактеристики вклучуваат собирање и анализа на сообраќајот на VoIP, прикажување на Ethernet во реално време, IEEE 802.11, Bluetooth, USB, податоци за Frame Relay, XML, PostScript, излез на податоци CSV, поддршка за дешифрирање и многу повеќе.

Системски барања: Windows XP и повисоко, кој било модерен 64/32-битен процесор, 400 Mb RAM и 300 Mb слободен простор простор на дискот. Wireshark NetFlow Analyzer е моќна алатка, што може значително да ја поедностави работата на секој мрежен администратор.

Paessler PRTG

Овој анализатор на сообраќај им обезбедува на корисниците многу корисни функции: поддршка за следење LAN, WAN, VPN, апликации, виртуелен сервер, QoS и животна средина. Поддржано е и следење на повеќе локации. PRTG користи SNMP, WMI, NetFlow, SFlow, JFlow и анализа на пакети, како и мониторинг на време/неактивност и поддршка за IPv6.

Бесплатната верзија ви овозможува да користите неограничен број сензори 30 дена, по што можете да користите само до 100 бесплатно.

nСонда

Тоа е целосно опремена апликација за следење и анализа на NetFlow со отворен код.

nProbe поддржува IPv4 и IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, содржи функции за анализа на VoIP сообраќај, земање примероци на проток и пакети, генерирање дневници, активност на MySQL/Oracle и DNS и многу повеќе. Апликацијата е бесплатна ако го преземете и компајлирате анализаторот на сообраќајот на Linux или Windows. Извршна датотекаПоставката го ограничува обемот на снимање на 2000 пакети. nProbe е потполно бесплатен за образовни институции, како и за непрофитни и научни организации. Оваа алатка ќе работи на 64-битни верзии на оперативни системи Линукс системии Windows.

• Лесно се поставува!
• Графикони за потрошувачка во реално време.
• Контролирајте ги сите уреди од еден компјутер.
• Известување кога границата е надмината.
• Поддржува WMI, SNMPv1/2c/3 и 64-битни бројачи.
• Определете кој презема и од каде.
• Проверете го вашиот провајдер!

„10-Strike: Traffic Accounting“ е едноставна програмаза контрола на потрошувачката на сообраќај на компјутери, прекинувачи, сервери на мрежатаво претпријатието, па дури и дома (3 сензори може да се следат бесплатно во пробна верзијадури и по истекот на пробниот период од 30 дена). Следете ја јачината на звукот дојдовни и појдовнипотрошениот сообраќај на компјутерите низ вашата локална мрежа, вкл. при пристап на Интернет.

Програмата постојано собира статистика од мрежните домаќини за дојдовниот и појдовниот сообраќај и во реално време ја прикажува динамиката на промените во брзината на пренос на податоци на мрежните интерфејси во форма на графикони и табели.

Со нашата сметководствена програма можете откривање на бескрупулозните корисници кои трошат многу интернет сообраќајво вашата организација. Прекршувањето на работната дисциплина од страна на вработените доведува до намалена продуктивност на трудот. Едноставна анализа на потрошувачката на сообраќај на компјутерите на вработените ќе ви овозможи да ги идентификувате најактивните корисници на мрежата. Кога користите WMI сензори, дури и не треба да инсталирате ништо на мрежните компјутери, потребна ви е само администраторска лозинка.

За жал, кај нас интернет сообраќајот за правните лица сè уште не е секаде евтин. Често се случува прекумерната интернет активност на корисниците (често неповрзани со работниот процес) да доведе до пречекорувања на трошоцитеорганизациите да платат за поврзување. Користењето на нашата програма ќе помогне да се спречи вашиот бизнис да добива неочекувано високи сметки за Интернет. Можете да прилагодите известување за потрошувачка на одредено количество сообраќајкомпјутери на мрежата во одреден временски период.

Ти можеш набљудувајте графикони за брзина на дојдовен и појдовен сообраќајкомпјутери и мрежни уреди на екранот во реално време. Може да се направи веднаш одреди кој троши најмногу сообраќаји го затнува каналот.

Програмата постојано ја следи потрошувачката на сообраќај на мрежните компјутери и може ве извести кога ќе се исполнат одредени услови, што можете да го прашате. На пример, ако количината на сообраќај потрошена од кој било компјутер ја надминува одредената вредност или просечната брзина на пренос на информации за одреден периоднад/под прагот на вредноста. Кога наведениот услов е исполнет, програмата ќе известивие на еден од следниве начини:

• прикажување порака на екранот на компјутерот;
• звучен сигнал;
• испраќање е-пошта;
• пишување во датотеката за дневник на програмата;
• влез во Дневникот на настани на системот.

Покрај тоа, програмата за сметководство за сообраќај може извршиодредени дејства кога се исполнети условите: стартувајте ја програмата, извршете VB или JS скрипта, рестартирајте ја услугата, рестартирајте го компјутерот итн.

Како што функционира програмата за следење акумулира статистика за потрошувачка на сообраќајмрежни компјутери. Во секое време можете да дознаете кој и колку сообраќај е потрошен во даден момент и кои брзини на пренос на податоци се постигнати. Графиконите за брзина на преземање/прикачување на сообраќајот, како и табелите за потрошувачка на сообраќај, може да се направат за кој било временски период или датум.

Награди

Во февруари 2015 година, англиската верзија на програмата заработи награда - финалист на натпреварот „Network Computing Awards 2015“ на популарниот британски магазин „Network Computing“ во категоријата „ИТ оптимизација на производот на годината“.

Кога купувате лиценца ќе добиете претплата за бесплатни ажурирањапрограми и технички поддршка за една година.

Преземете ја бесплатната 30-дневна верзија сега и пробајте ја! Windows XP/2003/Vista/2008/7/8.1/2012/10/2016 се поддржани.

Има многу програми за следење на сообраќајот на локална мрежа: и платени и бесплатни, многу се разликуваат во функционалноста. Еден од најпопуларните Отворен изворпрограми – SAMS. Таа работи за Линукс платформаво соработка со Squid.

SAMS бара PHP5, ние ќе го користиме Сервер на Ubuntu 14.04. Ќе ни требаат Squid, Apache2, PHP5 пакети со модули.

Сметководство на Интернет сообраќај на локална мрежа Линукс

Ајде да се обидеме да откриеме како функционира.

Squid дистрибуира Интернет, прифаќајќи барања на портата 3128. Во исто време, пишува детален дневник access.log. Целата контрола се врши преку датотеката squid.conf. Медузата има широки можностиза контрола на пристап до Интернет: контрола на пристап по адреса, контрола на пропусниот опсег за одредени адреси, групи на адреси и мрежи.

SAMS работи врз основа на анализа на дневници Squid прокси-сервер. Локалниот мрежен систем за сметководство за сообраќај ја следи статистиката на прокси-серверот и, во согласност со наведените политики, донесува одлука за блокирање, деблокирање или ограничување на брзината за клиентот Squid.

Инсталирање на SAMS

Инсталирање на пакети.

apt-get инсталирај apache2 php5 php5-mysql mysql-сервер php5-gd squid3

Преземете и инсталирајте SAMS

wget https://github.com/inhab-magnus/sams2-deb/archive/master.zip

отпакува господар.zip

CD sams2-deb-master/

dpkg -i sams2_2.0.0-1.1_amd64.deb

Инсталирање на веб-интерфејс

dpkg -i apache2/sams2-web_2.0.0-1.1_all.deb

Правиме промени во датотеката /etc/sams2.conf.

DB_PASSWORD=/лозинка MySql/

Стартување на SAMS

стартување на услугата sams2

Поставување на Squid

Правиме промени во датотеката /etc/squid3/squid.conf

http_port 192.168.0.110:3128
cache_dir ufs /var/spool/squid3 2048 16 256

Овозможуваме евиденција и ротација на дневници со складирање 31 ден.

access_log демон:/var/log/squid3/access.log лигњи

logfile_rotate 31

Стоп за Squid, креирај кеш.

сервис squid3 стоп

сервис squid3 старт

За чистота на експериментот, конфигурираме еден од прелистувачите да работи со прокси 192.168.0.110 преку портата 3128. Откако се обидовме да се поврземе, добиваме одбивање за поврзување - Squid нема конфигурирани права за пристап до прокси.

Почетно поставување SAMS

Во друг прелистувач, отворете ја адресата (192.168.0.110 – адреса на серверот).

http://192.168.0.110/sams2

Ќе ни каже дека не може да се поврзе со базата и ќе понуди да ја изврши инсталацијата.

Го одредуваме серверот на базата на податоци (127.0.0.1), најава и лозинка за MySql.

Првичното поставување на системот за сметководство за сообраќај е завршено. Останува само да ја конфигурирате програмата.

Мониторинг на сообраќајот на локалната мрежа

Пријавете се во системот како администратор (admin/qwerty).

Вреди да се спомене веднаш за овластувањето на корисникот.

Во гранката Squid, отворете го прокси-серверот и кликнете на копчето „Конфигурирај прокси-сервер“ на дното.

Овде најважно е да ја наведете вашата IP адреса во адресите на папките и датотеките каде што е потребно, инаку прокси-серверот нема да започне.

Суштината на сите промени на поставките на SAMS е дека тие се напишани на squid.conf. Sams2deamon работи во позадина, што ги следи промените во поставките кои бараат внесување во конфигурациската датотека (исто така можете да го поставите интервалот за следење таму).

Пополнете ги полињата „Корисник“ и „ИП адреса“. Да ја земеме истата IP адреса како и корисничкото име (IP на компјутерот, а не на серверот!). Во полето „Дозволен сообраќај“ внесуваме „0“, односно без ограничувања. Ги испуштаме сите други полиња.

Ќе се додаде нов acl за оваа IP адреса и дозвола за работа преку Squid. Ако конфигурацијата не е променета автоматски, одете во гранката на прокси и кликнете на копчето „Реконфигурирај лигњи“. Промените на конфигурацијата ќе се направат рачно.

Се обидуваме да отвориме која било URL-адреса во прелистувачот. Ние го проверуваме access.log и ги гледаме барањата обработени од прокси. За да ја проверите работата на SAMS, отворете ја страницата „Корисници“ и кликнете на копчето „Повторно пресметај кориснички сообраќај“ на дното.

Користејќи ги копчињата подолу за управување со статистиката, можете да добиете детални информацииспоред статистиката на посетите на страниците од корисниците.

Оваа статија ќе разгледа софтверски решенија кои ќе ви помогнат да го контролирате сообраќајот. Благодарение на нив можете да видите резиме на потрошувачката на вашата интернет конекција посебен процеси го ограничи нејзиниот приоритет. Не е неопходно да се гледаат снимени извештаи на компјутер со специјален софтвер инсталиран во ОС - ова може да се направи од далечина. Нема да биде проблем да се дознае цената на потрошените ресурси и многу повеќе.

Софтвер од SoftPerfect Research кој ви овозможува да го контролирате потрошениот сообраќај. Програмата обезбедува дополнителни поставки, кои овозможуваат да се видат информации за мегабајти потрошени за одреден ден или недела, часови за шпиц и за вон шпиц. Можно е да се видат показателите за влезната и излезната брзина, примените и испратените податоци.

Алатката ќе биде особено корисна во случаи кога се користи мерено 3G или LTE и, соодветно, потребни се ограничувања. Ако имате повеќе од една сметка, ќе се прикаже статистика за секој поединечен корисник.

DU метар

Апликација за следење на потрошувачката на ресурси од светска мрежа. Во работната област ќе ги видите и влезните и појдовните сигнали. Со поврзување сметкауслугата dumeter.net, која ја нуди развивачот, можете да собирате статистика за употребата на протокот на информации од Интернет од сите компјутери. Флексибилните поставки ќе ви помогнат да го филтрирате преносот и да испраќате извештаи до вашата е-пошта.

Параметрите ви дозволуваат да наведете ограничувања кога користите врска со World Wide Web. Дополнително, можете да ги наведете трошоците за пакетот услуги обезбедени од вашиот добавувач. Постои упатство за употреба во кое ќе најдете упатства за работа со постоечката функционалност на програмата.

Монитор на мрежен сообраќај

Услужна алатка која прикажува извештаи за користење на мрежата со едноставен сет на алатки без потреба од претходна инсталација. Главниот прозорец прикажува статистика и резиме на врската што има пристап до Интернет. Апликацијата може да го блокира преносот и да го ограничи, дозволувајќи му на корисникот да ги наведе сопствените вредности. Во поставките можете да ја ресетирате снимената историја. Можно е да се запише постоечката статистика во датотека за евиденција. Арсеналот на потребната функционалност ќе ви помогне да ја снимите брзината на преземање и испраќање.

TrafficMonitor

Апликацијата е одлично решение за спротивставување на протокот на информации од мрежата. Постојат многу индикатори кои ја покажуваат количината на потрошени податоци, излезот, брзината, максималните и просечните вредности. Софтверските поставки ви овозможуваат да ги одредите трошоците за тековно користените количини на информации.

Генерираните извештаи ќе содржат листа на дејства поврзани со врската. Графикот се прикажува во посебен прозорец, а скалата се прикажува во реално време, ќе ја видите на врвот на сите програми во кои работите. Решението е бесплатно и има интерфејс на руски јазик.

NetLimiter

Програмата има модерен дизајни моќна функционалност. Она што го прави посебен е тоа што обезбедува извештаи кои обезбедуваат резиме на потрошувачката на сообраќајот на секој процес што се извршува на компјутерот. Статистиката е совршено подредена по различни периоди и затоа ќе биде многу лесно да се најде посакуваниот временски период.

Ако NetLimiter е инсталиран на друг компјутер, можете да се поврзете со него и да го контролирате неговиот заштитен ѕид и другите функции. За автоматизирање на процесите во апликацијата, се користат правила креирани од корисникот. Во распоредувачот, можете да креирате свои ограничувања при користење на услугите на давателот, како и да го блокирате пристапот до глобалните и локалните мрежи.

DUTtraffic

Посебната карактеристика на овој софтвер е што прикажува напредна статистика. Има информации за врската од која се најавил корисникот глобален простор, сесии и нивното времетраење, како и времетраење на употреба и многу повеќе. Сите извештаи се придружени со информации во форма на дијаграм што го истакнува времетраењето на потрошувачката на сообраќај со текот на времето. Во параметрите можете да го прилагодите речиси секој дизајнерски елемент.

Графикот што е прикажан во одредена областажурирано во режим од секунда по секунда. За жал, алатката не е поддржана од развивачот, но има руски јазик за интерфејс и се дистрибуира бесплатно.

BWMeter

Програмата го следи преземањето/подигнувањето и брзината на постоечката врска. Користењето филтри прикажува предупредување ако процесите во ОС трошат мрежни ресурси. Различни филтри се користат за решавање на многу различни проблеми. Корисникот ќе може целосно да ги приспособи прикажаните графикони по своја дискреција.

Меѓу другото, интерфејсот го прикажува времетраењето на потрошувачката на сообраќај, брзината на прием и прикачување, како и минималната и максимални вредности. Алатката може да се конфигурира да прикажува предупредувања кога се случуваат настани како што се бројот на преземени мегабајти и времето на поврзување. Со внесување на адресата на страницата во соодветната линија, можете да го проверите нејзиниот пинг, а резултатот се запишува во датотека за евиденција.

БитМетер II

Решение за обезбедување резиме на користењето на услугите на давателот. Податоците се достапни и во табеларни и во графички формати. Параметрите ги конфигурираат предупредувањата за настани поврзани со брзината на поврзувањето и потрошениот проток. За полесно користење, BitMeter II ви овозможува да пресметате колку време ќе биде потребно за преземање на количината на податоци што ги внесувате во мегабајти.

Функционалноста ви овозможува да одредите колку достапен волумен останува обезбеден од давателот и кога ќе се достигне лимитот, пораката за ова се прикажува во лентата со задачи. Покрај тоа, преземањето може да биде ограничено во табулаторот за параметри, а исто така можете да ја следите статистиката од далечина во режим на прелистувач.

Поднесени софтверски производиќе биде незаменлив во следењето на потрошувачката на интернет ресурсите. Функционалноста на апликациите ќе ви помогне да креирате детални извештаи, а извештаите испратени по е-пошта се достапни за прегледување во секое погодно време.

Секој администратор порано или подоцна добива инструкции од раководството: „брои кој оди на интернет и колку презема“. За давателите на услуги, тоа е надополнето со задачите „да се пушта секој што му треба, да зема плаќање, да го ограничи пристапот“. Што да се брои? Како? Каде? Има многу фрагментарни информации, не се структурирани. Ќе го спасиме почетниот администратор од мачни пребарувања со тоа што ќе му обезбедиме општо знаење и корисни ЛИНКОВИза материјал.
Во оваа статија ќе се обидам да ги опишам принципите на организирање на собирање, сметководство и контрола на сообраќајот на мрежата. Ќе го разгледаме проблемот и ќе ги наведеме можните начини за преземање информации од мрежните уреди.

Ова е прва теоретска статија од серијата написи посветени на собирање, сметководство, управување и наплата на сообраќај и ИТ ресурси.

Структура на пристап до Интернет

Во принцип, структурата за пристап до мрежата изгледа вака:

• Надворешни ресурси - Интернет, со сите страници, сервери, адреси и други работи што не припаѓаат на мрежата што ја контролирате.
• Уред за пристап - рутер (хардвер или компјутер), прекинувач, VPN сервер или концентратор.
• Внатрешните ресурси се збир на компјутери, подмрежи, претплатници чие работење на мрежата мора да се земе предвид или контролира.
• Сервер за управување или сметководство е уред на кој работи специјализиран софтвер. Може функционално да се комбинира со софтверски рутер.

Во оваа структура, мрежниот сообраќај поминува од надворешни ресурсидо внатрешните, и назад, преку уредот за пристап. Ги пренесува информациите за сообраќајот до серверот за управување. Контролниот сервер ги обработува овие информации, ги складира во базата на податоци, ги прикажува и издава команди за блокирање. Сепак, не се компатибилни сите комбинации на уреди за пристап (методи) и методи за собирање и контрола. ЗА различни опциии ќе се дискутира подолу.

Мрежен сообраќај

Прво, треба да дефинирате што се подразбира под „мрежен сообраќај“ и што е корисно статистички информацииможе да се извлече од протокот на кориснички податоци.
Доминантен протокол работа на интернет IP верзијата 4 останува засега. IP протоколот одговара на слојот 3 од моделот OSI (L3). Информациите (податоци) помеѓу испраќачот и примачот се спакувани во пакети - со заглавие и „оптоварување“. Заглавието дефинира каде и каде одипакет (IP адреси на испраќачот и примачот), големина на пакет, тип на носивост. Најголемиот дел од мрежниот сообраќај се состои од пакети со носивост на UDP и TCP - ова се протоколи од Layer 4 (L4). Покрај адресите, заглавието на овие два протоколи содржи броеви на порти, кои го одредуваат типот на услугата (апликацијата) што ги пренесува податоците.

За да пренесат IP пакет преку жици (или радио), мрежните уреди се принудени да го „завиткаат“ (инкапсулираат) во пакет со протокол Layer 2 (L2). Најчестиот протокол од овој тип е Ethernet. Вистински трансфер„До жицата“ оди на 1-во ниво. Вообичаено, уредот за пристап (рутер) не ги анализира заглавјата на пакетите на нивоа повисоки од нивото 4 (со исклучок на интелигентни заштитни ѕидови).
Информациите од полињата на адреси, порти, протоколи и бројачи на должина од заглавијата L3 и L4 на пакетите со податоци ја сочинуваат „суровина“ што се користи во сметководството и управувањето со сообраќајот. Всушност волумен пренесени информациисе наоѓа во полето Должина на заглавието на IP (вклучувајќи ја и должината на самиот заглавие). Патем, поради фрагментација на пакети поради механизмот MTU, вкупната количина на пренесени податоци е секогаш поголема големинаносивост.

Вкупната должина на полињата IP и TCP/UDP на пакетот што ни се интересни во овој контекст е 2...10% од вкупната должина на пакетот. Ако ги обработувате и складирате сите овие информации серија по серија, нема да има доволно ресурси. За среќа, огромното мнозинство на сообраќај е структурирано да се состои од серија „разговори“ помеѓу надворешни и внатрешни мрежни уреди, наречени „текови“. На пример, во рамките на една операција за препраќање е-пошта(SMTP протокол) се отвора TCP сесија помеѓу клиентот и серверот. Се карактеризира со постојан сет на параметри (изворна IP адреса, изворна TCP порта, одредишна IP адреса, дестинација TCP порта). Наместо да се обработуваат и чуваат информации пакет по пакет, многу попогодно е да се складираат параметрите на протокот (адреси и порти), како и дополнителни информации - бројот и збирот на должините на пакетите што се пренесуваат во секоја насока, опционално времетраењето на сесијата, интерфејсот на рутерот индекси, вредност на полето ToS итн. Овој пристап е корисен за протоколи ориентирани кон поврзување (TCP), каде што е можно експлицитно да се пресретне завршувањето на сесијата. Сепак, дури и за протоколи кои не се ориентирани кон сесија, можно е да се изврши агрегација и логично завршување на записот за проток врз основа на, на пример, истек на време. Подолу е извадок од базата на податоци SQL на нашиот сопствен систем за наплата, кој евидентира информации за протокот на сообраќај:

Неопходно е да се забележи случајот кога уредот за пристап врши превод на адреси (NAT, маскирање) за да организира пристап до Интернет за компјутери со локална мрежа користејќи една, надворешна, јавна IP адреса. Во овој случај, посебен механизам ги заменува IP-адресите и TCP/UDP портите на сообраќајните пакети, заменувајќи ги внатрешните (не рутирачки на Интернет) адреси според неговите динамична табелаемитувања. Во оваа конфигурација, неопходно е да се запамети дека за правилно снимање на податоците на домаќините на внатрешната мрежа, статистиката мора да се собира на начин и на место каде што резултатот од преводот сè уште не ги „анонимизира“ внатрешните адреси.

Методи за собирање информации за сообраќај/статистички податоци

Можете да снимате и обработувате информации за минување сообраќај директно на самиот уред за пристап (рутер за компјутер, VPN сервер), пренесувајќи го од овој уред на посебен сервер(NetFlow, SNMP) или „од жица“ (допрете, SPAN). Ајде да ги разгледаме сите опции по редослед.

Рутер за компјутер

Да го разгледаме наједноставниот случај - уред за пристап (рутер) базиран на компјутер со Linux.

Како да поставите таков сервер, превод на адреси и рутирање, многу е напишано. Ние сме заинтересирани за следниот логичен чекор - информации за тоа како да се добијат информации за сообраќајот што минува низ таков сервер. Постојат три вообичаени методи:

• пресретнување (копирање) пакети кои минуваат низ мрежната картичка на серверот користејќи ја библиотеката libpcap
• пресретнување на пакети кои минуваат низ вградениот заштитен ѕид
• употреба алатки од трета странаконвертирање на статистика пакет-по-пакет (добиена со еден од двата претходни методи) во прилив на збирни информации за мрежен тек

Libpcap

Во првиот случај, копија од пакетот што минува низ интерфејсот, откако ќе го помине филтерот (man pcap-филтер), може да побара клиентска програма на серверот напишана со помош на оваа библиотека. Пакетот пристигнува со заглавие на слој 2 (Етернет). Можно е да се ограничи должината на снимените информации (ако нè интересираат само информациите од неговото заглавие). Примери за такви програми се tcpdump и Wireshark. Постои имплементација на libpcap за Windows. Ако преводот на адреси се користи на рутер за компјутер, таквото пресретнување може да се изврши само на него внатрешен интерфејс, поврзан со локални корисници. На надворешен интерфејс,По емитувањето, IP пакетите не содржат информации за внатрешните хостови на мрежата. Меѓутоа, со овој метод е невозможно да се земе предвид сообраќајот создаден од самиот сервер на Интернет (што е важно ако работи веб или Поштенска услуга).

libpcap бара надворешна поддршка операционен систем, што моментално значи инсталирање на една библиотека. Во овој случај, апликацијата (корисничката) програма што собира пакети мора:

• отворете го потребниот интерфејс
• наведете го филтерот низ кој треба да помине примени пакети, големина на заробениот дел (snaplen), големина на тампон,
• поставете го параметарот promisc, кој го става мрежниот интерфејс во режим на снимање за сите пакети што минуваат, а не само оние адресирани на MAC адресата на овој интерфејс
• поставете функција (повратен повик) повикана на секој примен пакет.

Кога пакетот се пренесува преку избраниот интерфејс, откако ќе го помине филтерот, оваа функција добива бафер кој содржи Ethernet, (VLAN), IP итн. заглавија, вкупната големинада снеплен. Бидејќи библиотеката libcap копира пакети, не може да се користи за блокирање на нивниот премин. Во овој случај, ќе треба да се користи програмата за собирање и обработка на сообраќај алтернативни методи, на пример, повикување на скрипта за поставување на дадена IP адреса во правило за блокирање сообраќај.

Заштитен ѕид

Снимањето податоци што минуваат низ заштитниот ѕид ви овозможува да го земете предвид и сообраќајот на самиот сервер и сообраќајот на мрежните корисници, дури и кога работи преводот на адреси. Главната работа во овој случај е правилно да го формулирате правилото за фаќање и да го ставите во него Вистинско место. Ова правило го активира препраќањето пакети системска библиотека, од каде апликацијата за сметководство и управување со сообраќајот може да ја добие. За Linux OS, iptables се користи како заштитен ѕид, а алатките за пресретнување се ipq, netfliter_queue или ulog. За OC FreeBSD – ipfw со правила како маи или пренасочување. Во секој случај, механизмот на заштитниот ѕид е надополнет со можност за работа со корисничка програма на следниов начин:

• Корисничка програма - управувач со сообраќај - се регистрира во системот користејќи системски повик или библиотека.
• Корисничка програма или надворешно сценариоинсталира правило во заштитниот ѕид што го „обвиткува“ избраниот сообраќај (според правилото) внатре во управувачот.
• За секој минлив пакет, управувачот ја прима неговата содржина во форма на мемориски бафер (со IP заглавија итн. По обработката (сметководството), програмата исто така мора да му каже на кернелот на оперативниот систем што да прави следно со таков пакет - отфрлете го или префрлете го Алтернативно, можно е да го пренесете изменетиот пакет на јадрото.

Бидејќи IP-пакетот не се копира, туку се испраќа до софтверот за анализа, станува возможно да се „исфрли“ и затоа целосно или делумно да се ограничи сообраќајот од одреден тип (на пример, до избран претплатник на локална мрежа). Меѓутоа, ако апликациската програма престане да реагира на кернелот за нејзината одлука (обесена, на пример), сообраќајот низ серверот едноставно е блокиран.
Треба да се напомене дека опишаните механизми, со значителен обем на пренесен сообраќај, создаваат прекумерно оптоварување на серверот, што е поврзано со постојано копирање на податоците од јадрото на корисничка програма. Начинот на собирање статистика на ниво на кернелот на ОС, со излез на збирна статистика во апликациската програма преку протоколот NetFlow, го нема овој недостаток.

Netflow

Овој протокол беше развиен од Cisco Systems за извоз на информации за сообраќајот од рутери со цел за сметководство и анализа на сообраќајот. Најпопуларната верзија 5 сега му обезбедува на примачот проток на структурирани податоци во форма на UDP пакети кои содржат информации за минатиот сообраќај во форма на таканаречени записи за проток:

Количината на информации за сообраќајот е за неколку реда помала од самиот сообраќај, што е особено важно во големите и дистрибуирани мрежи. Се разбира, невозможно е да се блокира преносот на информации при собирање статистика преку netflow (освен ако не се користат дополнителни механизми).
Во моментов, понатамошниот развој на овој протокол станува популарен - верзија 9, базирана на структура на шаблонотзапис за проток, имплементации за уреди од други производители (sFlow). Неодамна, беше усвоен стандардот IPFIX, кој овозможува пренос на статистика преку протоколи на подлабоки нивоа (на пример, по тип на апликација).
Имплементацијата на мрежни извори (агенти, сонди) е достапна за рутери за компјутери, и во форма на алатки кои работат според механизмите опишани погоре (flowprobe, softflowd), и директно вградени во кернелот на ОС (FreeBSD: ng_netgraph, Linux:) . За софтверски рутери, протокот на статистика на netflow може да се прими и обработи локално на самиот рутер или да се испрати преку мрежата (протокол за пренос - преку UDP) до уредот што прима (колектор).


Програмата за собирање може да собира информации од многу извори одеднаш, со тоа што може да го разликува нивниот сообраќај дури и со преклопувачки адресни простори. Користејќи дополнителни алатки како што е nprobe, исто така е можно да се изврши дополнителна агрегација на податоци, бифуркација на стрим или конверзија на протокол, што е важно кога управувате со голема и дистрибуирана мрежа со десетици рутери.

Функциите за извоз на Netflow поддржуваат рутери од Cisco Systems, Mikrotik и некои други. Слична функционалност (со други протоколи за извоз) е поддржана од сите големи производителимрежна опрема.

Libpcap „надвор“

Ајде малку да ја искомплицираме задачата. Што ако вашиот уред за пристап е хардверски рутер од друг производител? На пример, D-Link, ASUS, Trendnet, итн. Најверојатно е невозможно да се инсталира дополнително софтверска алаткасобирање на податоци. Алтернативно, имате уред за паметен пристап, но не е можно да го конфигурирате (немате права или го контролира вашиот провајдер). Во овој случај, можете да собирате информации за сообраќајот директно на местото каде што се среќава уредот за пристап внатрешна мрежа, користејќи „хардверски“ средства за копирање пакети. Во овој случај, дефинитивно ќе ви треба посебен сервер со посветена мрежна картичка за да примате копии од етернет пакети.
Серверот мора да го користи механизмот за собирање пакети користејќи го методот libpcap опишан погоре, а нашата задача е да испратиме поток на податоци идентичен со оној што доаѓа од пристапниот сервер до влезот на мрежната картичка наменета за оваа намена. За ова можете да користите:

• Етернет - центар: уред кој едноставно препраќа пакети помеѓу сите негови порти неселективно. Во современите реалности, може да се најде некаде во правлив магацин и не се препорачува користење на овој метод: не е сигурен, мала брзина(нема хабови со брзина од 1 Gbit/s)
• Етернет - прекинувач со можност за пресликување (отсликување, порти SPAN. Современите паметни (и скапи) прекинувачи ви овозможуваат да го копирате целиот сообраќај (дојдовен, појдовен, и двата) на друг физички интерфејс, VLAN, вклучувајќи далечински (RSPAN) на одредено пристаниште
• Хардверски разделувач, кој може да бара инсталација за да собере два мрежни картичкинаместо еден - и ова е во прилог на главната, системска.

Секако, можете да конфигурирате порта SPAN на самиот уред за пристап (рутер), ако тоа го дозволува - Cisco Catalyst 6500, Cisco ASA. Еве пример за таква конфигурација за Cisco прекинувач:
монитор сесија 1 извор vlan 100 ! од каде ги добиваме пакетите?
монитор сесија 1 дестинација интерфејс Gi6/3! каде издаваме пакети?

SNMP

Што ако немаме рутер под наша контрола, не сакаме да контактираме со netflow, не сме заинтересирани за деталите за сообраќајот на нашите корисници. Тие едноставно се поврзани на мрежата преку управуван прекинувач, и само треба грубо да ја процениме количината на сообраќај на секое од неговите пристаништа. Како што знаете, мрежните уреди со далечински управувач поддржуваат и можат да прикажуваат бројачи на пакети (бајти) кои минуваат низ мрежните интерфејси. За да ги анкетирате, би било точно да се користи стандардизираниот протокол за далечинско управување SNMP. Користејќи го, можете лесно да ги добиете не само вредностите наведени бројачи, но и други параметри, како што се името и описот на интерфејсот, MAC адресите видливи преку него и други корисни информации. Ова е направено од комуналните услуги на командната линија (snmpwalk), графички SNMP прелистувачи и многу повеќе. комплексни програмимрежен мониторинг (rrdtools, кактуси, zabbix, whats up gold, итн.). Сепак, овој методима два значајни недостатоци:

• Блокирањето на сообраќајот може да се направи само од целосно исклучувањеинтерфејс, користејќи го истиот SNMP
• сообраќајните бројачи земени преку SNMP се однесуваат на збирот на должините на етернет-пакетите (уникаст, емитување и мултикаст одделно), додека остатокот од претходно опишаните алатки даваат вредности во однос на IP пакетите. Ова создава забележливо несовпаѓање (особено на кратки пакети) поради горните трошоци предизвикани од должината на заглавието на Ethernet (сепак, ова може приближно да се бори: L3_byte = L2_byte - L2_packets * 38).

VPN

Одделно, вреди да се разгледа случајот на кориснички пристап до мрежата со експлицитно воспоставување врска со пристапниот сервер. Класичен пример е стариот добар dial-up, чиј аналог во модерен светсе VPN услуги Далечински пристап(PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


Уредот за пристап не само што го насочува корисничкиот IP сообраќај, туку и делува како специјализиран VPN сервер и ги завршува логичките тунели (често шифрирани) во кои се пренесува корисничкиот сообраќај.
За да го земете предвид таквиот сообраќај, можете да ги користите сите алатки опишани погоре (и тие се добро прилагодени за длабока анализа по пристаништа/протоколи), како и дополнителни механизми кои обезбедуваат алатки за контрола на пристап до VPN. Пред сè, ќе зборуваме за протоколот RADIUS. Неговата работа е прилично сложена тема. Накратко ќе споменеме дека контролата (овластувањето) на пристап до VPN серверот (RADIUS клиент) е контролирана од специјална апликација(RADIUS сервер), кој има база на податоци зад себе (текстуална датотека, SQL, Активен директориум) им овозможи на корисниците со нивните атрибути (ограничувања на брзината на поврзување, доделени IP адреси). Покрај процесот на овластување, клиентот периодично пренесува сметководствени пораки до серверот, информации за состојбата на секоја сесија на VPN во моментот, вклучувајќи бројачи на пренесени бајти и пакети.

Заклучок

Ајде да ги собереме сите методи за собирање информации за сообраќајот опишани погоре заедно:

Да резимираме. Во пракса постои голем број наметоди за поврзување на мрежата што ја управувате (со клиенти или претплатници на канцеларија) со надворешна мрежна инфраструктура, користејќи голем број пристапни средства - софтверски и хардверски рутери, прекинувачи, VPN сервери. Сепак, во речиси секој случај, можете да излезете со шема каде информациите за сообраќајот што се пренесува преку мрежата може да се насочат кон софтвер или хардвернејзината анализа и управување. Исто така, можно е оваа алатка да овозможи повратни информации до уредот за пристап, користејќи интелигентни алгоритми за ограничување на пристапот за поединечни клиенти, протоколи и други работи.
Тука ќе ја завршам анализата на материјалот. Останатите неодговорени теми се:

• како и каде одат собраните податоци за сообраќајот
• софтвер за сметководство за сообраќај
• Која е разликата помеѓу наплата и едноставен „шалтер“
• Како можете да наметнете ограничувања во сообраќајот?
• сметководство и ограничување на посетените веб-страници

Ознаки: Додадете ознаки