Program untuk memantau trafik Internet Windows. Bagaimana untuk menjejaki trafik pada rangkaian

Ramai pentadbir rangkaian sering menghadapi masalah yang boleh diselesaikan dengan menganalisis trafik rangkaian. Dan di sini kita menemui konsep sedemikian sebagai penganalisis trafik. Jadi apa itu?

Penganalisis dan pengumpul NetFlow ialah alat yang membantu anda memantau dan menganalisis data trafik rangkaian. Penganalisis proses rangkaian membolehkan anda mengenal pasti peranti yang mengurangkan daya pemprosesan saluran dengan tepat. Mereka tahu cara mencari kawasan masalah dalam sistem anda, dan meningkatkan kecekapan rangkaian keseluruhan.

istilah " NetFlow" merujuk kepada protokol Cisco yang direka untuk mengumpul maklumat trafik IP dan memantau trafik rangkaian. NetFlow telah diterima pakai sebagai protokol standard untuk teknologi penstriman.

Perisian NetFlow mengumpul dan menganalisis data aliran yang dijana oleh penghala dan membentangkannya dalam format yang mesra pengguna.

Beberapa vendor peralatan rangkaian lain mempunyai protokol mereka sendiri untuk pemantauan dan pengumpulan data. Sebagai contoh, Juniper, satu lagi vendor peranti rangkaian yang sangat dihormati, memanggil protokolnya " Aliran J". HP dan Fortinet menggunakan istilah " s-Aliran". Walaupun protokol dipanggil berbeza, mereka semua berfungsi dengan cara yang sama. Dalam artikel ini, kita akan melihat 10 penganalisis trafik rangkaian percuma dan pengumpul NetFlow untuk Windows.

SolarWinds Penganalisis Trafik NetFlow Masa Nyata

Penganalisis Trafik NetFlow Percuma adalah salah satu alat paling popular yang tersedia untuk muat turun percuma. Ia memberi anda keupayaan untuk mengisih, menandai dan memaparkan data dalam pelbagai cara. Ini membolehkan anda memvisualisasikan dan menganalisis trafik rangkaian dengan mudah. Alat ini bagus untuk memantau trafik rangkaian mengikut jenis dan tempoh masa. Serta menjalankan ujian untuk menentukan jumlah trafik yang digunakan oleh pelbagai aplikasi.

ini alat percuma terhad kepada satu antara muka pemantauan NetFlow dan hanya menyimpan 60 minit data. Penganalisis Netflow ini ialah alat berkuasa yang berbaloi untuk digunakan.

Percuma Colasoft Capsa

Penganalisis trafik LAN percuma ini membolehkan anda mengenal pasti dan memantau lebih 300 protokol rangkaian, dan membolehkan anda membuat laporan tersuai. Ia termasuk pemantauan E-mel dan rajah jujukan penyegerakan TCP, semua ini dikumpulkan dalam satu panel yang boleh disesuaikan.

Ciri-ciri lain termasuk analisis keselamatan rangkaian. Contohnya, menjejaki serangan DoS/DDoS, aktiviti cacing dan pengesanan serangan ARP. Serta penyahkodan paket dan paparan maklumat, data statistik tentang setiap hos pada rangkaian, kawalan pertukaran paket dan pembinaan semula aliran. Capsa Free menyokong semua 32-bit dan 64-bit Versi Windows XP.

Keperluan sistem minimum untuk pemasangan: 2 GB memori capaian rawak dan pemproses 2.8 GHz. Anda juga mesti mempunyai sambungan Ethernet ke Internet ( mematuhi NDIS 3 atau lebih tinggi), Ethernet pantas atau Gigabit dengan pemacu mod campuran. Ia membolehkan anda menangkap secara pasif semua paket yang dihantar melalui kabel Ethernet.

Pengimbas IP Marah

Ini ialah penganalisis trafik Windows dengan open kod sumber, cepat dan mudah digunakan. Ia tidak memerlukan pemasangan dan boleh digunakan pada Linux, Windows dan Mac OSX. Alat ini berfungsi dengan hanya ping setiap alamat IP dan boleh menentukan alamat MAC, mengimbas port, memberikan maklumat NetBIOS, menentukan pengguna yang dibenarkan V sistem Windows, temui pelayan web dan banyak lagi. Keupayaannya diperluas menggunakan pemalam Java. Data imbasan boleh disimpan ke fail CSV, TXT, XML.

ManageEngine NetFlow Analyzer Professional

Versi lengkap perisian NetFlow ManageEngines. Ia berkuasa perisian dengan rangkaian penuh fungsi untuk analisis dan pengumpulan data: pemantauan lebar jalur saluran dalam masa nyata dan pemberitahuan tentang mencapai nilai ambang, yang membolehkan anda mentadbir proses dengan cepat. Selain itu, ia menyediakan data ringkasan tentang penggunaan sumber, pemantauan aplikasi dan protokol, dan banyak lagi.

Versi percuma Penganalisis trafik Linux membenarkan penggunaan produk tanpa had selama 30 hari, selepas itu anda boleh memantau hanya dua antara muka. Keperluan Sistem untuk NetFlow Analyzer ManageEngine bergantung pada kadar aliran. Keperluan yang disyorkan untuk kadar aliran minimum dari 0 hingga 3000 utas sesaat: pemproses dwi teras 2.4 GHz, 2 GB RAM dan 250 GB ruang kosong pada cakera keras anda. Apabila kelajuan aliran yang akan dipantau meningkat, keperluan juga meningkat.

Lelaki itu

Aplikasi ini popular monitor rangkaian, dibangunkan oleh MikroTik. Ia mengimbas semua peranti secara automatik dan mencipta semula peta rangkaian. The Dude memantau pelayan berjalan pelbagai peranti, dan memberi amaran sekiranya berlaku masalah. Ciri-ciri lain termasuk pengesanan automatik dan paparan peranti baharu, keupayaan untuk mencipta kad sendiri, akses kepada alatan untuk pengurusan peranti jauh dan banyak lagi. Ia berjalan pada Windows Wain Linux dan MacOS Darwine.

Penganalisis Rangkaian JDSU Fast Ethernet

Program penganalisis trafik ini membolehkan anda mengumpul dan melihat data rangkaian dengan cepat. Alat ini menyediakan keupayaan untuk melihat pengguna berdaftar, menentukan tahap penggunaan lebar jalur rangkaian oleh peranti individu dan mencari dan membetulkan ralat dengan cepat. Dan juga menangkap data dalam masa nyata dan menganalisisnya.

Aplikasi ini menyokong penciptaan graf dan jadual yang sangat terperinci yang membolehkan pentadbir memantau anomali trafik, menapis data untuk menapis volum data yang besar dan banyak lagi. Alat ini adalah untuk pakar tahap kemasukan, dan juga untuk pentadbir berpengalaman, membolehkan anda mengawal rangkaian sepenuhnya.

Plixer Scrutinizer

Penganalisis trafik rangkaian ini membolehkan anda mengumpul dan menganalisis trafik rangkaian secara menyeluruh, serta mencari dan membetulkan ralat dengan cepat. Dengan Scrutinizer, anda boleh mengisih data anda dalam pelbagai cara, termasuk mengikut selang masa, hos, aplikasi, protokol dan banyak lagi. Versi percuma membolehkan anda mengawal bilangan antara muka yang tidak terhad dan menyimpan data untuk aktiviti 24 jam.

Wireshark

Wireshark berkuasa penganalisis rangkaian boleh dijalankan pada Linux, Windows, MacOS X, Solaris dan platform lain. Wireshark membolehkan anda melihat data yang ditangkap menggunakan GUI, atau gunakan utiliti TShark mod TTY. Ciri-cirinya termasuk pengumpulan dan analisis trafik VoIP, paparan masa nyata Ethernet, IEEE 802.11, Bluetooth, USB, data Frame Relay, XML, PostScript, output data CSV, sokongan penyahsulitan dan banyak lagi.

Keperluan sistem: Windows XP dan lebih tinggi, mana-mana pemproses moden 64/32-bit, 400 Mb RAM dan 300 Mb ruang kosong ruang cakera. Wireshark NetFlow Analyzer ialah alat yang berkuasa, yang boleh memudahkan kerja mana-mana pentadbir rangkaian dengan ketara.

Paessler PRTG

Penganalisis trafik ini menyediakan pengguna dengan banyak fungsi yang berguna: menyokong pemantauan LAN, WAN, VPN, aplikasi, pelayan maya,QoS dan persekitaran. Pemantauan berbilang tapak juga disokong. PRTG menggunakan SNMP, WMI, NetFlow, SFlow, JFlow dan analisis paket, serta pemantauan uptime/downtime dan sokongan IPv6.

Versi percuma membolehkan anda menggunakan bilangan penderia yang tidak terhad selama 30 hari, selepas itu anda hanya boleh menggunakan sehingga 100 secara percuma.

nProbe

Ia adalah aplikasi penjejakan dan analisis NetFlow sumber terbuka berciri penuh.

nProbe menyokong IPv4 dan IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, mengandungi fungsi untuk analisis trafik VoIP, pensampelan aliran dan paket, penjanaan log, aktiviti MySQL/Oracle dan DNS, dan banyak lagi. Aplikasi ini percuma jika anda memuat turun dan menyusun penganalisis trafik pada Linux atau Windows. Fail boleh laku Tetapan mengehadkan volum tangkapan kepada 2000 paket. nProbe adalah percuma sepenuhnya untuk institusi pendidikan, serta organisasi bukan untung dan saintifik. Alat ini akan berfungsi pada versi 64-bit sistem pengendalian sistem Linux dan Windows.

Mudah disediakan!
Graf penggunaan masa nyata.
Kawal semua peranti daripada satu PC.
Pemberitahuan apabila melebihi had.
Menyokong pembilang WMI, SNMPv1/2c/3 dan 64-bit.
Tentukan siapa yang memuat turun dan dari mana.
Semak pembekal anda!

"10-Strike: Perakaunan Trafik" ialah program mudah untuk mengawal penggunaan trafik pada komputer, suis, pelayan pada rangkaian di perusahaan dan juga di rumah (3 sensor boleh dipantau secara percuma dalam versi Percubaan walaupun selepas tempoh percubaan 30 hari telah tamat). Pantau volum masuk dan keluar menggunakan trafik pada komputer di seluruh rangkaian tempatan anda, termasuk. apabila mengakses Internet.

Program ini sentiasa mengumpul statistik daripada hos rangkaian mengenai trafik masuk dan keluar dan memaparkan dalam masa nyata dinamik perubahan dalam kelajuan pemindahan data pada antara muka rangkaian dalam bentuk graf dan jadual.

Dengan program perakaunan kami, anda boleh mengesan pengguna tidak bertanggungjawab yang menggunakan banyak trafik Internet dalam organisasi anda. Pelanggaran disiplin buruh oleh pekerja membawa kepada produktiviti buruh menurun. Analisis ringkas penggunaan trafik pada komputer pekerja akan membolehkan anda mengenal pasti pengguna rangkaian yang paling aktif. Apabila menggunakan penderia WMI, anda tidak perlu memasang apa-apa pun pada komputer rangkaian, anda hanya memerlukan kata laluan pentadbir.

Malangnya, di negara kita trafik Internet untuk entiti undang-undang belum lagi murah di mana-mana. Ia sering berlaku bahawa aktiviti Internet pengguna yang berlebihan (selalunya tidak berkaitan dengan proses kerja) membawa kepada kos lebihan organisasi untuk membayar sambungan. Menggunakan program kami akan membantu menghalang perniagaan anda daripada menerima bil Internet yang tinggi tanpa diduga. Anda boleh menyesuaikan pemberitahuan untuk penggunaan jumlah trafik tertentu komputer pada rangkaian dalam satu tempoh masa.

Awak boleh perhatikan graf kelajuan trafik masuk dan keluar komputer dan peranti rangkaian pada skrin dalam masa nyata. Boleh dilakukan dengan segera tentukan siapa yang menghabiskan paling banyak trafik dan menyumbat saluran.

Program ini sentiasa memantau penggunaan trafik pada komputer rangkaian dan boleh memberitahu anda apabila syarat tertentu dipenuhi, yang boleh anda tanya. Contohnya, jika jumlah trafik yang digunakan oleh mana-mana komputer melebihi nilai yang ditentukan, atau purata kelajuan pemindahan maklumat untuk tempoh tertentu di atas/di bawah nilai ambang. Apabila syarat yang ditentukan dipenuhi, program akan memberitahu anda dengan salah satu cara berikut:

memaparkan mesej pada skrin komputer;
isyarat bunyi;
menghantar mesej e-mel;
menulis ke fail log program;
kemasukan ke Log Peristiwa sistem.

Selain itu, program perakaunan trafik boleh laksanakan tindakan tertentu apabila syarat dipenuhi: jalankan program, jalankan skrip VB atau JS, mulakan semula perkhidmatan, mulakan semula komputer, dsb.

Semasa program pemantauan berfungsi mengumpul statistik penggunaan trafik komputer rangkaian. Anda boleh mengetahui pada bila-bila masa siapa dan berapa banyak trafik yang digunakan pada bila-bila masa, dan apakah kelajuan pemindahan data yang dicapai. Graf kelajuan muat turun/muat naik trafik, serta jadual penggunaan trafik, boleh dibina untuk sebarang tempoh masa atau tarikh.

Anugerah

Pada bulan Februari 2015, versi bahasa Inggeris program ini memperoleh anugerah - finalis dalam pertandingan "Anugerah Pengkomputeran Rangkaian 2015" majalah British popular "Pengkomputeran Rangkaian" dalam kategori "Produk Pengoptimuman IT Tahun Ini".

Apabila membeli lesen anda akan menerima langganan kemas kini percuma program dan teknikal sokongan selama setahun.

Muat turun versi 30 hari percuma sekarang dan cuba! Windows XP/2003/Vista/2008/7/8.1/2012/10/2016 disokong.

Terdapat banyak program untuk menjejak trafik pada rangkaian tempatan: berbayar dan percuma, sangat berbeza dalam fungsi. Salah satu yang paling popular Sumber terbuka program – SAMS. Dia bekerja untuk platform Linux dengan kerjasama Sotong.

SAMS memerlukan PHP5, kami akan gunakan Pelayan Ubuntu 14.04. Kami memerlukan pakej Squid, Apache2, PHP5 dengan modul.

Perakaunan lalu lintas Internet pada rangkaian tempatan Linux

Mari cuba fikirkan bagaimana ia berfungsi.

Squid mengedarkan Internet, menerima permintaan pada port 3128. Pada masa yang sama, ia menulis akses log terperinci.log. Semua kawalan dijalankan melalui fail squid.conf. Sotong punya kemungkinan yang luas mengenai kawalan capaian Internet: kawalan capaian mengikut alamat, kawalan lebar jalur untuk alamat tertentu, kumpulan alamat dan rangkaian.

SAMS berfungsi berdasarkan analisis log Pelayan proksi sotong. Sistem perakaunan trafik rangkaian tempatan memantau statistik pelayan proksi dan, menurut dasar yang ditetapkan, membuat keputusan untuk menyekat, menyahsekat atau mengehadkan kelajuan untuk klien Squid.

Memasang SAMS

Memasang pakej.

apt-get install apache2 php5 php5-mysql mysql-server php5-gd squid3

Muat turun dan pasang SAMS

wget https://github.com/inhab-magnus/sams2-deb/archive/master.zip

nyahzip master.zip

cd sams2-deb-master/

dpkg -i sams2_2.0.0-1.1_amd64.deb

Memasang antara muka web

dpkg -i apache2/sams2-web_2.0.0-1.1_all.deb

Kami membuat perubahan pada fail /etc/sams2.conf.

DB_PASSWORD=/kata laluan MySql/

Melancarkan SAMS

servis sams2 mula

Menyediakan Sotong

Kami membuat perubahan pada fail /etc/squid3/squid.conf

http_port 192.168.0.110:3128
cache_dir ufs /var/spool/squid3 2048 16 256

Kami mendayakan pembalakan dan putaran log dengan storan selama 31 hari.

access_log daemon:/var/log/squid3/access.log sotong

logfile_putar 31

Hentikan Sotong, buat cache.

layan sotong3 singgah

layan sotong3 mula

Untuk kemurnian percubaan, kami mengkonfigurasi salah satu penyemak imbas untuk berfungsi dengan proksi 192.168.0.110 melalui port 3128. Setelah mencuba menyambung, kami menerima penolakan sambungan - Squid tidak mempunyai hak akses proksi yang dikonfigurasikan.

Persediaan SAMS awal

Dalam pelayar lain, buka alamat (192.168.0.110 – alamat pelayan).

http://192.168.0.110/sams2

Dia akan memberitahu kami bahawa dia tidak boleh menyambung ke pangkalan data dan akan menawarkan untuk melaksanakan pemasangan.

Kami menentukan pelayan pangkalan data (127.0.0.1), log masuk dan kata laluan untuk MySql.

Persediaan awal sistem perakaunan trafik telah selesai. Yang tinggal hanyalah mengkonfigurasi program.

Pemantauan trafik rangkaian tempatan

Log masuk ke sistem sebagai pentadbir (admin/qwerty).

Perlu disebut dengan segera tentang kebenaran pengguna.

Di cawangan Squid, buka pelayan proksi dan klik butang "Konfigurasikan pelayan proksi" di bahagian bawah.

Perkara yang paling penting di sini ialah untuk menunjukkan alamat IP anda dalam alamat folder dan fail jika perlu, jika tidak pelayan proksi tidak akan bermula.

Intipati semua perubahan pada tetapan SAMS ialah ia ditulis kepada squid.conf. Sams2deamon berjalan di latar belakang, yang memantau perubahan dalam tetapan yang memerlukan kemasukan ke dalam fail konfigurasi (anda juga boleh menetapkan selang penjejakan di sana).

Isikan medan "Pengguna" dan "Alamat IP". Mari kita ambil IP yang sama dengan nama pengguna (IP komputer, bukan pelayan!). Dalam medan "Trafik yang dibenarkan" kami masukkan "0", iaitu, tanpa sekatan. Kami meninggalkan semua bidang lain.

Acl baharu akan ditambahkan untuk alamat IP ini dan kebenaran untuk bekerja melalui Squid. Jika konfigurasi tidak diubah secara automatik, pergi ke cawangan proksi dan klik butang "Reconfigure Squid". Perubahan pada konfigurasi akan dibuat secara manual.

Kami cuba membuka mana-mana URL dalam penyemak imbas. Kami menyemak access.log dan melihat permintaan yang diproses oleh proksi. Untuk menyemak operasi SAMS, buka halaman "Pengguna" dan klik butang "Kira semula trafik pengguna" di bahagian bawah.

Menggunakan butang di bawah untuk mengurus statistik, anda boleh mendapatkan maklumat terperinci mengikut statistik lawatan pengguna ke halaman.

Artikel ini akan melihat penyelesaian perisian yang akan membantu anda mengawal trafik anda. Terima kasih kepada mereka, anda boleh melihat ringkasan penggunaan sambungan Internet anda proses berasingan dan hadkan keutamaannya. Tidak perlu melihat laporan yang direkodkan pada PC dengan perisian khas yang dipasang dalam OS - ini boleh dilakukan dari jauh. Ia tidak akan menjadi masalah untuk mengetahui kos sumber yang digunakan dan banyak lagi.

Perisian daripada SoftPerfect Research yang membolehkan anda mengawal trafik yang digunakan. Program ini menyediakan tetapan tambahan, yang memungkinkan untuk melihat maklumat tentang megabait yang digunakan untuk hari atau minggu tertentu, waktu puncak dan luar puncak. Adalah mungkin untuk melihat penunjuk kelajuan masuk dan keluar, data diterima dan dihantar.

Alat ini akan berguna terutamanya dalam kes di mana 3G atau LTE bermeter digunakan, dan, oleh itu, sekatan diperlukan. Jika anda mempunyai lebih daripada satu akaun, statistik tentang setiap pengguna individu akan dipaparkan.

Meter DU

Permohonan untuk mengesan penggunaan sumber daripada web seluruh dunia. Di kawasan kerja anda akan melihat kedua-dua isyarat masuk dan keluar. Dengan menyambung akaun perkhidmatan dumeter.net, yang ditawarkan oleh pembangun, anda boleh mengumpul statistik mengenai penggunaan aliran maklumat dari Internet dari semua PC. Tetapan fleksibel akan membantu anda menapis strim dan menghantar laporan ke e-mel anda.

Parameter membolehkan anda menentukan sekatan apabila menggunakan sambungan ke World Wide Web. Selain itu, anda boleh menentukan kos pakej perkhidmatan yang disediakan oleh pembekal anda. Terdapat manual pengguna di mana anda akan menemui arahan untuk bekerja dengan kefungsian program yang sedia ada.

Pemantau Trafik Rangkaian

Utiliti yang memaparkan laporan penggunaan rangkaian dengan set alat ringkas tanpa memerlukan pemasangan terlebih dahulu. Tetingkap utama memaparkan statistik dan ringkasan sambungan yang mempunyai akses Internet. Aplikasi boleh menyekat strim dan mengehadkannya, membolehkan pengguna menentukan nilai mereka sendiri. Dalam tetapan anda boleh menetapkan semula sejarah yang direkodkan. Adalah mungkin untuk merekodkan statistik sedia ada dalam fail log. Senjata fungsi yang diperlukan akan membantu anda merakam kelajuan muat turun dan muat naik.

TrafficMonitor

Aplikasi ini merupakan penyelesaian yang sangat baik untuk melawan aliran maklumat daripada rangkaian. Terdapat banyak penunjuk yang menunjukkan jumlah data yang digunakan, output, kelajuan, nilai maksimum dan purata. Tetapan perisian membolehkan anda menentukan kos volum maklumat yang digunakan pada masa ini.

Laporan yang dijana akan mengandungi senarai tindakan yang berkaitan dengan sambungan. Graf dipaparkan dalam tetingkap yang berasingan, dan skala dipaparkan dalam masa nyata anda akan melihatnya di atas semua program tempat anda bekerja. Penyelesaiannya adalah percuma dan mempunyai antara muka bahasa Rusia.

NetLimiter

Program tersebut telah reka bentuk moden dan fungsi yang berkuasa. Apa yang menjadikannya istimewa ialah ia menyediakan laporan yang menyediakan ringkasan penggunaan trafik bagi setiap proses yang dijalankan pada PC. Statistik disusun dengan sempurna mengikut tempoh yang berbeza, dan oleh itu ia akan menjadi sangat mudah untuk mencari tempoh masa yang dikehendaki.

Jika NetLimiter dipasang pada komputer lain, anda boleh menyambung kepadanya dan mengawal tembok apinya dan fungsi lain. Untuk mengautomasikan proses dalam aplikasi, peraturan yang dibuat oleh pengguna digunakan. Dalam penjadual, anda boleh membuat had anda sendiri apabila menggunakan perkhidmatan pembekal, serta menyekat akses kepada rangkaian global dan tempatan.

DUTraffic

Keistimewaan perisian ini ialah ia memaparkan statistik lanjutan. Terdapat maklumat tentang sambungan dari mana pengguna log masuk ruang global, sesi dan tempohnya, serta tempoh penggunaan dan banyak lagi. Semua laporan disertakan dengan maklumat dalam bentuk gambar rajah yang menonjolkan tempoh penggunaan trafik dari semasa ke semasa. Dalam parameter anda boleh menyesuaikan hampir semua elemen reka bentuk.

Graf yang dipaparkan dalam kawasan tertentu dikemas kini dalam mod detik demi saat. Malangnya, utiliti itu tidak disokong oleh pembangun, tetapi mempunyai bahasa antara muka Rusia dan diedarkan secara percuma.

BWMeter

Program ini memantau muat turun/muat naik dan kelajuan sambungan sedia ada. Menggunakan penapis memaparkan amaran jika proses dalam OS menggunakan sumber rangkaian. Pelbagai penapis digunakan untuk menyelesaikan banyak masalah yang berbeza. Pengguna akan dapat menyesuaikan sepenuhnya graf yang dipaparkan mengikut budi bicara mereka.

Antara lain, antara muka menunjukkan tempoh penggunaan trafik, penerimaan dan kelajuan muat naik, serta minimum dan nilai maksimum. Utiliti boleh dikonfigurasikan untuk memaparkan makluman apabila peristiwa seperti bilangan megabait yang dimuat turun dan masa sambungan berlaku. Dengan memasukkan alamat tapak dalam baris yang sesuai, anda boleh menyemak pingnya, dan hasilnya ditulis pada fail log.

BitMeter II

Penyelesaian untuk menyediakan ringkasan penggunaan perkhidmatan pembekal. Data tersedia dalam kedua-dua format jadual dan grafik. Parameter mengkonfigurasi makluman untuk peristiwa yang berkaitan dengan kelajuan sambungan dan aliran yang digunakan. Untuk kemudahan penggunaan, BitMeter II membolehkan anda mengira berapa lama masa yang diperlukan untuk memuat turun jumlah data yang anda masukkan dalam megabait.

Fungsi ini membolehkan anda menentukan berapa banyak volum tersedia yang ditinggalkan disediakan oleh pembekal, dan apabila had dicapai, mesej tentang ini dipaparkan dalam bar tugas. Selain itu, muat turun boleh dihadkan dalam tab parameter, dan anda juga boleh memantau statistik dari jauh dalam mod penyemak imbas.

diserahkan produk perisian akan menjadi amat diperlukan dalam memantau penggunaan sumber Internet. Kefungsian aplikasi akan membantu anda membuat laporan terperinci, dan laporan yang dihantar melalui e-mel tersedia untuk dilihat pada bila-bila masa yang sesuai.

Mana-mana pentadbir lambat laun menerima arahan daripada pihak pengurusan: "kira siapa yang pergi ke dalam talian dan berapa banyak yang mereka muat turun." Bagi pembekal, ia dilengkapi dengan tugas "membiarkan sesiapa yang memerlukannya masuk, menerima bayaran, mengehadkan akses." Apa yang perlu dikira? Bagaimana? di mana? Terdapat banyak maklumat serpihan, ia tidak berstruktur. Kami akan menyelamatkan pentadbir baru daripada carian yang membosankan dengan memberikannya pengetahuan am, dan pautan yang berguna untuk material.
Dalam artikel ini saya akan cuba menerangkan prinsip mengatur pengumpulan, perakaunan dan kawalan trafik pada rangkaian. Kami akan melihat isu tersebut dan menyenaraikan cara yang mungkin untuk mendapatkan maklumat daripada peranti rangkaian.

Ini adalah artikel teori pertama dalam siri artikel yang dikhaskan untuk pengumpulan, perakaunan, pengurusan dan pengebilan trafik dan sumber IT.

Struktur capaian Internet

Secara umum, struktur akses rangkaian kelihatan seperti ini:

Sumber luaran - Internet, dengan semua tapak, pelayan, alamat dan perkara lain yang bukan milik rangkaian yang anda kawal.
Akses peranti – penghala (perkakasan atau berasaskan PC), suis, pelayan VPN atau penumpu.
Sumber dalaman ialah satu set komputer, subnet, pelanggan yang operasinya pada rangkaian mesti diambil kira atau dikawal.
Pelayan pengurusan atau perakaunan ialah peranti yang menggunakan perisian khusus. Boleh digabungkan secara fungsional dengan penghala perisian.

Dalam struktur ini, trafik rangkaian berlalu dari sumber luar kepada yang dalaman, dan belakang, melalui peranti capaian. Ia menghantar maklumat trafik ke pelayan pengurusan. Pelayan kawalan memproses maklumat ini, menyimpannya dalam pangkalan data, memaparkannya, dan mengeluarkan arahan menyekat. Walau bagaimanapun, tidak semua gabungan peranti capaian (kaedah) dan kaedah pengumpulan dan kawalan adalah serasi. TENTANG pelbagai pilihan dan akan dibincangkan di bawah.

Trafik rangkaian

Pertama, anda perlu menentukan apa yang dimaksudkan dengan "trafik rangkaian" dan perkara yang berguna maklumat statistik boleh diekstrak daripada aliran data pengguna.
Protokol dominan kerja internet IP versi 4 kekal buat masa ini. Protokol IP sepadan dengan lapisan 3 model OSI (L3). Maklumat (data) antara pengirim dan penerima dibungkus ke dalam paket - mempunyai pengepala dan "muatan". Pengepala menentukan tempat dan ke mana dia pergi paket (alamat IP penghantar dan penerima), saiz paket, jenis muatan. Sebahagian besar trafik rangkaian terdiri daripada paket dengan muatan UDP dan TCP - ini adalah protokol Lapisan 4 (L4). Sebagai tambahan kepada alamat, pengepala kedua-dua protokol ini mengandungi nombor port, yang menentukan jenis perkhidmatan (aplikasi) menghantar data.

Untuk menghantar paket IP melalui wayar (atau radio), peranti rangkaian terpaksa "membungkus" (merangkum) dalam paket protokol Lapisan 2 (L2). Protokol yang paling biasa jenis ini ialah Ethernet. Pemindahan sebenar"ke wayar" pergi pada tahap 1. Biasanya, peranti capaian (penghala) tidak menganalisis pengepala paket pada tahap yang lebih tinggi daripada tahap 4 (dengan pengecualian tembok api pintar).
Maklumat daripada medan alamat, port, protokol dan pembilang panjang daripada pengepala L3 dan L4 bagi paket data merupakan "bahan mentah" yang digunakan dalam perakaunan dan pengurusan trafik. Sebenarnya kelantangan maklumat yang dihantar ditemui dalam medan Panjang pengepala IP (termasuk panjang pengepala itu sendiri). Dengan cara ini, disebabkan pemecahan paket disebabkan oleh mekanisme MTU, jumlah data yang dihantar sentiasa saiz yang lebih besar muatan.

Jumlah panjang medan IP dan TCP/UDP bagi paket yang menarik bagi kami dalam konteks ini ialah 2...10% daripada jumlah panjang paket. Jika anda memproses dan menyimpan semua kumpulan maklumat ini mengikut kelompok, sumber tidak akan mencukupi. Nasib baik, sebahagian besar trafik distrukturkan untuk terdiri daripada satu siri "perbualan" antara peranti rangkaian luaran dan dalaman, yang dipanggil "aliran." Contohnya, dalam satu operasi pemajuan emel(protokol SMTP) sesi TCP dibuka antara klien dan pelayan. Ia dicirikan oleh set parameter yang berterusan (alamat IP sumber, port TCP sumber, alamat IP destinasi, port TCP destinasi). Daripada memproses dan menyimpan paket maklumat mengikut paket, lebih mudah untuk menyimpan parameter aliran (alamat dan port), serta maklumat tambahan - bilangan dan jumlah panjang paket yang dihantar dalam setiap arah, secara pilihan tempoh sesi, antara muka penghala indeks, nilai medan ToS, dsb. Pendekatan ini bermanfaat untuk protokol berorientasikan sambungan (TCP), di mana adalah mungkin untuk memintas secara eksplisit penamatan sesi. Walau bagaimanapun, walaupun untuk protokol bukan berorientasikan sesi, adalah mungkin untuk melaksanakan pengagregatan dan penyiapan logik rekod aliran berdasarkan, sebagai contoh, tamat masa. Di bawah ialah petikan daripada pangkalan data SQL sistem pengebilan kami sendiri, yang merekodkan maklumat tentang aliran trafik:

Perlu diperhatikan kes apabila peranti capaian melakukan terjemahan alamat (NAT, menyamar) untuk mengatur capaian Internet untuk komputer rangkaian tempatan menggunakan satu, luaran, alamat IP awam. Dalam kes ini, mekanisme khas menggantikan alamat IP dan port TCP/UDP paket trafik, menggantikan alamat dalaman (tidak boleh dihalakan di Internet) mengikut jadual dinamik siaran. Dalam konfigurasi ini, perlu diingat bahawa untuk merekodkan data dengan betul pada hos rangkaian dalaman, statistik mesti dikumpulkan dengan cara dan di tempat di mana hasil terjemahan belum lagi "menganonimkan" alamat dalaman.

Kaedah untuk mengumpul maklumat trafik/statistik

Anda boleh menangkap dan memproses maklumat tentang menghantar trafik terus pada peranti capaian itu sendiri (penghala PC, pelayan VPN), memindahkannya daripada peranti ini ke pelayan berasingan(NetFlow, SNMP), atau "dari wayar" (ketik, SPAN). Mari lihat semua pilihan mengikut urutan.

penghala PC

Mari kita pertimbangkan kes paling mudah - peranti akses (penghala) berdasarkan PC yang menjalankan Linux.

Bagaimana untuk menyediakan pelayan sedemikian, terjemahan alamat dan penghalaan, banyak yang telah ditulis. Kami berminat dengan langkah logik seterusnya - maklumat tentang cara mendapatkan maklumat tentang lalu lintas yang melalui pelayan sedemikian. Terdapat tiga kaedah biasa:

memintas (menyalin) paket yang melalui kad rangkaian pelayan menggunakan perpustakaan libpcap
memintas paket yang melalui tembok api terbina dalam
penggunaan alat pihak ketiga menukar statistik paket demi paket (diperolehi oleh salah satu daripada dua kaedah sebelumnya) kepada aliran maklumat aliran bersih agregat

Libpcap

Dalam kes pertama, salinan paket yang melalui antara muka, selepas melepasi penapis (man pcap-filter), boleh diminta oleh program klien pada pelayan yang ditulis menggunakan perpustakaan ini. Paket tiba dengan pengepala lapisan 2 (Ethernet). Adalah mungkin untuk mengehadkan panjang maklumat yang ditangkap (jika kita hanya berminat dengan maklumat daripada pengepalanya). Contoh program sedemikian ialah tcpdump dan Wireshark. Terdapat pelaksanaan libpcap untuk Windows. Jika terjemahan alamat digunakan pada penghala PC, pemintasan tersebut hanya boleh dilakukan pada penghala tersebut antara muka dalaman, berhubung dengan pengguna tempatan. hidup antara muka luaran,Selepas disiarkan, paket IP tidak mengandungi maklumat tentang ,hos dalaman rangkaian. Walau bagaimanapun, dengan kaedah ini adalah mustahil untuk mengambil kira trafik yang dibuat oleh pelayan itu sendiri di Internet (yang penting jika ia menjalankan web atau Perkhidmatan pos).

libpcap memerlukan sokongan luar sistem operasi, yang pada masa ini sama dengan memasang pustaka tunggal. Dalam kes ini, program aplikasi (pengguna) yang mengumpul pakej mesti:

buka antara muka yang diperlukan
tentukan penapis untuk dilalui menerima paket, saiz bahagian yang ditangkap (snaplen), saiz penampan,
tetapkan parameter promisc, yang meletakkan antara muka rangkaian ke dalam mod tangkapan untuk semua paket yang berlalu, dan bukan hanya yang dialamatkan ke alamat MAC antara muka ini
tetapkan fungsi (panggilan balik) yang dipanggil pada setiap paket yang diterima.

Apabila paket dihantar melalui antara muka yang dipilih, selepas melepasi penapis, fungsi ini menerima penimbal yang mengandungi Ethernet, (VLAN), IP, dsb. tajuk, saiz keseluruhan untuk snaplen. Oleh kerana perpustakaan libcap menyalin paket, ia tidak boleh digunakan untuk menyekat laluan mereka. Dalam kes ini, program pengumpulan dan pemprosesan trafik perlu digunakan kaedah alternatif, sebagai contoh, memanggil skrip untuk meletakkan alamat IP yang diberikan dalam peraturan menyekat trafik.

Firewall

Menangkap data yang melalui tembok api membolehkan anda mengambil kira kedua-dua trafik pelayan itu sendiri dan trafik pengguna rangkaian, walaupun semasa terjemahan alamat sedang dijalankan. Perkara utama dalam kes ini ialah merumuskan peraturan tangkapan dengan betul dan memasukkannya ke dalam Tempat yang betul. Peraturan ini mengaktifkan pemajuan paket perpustakaan sistem, dari mana aplikasi perakaunan dan pengurusan trafik boleh menerimanya. Untuk OS Linux, iptables digunakan sebagai tembok api, dan alat pemintasan ialah ipq, netfliter_queue atau ulog. Untuk OC FreeBSD – ipfw dengan peraturan seperti tee atau divert. Walau apa pun, mekanisme tembok api dilengkapi dengan keupayaan untuk bekerja dengan program pengguna dengan cara berikut:

Program pengguna - pengendali trafik - mendaftarkan dirinya dalam sistem menggunakan panggilan sistem atau perpustakaan.
Program pengguna atau skrip luaran memasang peraturan dalam tembok api yang "membungkus" trafik yang dipilih (mengikut peraturan) di dalam pengendali.
Untuk setiap paket yang lulus, pengendali menerima kandungannya dalam bentuk penimbal memori (dengan pengepala IP, dll. Selepas pemprosesan (perakaunan), program juga mesti memberitahu kernel sistem pengendalian apa yang perlu dilakukan seterusnya dengan paket sedemikian - buangnya atau meneruskannya sebagai alternatif, adalah mungkin menghantar paket yang diubah suai kepada kernel.

Oleh kerana paket IP tidak disalin, tetapi dihantar ke perisian untuk analisis, ia menjadi mungkin untuk "mengeluarkan"nya, dan oleh itu, sepenuhnya atau sebahagiannya menyekat lalu lintas jenis tertentu (contohnya, kepada pelanggan rangkaian tempatan yang dipilih). Walau bagaimanapun, jika program aplikasi berhenti bertindak balas kepada kernel mengenai keputusannya (digantung, sebagai contoh), trafik melalui pelayan disekat sahaja.
Perlu diingatkan bahawa mekanisme yang diterangkan, dengan jumlah trafik yang dihantar, menghasilkan beban yang berlebihan pada pelayan, yang dikaitkan dengan penyalinan data yang berterusan dari kernel ke program pengguna. Kaedah mengumpul statistik pada peringkat kernel OS, dengan output statistik agregat kepada program aplikasi melalui protokol NetFlow, tidak mempunyai kelemahan ini.

Aliran bersih

Protokol ini dibangunkan oleh Cisco Systems untuk mengeksport maklumat trafik daripada penghala untuk tujuan perakaunan dan analisis trafik. Versi 5 yang paling popular kini menyediakan penerima dengan aliran data berstruktur dalam bentuk paket UDP yang mengandungi maklumat tentang trafik lalu dalam bentuk yang dipanggil rekod aliran:

Jumlah maklumat tentang trafik adalah beberapa susunan magnitud yang lebih kecil daripada trafik itu sendiri, yang amat penting dalam rangkaian besar dan teragih. Sudah tentu, adalah mustahil untuk menyekat pemindahan maklumat apabila mengumpul statistik melalui aliran bersih (melainkan mekanisme tambahan digunakan).
Pada masa ini, perkembangan lanjut protokol ini semakin popular - versi 9, berdasarkan struktur templat rekod aliran, pelaksanaan untuk peranti daripada pengeluar lain (sFlow). Baru-baru ini, piawaian IPFIX telah diterima pakai, yang membolehkan statistik dihantar melalui protokol pada tahap yang lebih mendalam (contohnya, mengikut jenis aplikasi).
Pelaksanaan sumber aliran bersih (ejen, probe) tersedia untuk penghala PC, kedua-duanya dalam bentuk utiliti yang berfungsi mengikut mekanisme yang diterangkan di atas (flowprobe, softflowd), dan terus dibina ke dalam kernel OS (FreeBSD: ng_netgraph, Linux :) . Untuk penghala perisian, aliran statistik aliran bersih boleh diterima dan diproses secara setempat pada penghala itu sendiri, atau dihantar melalui rangkaian (protokol pemindahan - melalui UDP) ke peranti penerima (pengumpul).

Program pengumpul boleh mengumpul maklumat daripada banyak sumber sekaligus, dapat membezakan trafik mereka walaupun dengan ruang alamat yang bertindih. Menggunakan alat tambahan seperti nprobe, ia juga mungkin untuk menjalankan pengagregatan data tambahan, pendua aliran atau penukaran protokol, yang penting apabila menguruskan rangkaian yang besar dan teragih dengan berpuluh-puluh penghala.

Fungsi eksport aliran Net menyokong penghala daripada Sistem Cisco, Mikrotik dan beberapa yang lain. Fungsi serupa (dengan protokol eksport lain) disokong oleh semua pengeluar utama peralatan rangkaian.

Libpcap "di luar"

Mari rumitkan tugasan sedikit. Bagaimana jika peranti akses anda ialah penghala perkakasan daripada pengeluar lain? Contohnya, D-Link, ASUS, Trendnet, dsb. Kemungkinan besar mustahil untuk memasang tambahan alat perisian pengumpulan data. Sebagai alternatif, anda mempunyai peranti capaian pintar, tetapi tidak mungkin untuk mengkonfigurasinya (anda tidak mempunyai hak, atau ia dikawal oleh pembekal anda). Dalam kes ini, anda boleh mengumpul maklumat trafik terus di tempat peranti akses bertemu rangkaian dalaman, menggunakan cara "perkakasan" untuk menyalin pakej. Dalam kes ini, anda pasti memerlukan pelayan berasingan dengan kad rangkaian khusus untuk menerima salinan paket Ethernet.
Pelayan mesti menggunakan mekanisme pengumpulan paket menggunakan kaedah libpcap yang diterangkan di atas, dan tugas kami adalah untuk menyerahkan aliran data yang sama dengan yang datang dari pelayan akses kepada input kad rangkaian khusus untuk tujuan ini. Untuk ini anda boleh menggunakan:

Ethernet - hab: peranti yang hanya memajukan paket antara semua portnya secara sembarangan. Dalam realiti moden, ia boleh didapati di suatu tempat di gudang berdebu, dan menggunakan kaedah ini tidak disyorkan: ia tidak boleh dipercayai, kelajuan rendah(tiada hab dengan kelajuan 1 Gbit/s)
Ethernet - suis dengan keupayaan untuk mencerminkan (pencerminan, port SPAN. Suis pintar moden (dan mahal) membolehkan anda menyalin semua trafik (masuk, keluar, kedua-duanya) antara muka fizikal lain, VLAN, termasuk jauh (RSPAN) ke yang ditentukan pelabuhan
Pembahagi perkakasan, yang mungkin memerlukan pemasangan untuk mengumpulkan dua kad rangkaian bukannya satu - dan ini adalah tambahan kepada yang utama, sistem satu.

Sememangnya, anda boleh mengkonfigurasi port SPAN pada peranti capaian itu sendiri (penghala), jika ia membenarkannya - Cisco Catalyst 6500, Cisco ASA. Berikut ialah contoh konfigurasi sedemikian untuk suis Cisco:
pantau sesi 1 sumber vlan 100 ! dari mana kita dapat pakej?
memantau antara muka destinasi sesi 1 Gi6/3! di mana kami mengeluarkan pakej?

SNMP

Bagaimana jika kami tidak mempunyai penghala di bawah kawalan kami, kami tidak mahu menghubungi netflow, kami tidak berminat dengan butiran trafik pengguna kami. Mereka hanya disambungkan ke rangkaian melalui suis terurus, dan kami hanya perlu menganggarkan secara kasar jumlah trafik pada setiap portnya. Seperti yang anda ketahui, peranti rangkaian dengan sokongan alat kawalan jauh dan boleh memaparkan pembilang paket (bait) yang melalui antara muka rangkaian. Untuk meninjau mereka, adalah betul untuk menggunakan protokol pengurusan jauh piawai SNMP. Menggunakannya anda boleh dengan mudah mendapatkan bukan sahaja nilai kaunter yang ditentukan, tetapi juga parameter lain, seperti nama dan perihalan antara muka, alamat MAC yang boleh dilihat melaluinya, dan lain-lain informasi berguna. Ini dilakukan oleh utiliti baris arahan (snmpwalk), penyemak imbas SNMP grafik dan banyak lagi. program yang kompleks pemantauan rangkaian (rrdtools, cacti, zabbix, whats up gold, dll.). Walau bagaimanapun, kaedah ini mempunyai dua kelemahan yang ketara:

Penyekatan lalu lintas hanya boleh dilakukan oleh penutupan sepenuhnya antara muka, menggunakan SNMP yang sama
kaunter trafik yang diambil melalui SNMP merujuk kepada jumlah panjang paket Ethernet (unicast, broadcast dan multicast secara berasingan), manakala selebihnya alat yang diterangkan sebelum ini memberikan nilai yang berkaitan dengan paket IP. Ini mewujudkan percanggahan yang ketara (terutamanya pada paket pendek) disebabkan oleh overhed yang disebabkan oleh panjang pengepala Ethernet (namun, ini boleh dilawan lebih kurang: L3_byte = L2_byte - L2_packets * 38).

VPN

Secara berasingan, adalah wajar mempertimbangkan kes akses pengguna ke rangkaian dengan secara jelas mewujudkan sambungan ke pelayan akses. Contoh klasik ialah dail lama yang bagus, analognya dalam dunia moden adalah perkhidmatan VPN akses jauh(PPTP, PPPoE, L2TP, OpenVPN, IPSEC)

Peranti capaian bukan sahaja mengarahkan trafik IP pengguna, tetapi juga bertindak sebagai pelayan VPN khusus dan menamatkan terowong logik (sering disulitkan) di mana trafik pengguna dihantar.
Untuk mengambil kira trafik sedemikian, anda boleh menggunakan semua alat yang diterangkan di atas (dan ia sangat sesuai untuk analisis mendalam oleh port/protokol), serta mekanisme tambahan yang menyediakan alat kawalan akses VPN. Pertama sekali, kita akan bercakap tentang protokol RADIUS. Kerjanya adalah topik yang agak kompleks. Kami akan menyebut secara ringkas bahawa kawalan (kebenaran) akses kepada pelayan VPN (pelanggan RADIUS) dikawal oleh aplikasi khas(pelayan RADIUS), yang mempunyai pangkalan data di belakangnya (fail teks, SQL, Direktori Aktif) membenarkan pengguna dengan atribut mereka (had kelajuan sambungan, alamat IP yang diberikan). Sebagai tambahan kepada proses kebenaran, pelanggan secara berkala menghantar mesej perakaunan ke pelayan, maklumat tentang keadaan setiap sesi VPN yang sedang dijalankan, termasuk pembilang bait dan paket yang dihantar.

Kesimpulan

Mari kita kumpulkan semua kaedah untuk mengumpul maklumat trafik yang diterangkan di atas bersama-sama:

Mari kita ringkaskan. Dalam amalan ada sejumlah besar kaedah menyambungkan rangkaian yang anda uruskan (dengan pelanggan atau pelanggan pejabat) kepada infrastruktur rangkaian luaran, menggunakan beberapa cara capaian - penghala perisian dan perkakasan, suis, pelayan VPN. Walau bagaimanapun, dalam hampir semua kes, anda boleh membuat skema di mana maklumat tentang trafik yang dihantar melalui rangkaian boleh diarahkan ke perisian atau perkakasan analisis dan pengurusannya. Alat ini juga mungkin membenarkan maklum balas kepada peranti capaian, menggunakan algoritma sekatan capaian pintar untuk pelanggan individu, protokol dan perkara lain.
Di sinilah saya akan menyelesaikan analisis bahan. Topik yang masih belum dijawab ialah: