Veel netwerkbeheerders komen vaak problemen tegen die kunnen worden opgelost door het netwerkverkeer te analyseren. En hier komen we zo'n concept tegen als een verkeersanalysator. Dus wat is het?

NetFlow-analyzers en -verzamelaars zijn tools waarmee u netwerkverkeersgegevens kunt monitoren en analyseren. Analysers netwerk processen kunt u nauwkeurig apparaten identificeren die de kanaaldoorvoer verminderen. Ze weten het te vinden probleemgebieden in uw systeem en verbeter de algehele netwerkefficiëntie.

De voorwaarde " NetFlow" verwijst naar een Cisco-protocol dat is ontworpen om IP-verkeersinformatie te verzamelen en netwerkverkeer te monitoren. NetFlow is aangenomen als standaardprotocol voor streamingtechnologieën.

NetFlow-software verzamelt en analyseert door routers gegenereerde stroomgegevens en presenteert deze in een gebruiksvriendelijk formaat.

Verschillende andere leveranciers van netwerkapparatuur hebben hun eigen protocollen voor monitoring en gegevensverzameling. Juniper, een andere zeer gerespecteerde leverancier van netwerkapparatuur, noemt zijn protocol bijvoorbeeld " J-stroom". HP en Fortinet gebruiken de term ‘ s-stroom". Hoewel de protocollen anders heten, werken ze allemaal op dezelfde manier. In dit artikel bekijken we 10 gratis netwerkverkeersanalysatoren en NetFlow-verzamelaars voor Windows.

SolarWinds realtime NetFlow-verkeersanalysator

De gratis NetFlow Traffic Analyzer is een van de populairste tools die beschikbaar zijn gratis download. Het geeft u de mogelijkheid om gegevens op verschillende manieren te sorteren, taggen en weer te geven. Hierdoor kunt u het netwerkverkeer gemakkelijk visualiseren en analyseren. De tool is geweldig voor het monitoren van netwerkverkeer op type en tijdsperiode. Evenals het uitvoeren van tests om te bepalen hoeveel verkeer verschillende applicaties verbruiken.

Dit gratis hulpmiddel beperkt tot één NetFlow-monitoringinterface en slaat slechts 60 minuten aan gegevens op. Deze Netflow-analysator is een krachtige tool die de moeite waard is om te gebruiken.

Colasoft Capsa gratis

Met deze gratis LAN-verkeersanalysator kunt u meer dan 300 netwerkprotocollen en stelt u in staat aangepaste rapporten te maken. Het omvat monitoring E-mail en sequentiediagrammen TCP-synchronisatie, dit alles wordt verzameld in één aanpasbaar paneel.

Andere functies zijn onder meer netwerkbeveiligingsanalyse. Bijvoorbeeld het volgen van DoS/DDoS-aanvallen, wormactiviteit en detectie van ARP-aanvallen. Naast pakketdecodering en informatieweergave, statistische gegevens over elke host op het netwerk, pakketuitwisselingscontrole en stroomreconstructie. Capsa Free ondersteunt alle 32-bits en 64-bits Windows-versies XP.

Minimale systeemvereisten voor installatie: 2 GB werkgeheugen en een 2,8 GHz-processor. U moet ook een Ethernet-verbinding met internet hebben ( NDIS 3-compatibel of hoger), Snel Ethernet of Gigabit met driver in gemengde modus. Hiermee kunt u passief alle pakketten vastleggen die via een Ethernet-kabel worden verzonden.

Boze IP-scanner

Dit is een Windows-verkeersanalysator met open broncode, snel en gemakkelijk te gebruiken. Het vereist geen installatie en kan worden gebruikt op Linux, Windows en Mac OSX. Deze tool werkt door simpelweg elk IP-adres te pingen en kan MAC-adressen bepalen, poorten scannen, NetBIOS-informatie verstrekken, bepalen geautoriseerde gebruiker V Windows-systemen, ontdek webservers en nog veel meer. De mogelijkheden worden uitgebreid met behulp van Java-plug-ins. Scangegevens kunnen worden opgeslagen in CSV-, TXT- en XML-bestanden.

ManageEngine NetFlow Analyzer Professional

Een volledig functionele versie van de NetFlow-software van ManageEngines. Het is krachtig software met een volledig scala aan functies voor analyse en gegevensverzameling: monitoring bandbreedte kanaal in realtime en meldingen over het bereiken van drempelwaarden, waardoor u processen snel kunt beheren. Bovendien biedt het samenvattende gegevens over het gebruik van bronnen, monitoring van applicaties en protocollen, en nog veel meer.

Gratis versie Linux Traffic Analyzer maakt onbeperkt gebruik van het product gedurende 30 dagen mogelijk, waarna u slechts twee interfaces kunt monitoren. Systeem vereisten voor NetFlow Analyzer ManageEngine is afhankelijk van de stroomsnelheid. Aanbevolen vereisten voor minimale stroomsnelheden van 0 tot 3000 draden per seconde: dual-coreprocessor 2,4 GHz, 2 GB RAM en 250 GB vrije ruimte op uw harde schijf. Naarmate de snelheid van de te monitoren stroom toeneemt, nemen ook de eisen toe.

De gast

Deze applicatie is populair netwerkmonitor, ontwikkeld door MikroTik. Het scant automatisch alle apparaten en maakt een netwerkkaart opnieuw. The Dude houdt toezicht op de servers die erop draaien verschillende apparaten en waarschuwt bij problemen. Andere functies zijn onder meer automatische detectie en weergave van nieuwe apparaten, de mogelijkheid om nieuwe apparaten te maken eigen kaarten, toegang tot tools voor apparaatbeheer op afstand en nog veel meer. Het draait op Windows Linux-wijn en MacOS Darwine.

JDSU Netwerkanalyzer Fast Ethernet

Met dit verkeersanalyseprogramma kunt u snel netwerkgegevens verzamelen en bekijken. De tool biedt de mogelijkheid om geregistreerde gebruikers te bekijken, het niveau van het netwerkbandbreedtegebruik door individuele apparaten te bepalen en snel fouten te vinden en op te lossen. En leg ook gegevens in realtime vast en analyseer deze.

De applicatie ondersteunt het maken van zeer gedetailleerde grafieken en tabellen waarmee beheerders verkeersafwijkingen kunnen monitoren, gegevens kunnen filteren om grote hoeveelheden gegevens te doorzoeken, en nog veel meer. Deze tool is voor specialisten instapniveau, maar ook voor ervaren beheerders, stelt u in staat de volledige controle over het netwerk over te nemen.

Plixer-onderzoeker

Met deze netwerkverkeersanalysator kunt u netwerkverkeer verzamelen en uitgebreid analyseren, en snel fouten opsporen en oplossen. Met Scrutinizer kunt u uw gegevens op verschillende manieren sorteren, bijvoorbeeld op tijdsinterval, host, applicatie, protocol en meer. Met de gratis versie kunt u een onbeperkt aantal interfaces beheren en gegevens opslaan voor 24 uur activiteit.

Draadhaai

Wireshark is krachtig netwerkanalysator kan draaien op Linux, Windows, MacOS X, Solaris en andere platforms. Met Wireshark kunt u vastgelegde gegevens bekijken met behulp van GUI of gebruik de TShark-hulpprogramma's in de TTY-modus. De functies omvatten het verzamelen en analyseren van VoIP-verkeer, realtime weergave van Ethernet, IEEE 802.11, Bluetooth, USB, Frame Relay-gegevens, XML, PostScript, CSV-gegevensuitvoer, decoderingsondersteuning en meer.

Systeemvereisten: Windows XP en hoger, elke moderne 64/32-bit processor, 400 Mb RAM en 300 Mb vrije ruimte schijfruimte. Wireshark NetFlow-analysator is krachtig gereedschap, wat het werk van elke netwerkbeheerder aanzienlijk kan vereenvoudigen.

Paessler PRTG

Deze verkeersanalysator biedt gebruikers veel nuttige functies: ondersteuning voor monitoring LAN, WAN, VPN, applicaties, virtuele server, QoS en omgeving. Monitoring op meerdere locaties wordt ook ondersteund. PRTG maakt gebruik van SNMP, WMI, NetFlow, SFlow, JFlow en pakketanalyse, evenals uptime/downtime monitoring en IPv6-ondersteuning.

Met de gratis versie kun je 30 dagen lang een onbeperkt aantal sensoren gebruiken, daarna kun je er maximaal 100 gratis gebruiken.

nProbe

Het is een volledig uitgeruste open source NetFlow-tracking- en analysetoepassing.

nProbe ondersteunt IPv4 en IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, bevat functies voor VoIP-verkeersanalyse, flow- en pakketbemonstering, loggeneratie, MySQL/Oracle en DNS-activiteit, en nog veel meer. De applicatie is gratis als u de verkeersanalyser op Linux of Windows downloadt en compileert. Uitvoerbaar bestand De instelling beperkt het opnamevolume tot 2000 pakketten. nProbe is volledig gratis voor onderwijsinstellingen, maar ook voor non-profit en wetenschappelijke organisaties. Deze tool werkt op 64-bits versies van besturingssystemen Linux-systemen en Windows.

• Eenvoudig op te zetten!
• Realtime verbruiksgrafieken.
• Bedien alle apparaten vanaf één pc.
• Melding wanneer de limiet wordt overschreden.
• Ondersteunt WMI, SNMPv1/2c/3 en 64-bit tellers.
• Bepaal wie er downloadt en waar vandaan.
• Controleer uw aanbieder!

"10-Strike: Verkeersboekhouding" is eenvoudig programma om het verkeersverbruik te controleren computers, switches, servers op het netwerk op het bedrijf en zelfs thuis (3 sensoren kunnen gratis worden gemonitord in probeerversie zelfs nadat de proefperiode van 30 dagen is verstreken). Volumes bewaken inkomend en uitgaand verbruikt verkeer op computers in uw lokale netwerk, incl. wanneer u verbinding maakt met internet.

Het programma verzamelt voortdurend statistieken van netwerkhosts over inkomend en uitgaand verkeer en geeft in realtime de dynamiek van veranderingen in de gegevensoverdrachtsnelheid op netwerkinterfaces weer in de vorm van grafieken en tabellen.

Met ons boekhoudprogramma kan dat gewetenloze gebruikers opsporen die veel internetverkeer verbruiken in uw organisatie. Schending van de arbeidsdiscipline door werknemers leidt tot verminderde arbeidsproductiviteit. Met een eenvoudige analyse van het verkeersverbruik op de computers van medewerkers kunt u de meest actieve netwerkgebruikers identificeren. Als u WMI-sensoren gebruikt, hoeft u niet eens iets op netwerkcomputers te installeren, u heeft alleen een beheerderswachtwoord nodig.

Helaas is internetverkeer voor rechtspersonen in ons land nog niet overal goedkoop. Het komt vaak voor dat overmatige internetactiviteit van gebruikers (vaak niet gerelateerd aan het werkproces) tot gevolg heeft kostenoverschrijdingen organisaties betalen voor de aansluiting. Als u ons programma gebruikt, voorkomt u dat uw bedrijf onverwacht hoge internetrekeningen ontvangt. U kunt aanpassen melding voor verbruik van een bepaalde hoeveelheid verkeer computers op het netwerk gedurende een bepaalde periode.

Jij kan snelheidsgrafieken van inkomend en uitgaand verkeer observeren computers en netwerkapparaten in realtime op het scherm. Kan snel gedaan worden bepalen wie het meeste verkeer besteedt en verstopt het kanaal.

Het programma controleert voortdurend het verkeersverbruik op netwerkcomputers en kan u op de hoogte stellen wanneer aan bepaalde voorwaarden is voldaan, die u kunt vragen. Als de hoeveelheid verkeer die door een computer wordt verbruikt bijvoorbeeld een bepaalde waarde overschrijdt, of de gemiddelde snelheid van informatieoverdracht bepaalde periode boven/onder de drempelwaarde. Wanneer aan de opgegeven voorwaarde is voldaan, wordt het programma zal informeren u op een van de volgende manieren:

• het weergeven van een bericht op het computerscherm;
• geluidssignaal;
• het verzenden van e-mailberichten;
• schrijven naar het programmalogbestand;
• invoer in het gebeurtenislogboek van het systeem.

Bovendien kan het verkeersboekhoudingsprogramma dat doen uitvoeren bepaalde acties wanneer aan de voorwaarden is voldaan: voer het programma uit, voer een VB- of JS-script uit, start de service opnieuw op, start de computer opnieuw op, enz.

Terwijl het monitoringprogramma werkt verzamelt verkeersconsumptiestatistieken netwerkcomputers. U kunt op elk moment achterhalen wie en hoeveel verkeer er op een bepaald moment is verbruikt en welke gegevensoverdrachtsnelheden zijn bereikt. Grafieken voor het downloaden/uploaden van verkeer, evenals tabellen voor verkeersverbruik, kunnen voor elke tijdsperiode of datum worden samengesteld.

Onderscheidingen

In februari 2015 ontving de Engelse versie van het programma een prijs: een finalist in de wedstrijd "Network Computing Awards 2015" van het populaire Britse tijdschrift "Network Computing" in de categorie "IT Optimization Product of The Year".

Bij aanschaf van een licentie ontvangt u een abonnement hierop gratis updates programma's en technisch steun voor één jaar.

Download nu de gratis 30-dagenversie en probeer hem uit! Windows XP/2003/Vista/2008/7/8.1/2012/10/2016 worden ondersteund.

Er zijn veel programma's voor het volgen van verkeer op een lokaal netwerk: zowel betaald als gratis, die qua functionaliteit sterk verschillen. Een van de populairste Open source programma's - SAMS. Zij werkt voor Linux-platform in samenwerking met Inktvis.

SAMS vereist PHP5, we zullen gebruiken Ubuntu-server 14.04. We hebben Squid-, Apache2- en PHP5-pakketten met modules nodig.

Accounting van internetverkeer op een lokaal Linux-netwerk

Laten we proberen erachter te komen hoe het werkt.

Squid distribueert het internet en accepteert verzoeken op poort 3128. Tegelijkertijd schrijft het een gedetailleerd log access.log. Alle controle wordt uitgevoerd via het bestand squid.conf. Inktvis heeft ruime mogelijkheden inzake internettoegangscontrole: toegangscontrole per adres, bandbreedtecontrole voor specifieke adressen, groepen adressen en netwerken.

SAMS werkt op basis van loganalyse Squid-proxyserver. Het lokale bewaakt de statistieken van de proxyserver en neemt, in overeenstemming met het gespecificeerde beleid, een beslissing om de snelheid voor de Squid-client te blokkeren, deblokkeren of beperken.

SAMS installeren

Pakketten installeren.

apt-get installeer apache2 php5 php5-mysql mysql-server php5-gd squid3

Download en installeer SAMS

wget https://github.com/inhab-magnus/sams2-deb/archive/master.zip

pak master.zip uit

cd sams2-deb-master/

dpkg -i sams2_2.0.0-1.1_amd64.deb

Het installeren van de webinterface

dpkg -i apache2/sams2-web_2.0.0-1.1_all.deb

We brengen wijzigingen aan in het bestand /etc/sams2.conf.

DB_PASSWORD=/MijnSQL-wachtwoord/

SAMS lanceren

service sams2 starten

Inktvis opzetten

We brengen wijzigingen aan in het bestand /etc/squid3/squid.conf

http_poort 192.168.0.110:3128
cache_dir ufs /var/spool/squid3 2048 16 256

We maken logboekregistratie en logboekrotatie mogelijk met opslag gedurende 31 dagen.

access_log daemon:/var/log/squid3/access.log inktvis

logbestand_rotate 31

Stop Inktvis, maak een cache.

service inktvis3 stop

service inktvis3 start

Voor de zuiverheid van het experiment configureren we een van de browsers om te werken met proxy 192.168.0.110 via poort 3128. Nadat we geprobeerd hebben verbinding te maken, ontvangen we een verbindingsweigering - Squid heeft geen proxy-toegangsrechten geconfigureerd.

Initiële SAMS-installatie

Open in een andere browser het adres (192.168.0.110 – serveradres).

http://192.168.0.110/sams2

Hij zal ons vertellen dat hij geen verbinding kan maken met de database en zal aanbieden de installatie uit te voeren.

We specificeren de databaseserver (127.0.0.1), login en wachtwoord voor MySql.

De eerste installatie van het verkeersadministratiesysteem is voltooid. Het enige dat overblijft is het configureren van het programma.

Monitoring van lokaal netwerkverkeer

Log in op het systeem als beheerder (admin/qwerty).

Het is de moeite waard om meteen te vermelden wat de gebruikersautorisatie is.

Open in de Squid-tak de proxyserver en klik onderaan op de knop ‘Proxyserver configureren’.

Het belangrijkste hierbij is om waar nodig uw IP-adres aan te geven in de adressen van mappen en bestanden, anders start de proxyserver niet.

De essentie van alle wijzigingen in SAMS-instellingen is dat ze naar squid.conf worden geschreven. Sams2deamon draait op de achtergrond en controleert veranderingen in instellingen die invoer in het configuratiebestand vereisen (u kunt daar ook het trackinginterval instellen).

Vul de velden “Gebruiker” en “IP-adres” in. Laten we hetzelfde IP-adres nemen als de gebruikersnaam (het IP-adres van de computer, niet de server!). In het veld “Toegestaan ​​verkeer” voeren we “0” in, dat wil zeggen zonder beperkingen. Alle andere velden laten we achterwege.

Er wordt een nieuwe acl toegevoegd voor dit IP-adres en toestemming om via Squid te werken. Als de configuratie niet automatisch is gewijzigd, ga dan naar de proxytak en klik op de knop “Squid opnieuw configureren”. Wijzigingen in de configuratie worden handmatig aangebracht.

We proberen elke URL in de browser te openen. We controleren access.log en zien dat verzoeken door de proxy worden verwerkt. Om de werking van SAMS te controleren, opent u de pagina ‘Gebruikers’ en klikt u onderaan op de knop ‘Gebruikersverkeer opnieuw berekenen’.

Met onderstaande knoppen kunt u statistieken beheren gedetailleerde informatie volgens statistieken van gebruikersbezoeken aan pagina's.

In dit artikel wordt gekeken naar softwareoplossingen waarmee u uw verkeer onder controle kunt houden. Dankzij hen kunt u een overzicht zien van uw internetverbindingsverbruik afzonderlijk proces en de prioriteit ervan beperken. Het is niet nodig om opgenomen rapporten te bekijken op een pc waarop speciale software in het besturingssysteem is geïnstalleerd - dit kan op afstand worden gedaan. Het zal geen probleem zijn om de kosten van de verbruikte hulpbronnen en nog veel meer te achterhalen.

Software van SoftPerfect Research waarmee u het verbruikte verkeer kunt controleren. Het programma biedt aanvullende instellingen, die het mogelijk maken om informatie te bekijken over de verbruikte megabytes voor een specifieke dag of week, piek- en daluren. Het is mogelijk om indicatoren te zien van inkomende en uitgaande snelheid, ontvangen en verzonden gegevens.

De tool zal vooral nuttig zijn in gevallen waarin gemeten 3G of LTE wordt gebruikt en er daarom beperkingen nodig zijn. Als u meer dan één account heeft, worden er statistieken over elke individuele gebruiker weergegeven.

DU-meter

Aanvraag voor het volgen van het hulpbronnenverbruik van World Wide Web. In het werkgebied zie je zowel de inkomende als uitgaande signalen. Door te verbinden rekening service dumeter.net, die wordt aangeboden door de ontwikkelaar, kunt u vanaf alle pc's statistieken verzamelen over het gebruik van de informatiestroom van internet. Met flexibele instellingen kunt u de stream filteren en rapporten naar uw e-mail sturen.

Met de parameters kunt u beperkingen opgeven bij het gebruik van een verbinding met het World Wide Web. Daarnaast kunt u de kosten opgeven van het servicepakket van uw provider. Er is een gebruikershandleiding waarin u instructies vindt voor het werken met de bestaande functionaliteit van het programma.

Netwerkverkeersmonitor

Een hulpprogramma dat netwerkgebruiksrapporten weergeeft met een eenvoudige set tools zonder voorafgaande installatie. Het hoofdvenster toont statistieken en een samenvatting van de verbinding met internettoegang. De applicatie kan de stream blokkeren en beperken, waardoor de gebruiker zijn eigen waarden kan opgeven. In de instellingen kun je de vastgelegde geschiedenis resetten. Het is mogelijk om bestaande statistieken vast te leggen in een logbestand. Een arsenaal aan noodzakelijke functionaliteit helpt u download- en uploadsnelheden vast te leggen.

VerkeersMonitor

De applicatie is een uitstekende oplossing om de informatiestroom vanuit het netwerk tegen te gaan. Er zijn veel indicatoren die de hoeveelheid verbruikte gegevens, output, snelheid, maximale en gemiddelde waarden weergeven. Met software-instellingen kunt u de kosten van momenteel gebruikte informatievolumes bepalen.

De gegenereerde rapporten bevatten een lijst met acties die verband houden met de verbinding. De grafiek wordt in een apart venster weergegeven en de schaal wordt realtime weergegeven; u ziet deze bovenop alle programma's waarin u werkt. De oplossing is gratis en heeft een Russischtalige interface.

NetLimiter

Het programma heeft modern ontwerp en krachtige functionaliteit. Wat het speciaal maakt, is dat het rapporten biedt die een samenvatting geven van het verkeersverbruik van elk proces dat op de pc draait. De statistieken zijn perfect gesorteerd op verschillende perioden, en daarom zal het heel gemakkelijk zijn om de gewenste periode te vinden.

Als NetLimiter op een andere computer is geïnstalleerd, kunt u er verbinding mee maken en de firewall en andere functies ervan beheren. Om processen binnen de applicatie te automatiseren, wordt gebruik gemaakt van door de gebruiker aangemaakte regels. In de planner kunt u uw eigen limieten instellen bij het gebruik van de diensten van een provider, en de toegang tot de mondiale en lokale netwerken blokkeren.

DUTraffic

Het bijzondere aan deze software is dat het geavanceerde statistieken weergeeft. Er is informatie over de verbinding waarmee de gebruiker heeft ingelogd mondiale ruimte, sessies en hun duur, evenals de gebruiksduur en nog veel meer. Alle rapporten gaan vergezeld van informatie in de vorm van een diagram waarin de duur van het verkeersverbruik in de loop van de tijd wordt weergegeven. In de parameters kunt u vrijwel elk ontwerpelement aanpassen.

De grafiek die wordt weergegeven in specifiek gebied bijgewerkt in de modus van seconde tot seconde. Helaas wordt het hulpprogramma niet ondersteund door de ontwikkelaar, maar heeft het een Russische interfacetaal en wordt het gratis verspreid.

BW-meter

Het programma bewaakt het downloaden/uploaden en de snelheid van de bestaande verbinding. Als u filters gebruikt, wordt er een waarschuwing weergegeven als processen in het besturingssysteem verbruiken netwerkbronnen. Er worden verschillende filters gebruikt om veel verschillende problemen op te lossen. De gebruiker kan de weergegeven grafieken naar eigen inzicht volledig aanpassen.

De interface toont onder meer de duur van het verkeersverbruik, de ontvangst- en uploadsnelheid, evenals de minimale en maximale waarden. Het hulpprogramma kan worden geconfigureerd om waarschuwingen weer te geven wanneer er gebeurtenissen plaatsvinden, zoals het aantal gedownloade megabytes en de verbindingstijd. Door het siteadres in de juiste regel in te voeren, kunt u de ping controleren en wordt het resultaat naar een logbestand geschreven.

BitMeter II

Een oplossing voor het weergeven van een overzicht van het gebruik van providerdiensten. De gegevens zijn zowel in tabelvorm als in grafische vorm beschikbaar. De parameters configureren waarschuwingen voor gebeurtenissen die verband houden met de verbindingssnelheid en de verbruikte stream. Voor gebruiksgemak kunt u met BitMeter II berekenen hoeveel tijd het kost om de hoeveelheid gegevens die u invoert, in megabytes, te downloaden.

Met de functionaliteit kunt u bepalen hoeveel beschikbaar volume er nog beschikbaar is bij de provider en wanneer de limiet is bereikt, wordt hierover een bericht weergegeven in de taakbalk. Bovendien kan de download beperkt worden op het tabblad Parameters en kunt u de statistieken ook op afstand volgen in de browsermodus.

Ingediend softwareproducten zullen onmisbaar zijn bij het monitoren van het verbruik van internetbronnen. De functionaliteit van de applicaties helpt u gedetailleerde rapporten te maken, en de rapporten die per e-mail worden verzonden, kunnen op elk gewenst moment worden bekeken.

Elke beheerder krijgt vroeg of laat instructies van het management: “tel wie er online gaat en hoeveel ze downloaden.” Voor aanbieders wordt het aangevuld met de taken van “het binnenlaten van iedereen die het nodig heeft, het aannemen van betalingen, het beperken van de toegang.” Wat te tellen? Hoe? Waar? Er is veel fragmentarische informatie, deze is niet gestructureerd. We zullen de beginnende beheerder behoeden voor vervelende zoekopdrachten door hem algemene kennis te geven, en handige links voor materieel.
In dit artikel zal ik proberen de principes te beschrijven van het organiseren van de verzameling, boekhouding en controle van verkeer op het netwerk. We zullen het probleem bekijken en mogelijke manieren opsommen om informatie van netwerkapparaten op te halen.

Dit is het eerste theoretische artikel in een reeks artikelen gewijd aan het verzamelen, boekhouden, beheren en factureren van verkeer en IT-middelen.

Structuur van internettoegang

Over het algemeen ziet de netwerktoegangsstructuur er als volgt uit:

• Externe bronnen - het internet, met alle sites, servers, adressen en andere zaken die niet tot het netwerk behoren dat u beheert.
• Toegangsapparaat – router (hardware of pc-gebaseerd), switch, VPN-server of concentrator.
• Interne bronnen zijn een reeks computers, subnetten en abonnees waarvan de werking op het netwerk in aanmerking moet worden genomen of gecontroleerd.
• Een beheer- of boekhoudserver is een apparaat waarop gespecialiseerde software draait. Functioneel te combineren met een softwarerouter.

In deze structuur gaat het netwerkverkeer van externe bronnen naar interne, en terug, via het toegangsapparaat. Het verzendt verkeersinformatie naar de beheerserver. De controleserver verwerkt deze informatie, slaat deze op in de database, geeft deze weer en geeft blokkeeropdrachten. Niet alle combinaties van toegangsapparaten (methoden) en verzamel- en controlemethoden zijn echter compatibel. OVER verschillende opties en zal hieronder worden besproken.

Netwerk verkeer

Eerst moet u definiëren wat wordt bedoeld met ‘netwerkverkeer’ en wat nuttig is statistische informatie kan worden geëxtraheerd uit de gebruikersgegevensstroom.
Dominant protocol internetwerken IP-versie 4 blijft voorlopig behouden. Het IP-protocol komt overeen met laag 3 van het OSI-model (L3). Informatie (gegevens) tussen de afzender en de ontvanger wordt verpakt in pakketten - met een header en een "payload". De titel definieert waar en waar gaat hij heen pakket (IP-adressen van afzender en ontvanger), pakketgrootte, type payload. Het grootste deel van het netwerkverkeer bestaat uit pakketten met UDP- en TCP-payloads - dit zijn Layer 4 (L4)-protocollen. Naast adressen bevat de header van deze twee protocollen poortnummers, die bepalen welk type dienst (applicatie) gegevens verzendt.

Om een ​​IP-pakket via draden (of radio) te verzenden, worden netwerkapparaten gedwongen het in een Layer 2 (L2)-protocolpakket te “verpakken” (inkapselen). Het meest voorkomende protocol van dit type is Ethernet. Feitelijke overdracht“naar de draad” gaat op het 1e niveau. Normaal gesproken analyseert het toegangsapparaat (router) geen pakketheaders op niveaus hoger dan niveau 4 (met uitzondering van intelligente firewalls).
Informatie uit de velden van adressen, poorten, protocollen en lengtetellers uit de L3- en L4-headers van datapakketten vormen de ‘grondstof’ die wordt gebruikt bij verkeersadministratie en -beheer. Eigenlijk volume doorgegeven informatie vindt u in het veld Lengte van de IP-header (inclusief de lengte van de header zelf). Trouwens, als gevolg van pakketfragmentatie als gevolg van het MTU-mechanisme, is de totale hoeveelheid verzonden gegevens altijd hetzelfde grotere maat lading.

De totale lengte van de IP- en TCP/UDP-velden van het pakket die voor ons in deze context interessant zijn, is 2...10% van de totale lengte van het pakket. Als je al deze informatie batch voor batch verwerkt en opslaat, zijn er niet genoeg middelen. Gelukkig is het overgrote deel van het verkeer zo gestructureerd dat het bestaat uit een reeks ‘gesprekken’ tussen externe en interne netwerkapparaten, die ‘stromen’ worden genoemd. Bijvoorbeeld binnen één expeditie e-mail(SMTP-protocol) Er wordt een TCP-sessie geopend tussen de client en de server. Het wordt gekenmerkt door een constante reeks parameters (bron-IP-adres, bron-TCP-poort, doel-IP-adres, bestemming-TCP-poort). In plaats van informatie pakketje voor pakketje te verwerken en op te slaan, is het veel handiger om stroomparameters (adressen en poorten) op te slaan, evenals aanvullende informatie - het aantal en de som van de pakketlengtes die in elke richting worden verzonden, optioneel sessieduur, routerinterface indexen, ToS-veldwaarde, enz. Deze aanpak is gunstig voor verbindingsgerichte protocollen (TCP), waarbij het mogelijk is om de beëindiging van een sessie expliciet te onderscheppen. Zelfs voor niet-sessiegerichte protocollen is het echter mogelijk om aggregatie en logische voltooiing van een stroomrecord uit te voeren op basis van bijvoorbeeld een time-out. Hieronder vindt u een fragment uit de SQL-database van ons eigen facturatiesysteem, waarin informatie over verkeersstromen wordt geregistreerd:

Er moet rekening worden gehouden met het geval waarin het toegangsapparaat adresvertaling (NAT, masquerading) uitvoert om internettoegang voor lokale netwerkcomputers te organiseren met behulp van één extern, openbaar IP-adres. In dit geval vervangt een speciaal mechanisme IP-adressen en TCP/UDP-poorten van verkeerspakketten, waarbij interne (niet routeerbare op internet) adressen worden vervangen op basis van de dynamische tafel uitzendingen. In deze configuratie is het noodzakelijk om te onthouden dat om gegevens op interne netwerkhosts correct vast te leggen, statistieken moeten worden verzameld op een manier en op een plaats waar het vertaalresultaat de interne adressen nog niet “anonimiseert”.

Methoden voor het verzamelen van verkeers-/statistische informatie

U kunt informatie over het passeren van verkeer rechtstreeks op het toegangsapparaat zelf (pc-router, VPN-server) vastleggen en verwerken, en deze van dit apparaat naar aparte server(NetFlow, SNMP) of “vanaf de draad” (tap, SPAN). Laten we alle opties in volgorde bekijken.

PC-router

Laten we het eenvoudigste geval bekijken: een toegangsapparaat (router) op basis van een pc met Linux.

Hoe je zo’n server opzet, adresvertaling en routering, er is veel geschreven. We zijn geïnteresseerd in de volgende logische stap: informatie over hoe u informatie kunt verkrijgen over het verkeer dat door zo'n server gaat. Er zijn drie veel voorkomende methoden:

• het onderscheppen (kopiëren) van pakketten die door de netwerkkaart van de server gaan met behulp van de libpcap-bibliotheek
• het onderscheppen van pakketten die door de ingebouwde firewall gaan
• gebruik hulpmiddelen van derden het omzetten van pakket-voor-pakket-statistieken (verkregen door een van de twee voorgaande methoden) in een stroom van geaggregeerde netflow-informatie

Libkap

In het eerste geval kan een kopie van het pakket dat door de interface gaat, na het passeren van het filter (man pcap-filter), worden opgevraagd door een clientprogramma op de server dat met behulp van deze bibliotheek is geschreven. Het pakket arriveert met een laag 2-header (Ethernet). Het is mogelijk om de lengte van de vastgelegde informatie te beperken (als we alleen geïnteresseerd zijn in informatie uit de header). Voorbeelden van dergelijke programma's zijn tcpdump en Wireshark. Er is een implementatie van libpcap voor Windows. Als adresvertaling wordt gebruikt op een pc-router, kan een dergelijke onderschepping alleen op de router worden uitgevoerd interne interface, verbonden met lokale gebruikers. Op externe interface,Na uitzending bevatten IP-pakketten geen informatie over de ,interne hosts van het netwerk. Met deze methode is het echter onmogelijk om rekening te houden met het verkeer dat door de server zelf op internet wordt gecreëerd (wat belangrijk is als deze web- of Postdienst).

libpcap heeft ondersteuning van buitenaf nodig besturingssysteem, wat momenteel neerkomt op het installeren van één enkele bibliotheek. In dit geval moet het toepassings- (gebruikers)programma dat pakketten verzamelt:

• open de gewenste interface
• specificeer het filter dat moet worden doorgelaten ontvangen pakketten, grootte van het vastgelegde deel (snaplen), buffergrootte,
• stel de promisc-parameter in, die de netwerkinterface in de capture-modus zet voor alle pakketten die passeren, en niet alleen voor de pakketten die zijn geadresseerd aan het MAC-adres van deze interface
• stel een functie (callback) in die voor elk ontvangen pakket wordt aangeroepen.

Wanneer een pakket via de geselecteerde interface wordt verzonden, ontvangt deze functie, nadat het filter is gepasseerd, een buffer met daarin Ethernet, (VLAN), IP, enz. kopteksten, totale grootte te snaplen. Omdat de libcap-bibliotheek pakketten kopieert, kan deze niet worden gebruikt om de doorgang ervan te blokkeren. In dit geval zal het programma voor het verzamelen en verwerken van verkeer moeten worden gebruikt alternatieve methoden, bijvoorbeeld door een script aan te roepen om een ​​bepaald IP-adres in een verkeersblokkeringsregel te plaatsen.

Firewall

Door gegevens vast te leggen die door de firewall gaan, kunt u rekening houden met zowel het verkeer van de server zelf als het verkeer van netwerkgebruikers, zelfs als de adresvertaling actief is. Het belangrijkste in dit geval is om de capture-regel correct te formuleren en in te voeren Juiste plaats. Deze regel activeert het doorsturen van pakketten systeembibliotheek, vanwaar de toepassing voor verkeersadministratie en -beheer deze kan ontvangen. Voor Linux OS wordt iptables gebruikt als firewall, en onderscheppingstools zijn ipq, netfliter_queue of ulog. Voor OC FreeBSD – ipfw met regels zoals tee of divert. In ieder geval wordt het firewallmechanisme aangevuld met de mogelijkheid om op de volgende manier met een gebruikersprogramma te werken:

• Een gebruikersprogramma - een verkeersafhandelaar - registreert zichzelf in het systeem met behulp van een systeemoproep of een bibliotheek.
• Gebruikersprogramma of extern schrift installeert een regel in de firewall die het geselecteerde verkeer (volgens de regel) binnen de handler “wikkelt”.
• Voor elk passerend pakket ontvangt de handler de inhoud ervan in de vorm van een geheugenbuffer (met IP-headers, enz.) Na verwerking (accounting) moet het programma de kernel van het besturingssysteem ook vertellen wat het vervolgens met zo'n pakket moet doen - verwijder het of doorgeven. Als alternatief is het mogelijk om het gewijzigde pakket door te geven aan de kernel.

Omdat het IP-pakket niet wordt gekopieerd, maar ter analyse naar de software wordt gestuurd, wordt het mogelijk om het te ‘uitwerpen’ en daardoor het verkeer van een bepaald type (bijvoorbeeld naar een geselecteerde lokale netwerkabonnee) geheel of gedeeltelijk te beperken. Als het applicatieprogramma echter niet meer reageert op de kernel over zijn beslissing (bijvoorbeeld vastloopt), wordt het verkeer via de server eenvoudigweg geblokkeerd.
Opgemerkt moet worden dat de beschreven mechanismen, met aanzienlijke hoeveelheden verzonden verkeer, een overmatige belasting van de server veroorzaken, wat gepaard gaat met het voortdurend kopiëren van gegevens van de kernel naar gebruikersprogramma. De methode voor het verzamelen van statistieken op het kernelniveau van het besturingssysteem, met de uitvoer van geaggregeerde statistieken naar het applicatieprogramma via het NetFlow-protocol, heeft dit nadeel niet.

Netstroom

Dit protocol is ontwikkeld door Cisco Systems om verkeersinformatie van routers te exporteren ten behoeve van verkeersregistratie en -analyse. De meest populaire versie 5 biedt de ontvanger nu een stroom gestructureerde gegevens in de vorm van UDP-pakketten met informatie over eerder verkeer in de vorm van zogenaamde flowrecords:

De hoeveelheid informatie over het verkeer is vele ordes van grootte kleiner dan het verkeer zelf, wat vooral belangrijk is in grote en gedistribueerde netwerken. Het is uiteraard onmogelijk om de overdracht van informatie te blokkeren bij het verzamelen van statistieken via netflow (tenzij er aanvullende mechanismen worden gebruikt).
Momenteel wordt een verdere ontwikkeling van dit protocol populair - versie 9, gebaseerd op sjabloonstructuur flowrecord, implementaties voor apparaten van andere fabrikanten (sFlow). Onlangs is de IPFIX-standaard aangenomen, waarmee statistieken via protocollen op diepere niveaus (bijvoorbeeld per applicatietype) kunnen worden verzonden.
De implementatie van netflow-bronnen (agents, probes) is beschikbaar voor pc-routers, zowel in de vorm van hulpprogramma's die werken volgens de hierboven beschreven mechanismen (flowprobe, softflowd), als rechtstreeks ingebouwd in de besturingssysteemkernel (FreeBSD: ng_netgraph, Linux :) . Voor softwarerouters kan de netflow-statistiekenstroom lokaal op de router zelf worden ontvangen en verwerkt, of via het netwerk (overdrachtsprotocol - via UDP) naar het ontvangende apparaat (collector) worden verzonden.


Het verzamelprogramma kan informatie uit vele bronnen tegelijk verzamelen, waardoor het verkeer zelfs met overlappende adresruimten kan worden onderscheiden. Met behulp van aanvullende tools zoals nprobe is het ook mogelijk om extra dataaggregatie, streambifurcatie of protocolconversie uit te voeren, wat belangrijk is bij het beheren van een groot en gedistribueerd netwerk met tientallen routers.

Netflow-exportfuncties ondersteunen routers van Cisco Systems, Mikrotik en enkele anderen. Soortgelijke functionaliteit (met andere exportprotocollen) wordt door iedereen ondersteund grote fabrikanten netwerk uitrusting.

Libpdop “buiten”

Laten we de taak een beetje ingewikkelder maken. Wat moet ik doen als uw toegangsapparaat een hardwarerouter van een andere fabrikant is? Bijvoorbeeld D-Link, ASUS, Trendnet, enz. Het is hoogstwaarschijnlijk onmogelijk om extra te installeren softwaretool gegevensverzameling. Het is ook mogelijk dat u een slim toegangsapparaat heeft, maar dat u dit niet kunt configureren (u heeft geen rechten of het wordt beheerd door uw provider). In dit geval kunt u verkeersinformatie direct verzamelen op het punt waar het toegangsapparaat samenkomt intern netwerk, met behulp van “hardware” middelen voor het kopiëren van pakketten. In dit geval hebt u zeker een aparte server met een speciale netwerkkaart nodig om kopieën van Ethernet-pakketten te ontvangen.
De server moet het pakketverzamelingsmechanisme gebruiken met behulp van de hierboven beschreven libpcap-methode, en onze taak is om een ​​datastroom die identiek is aan die afkomstig van de toegangsserver naar de ingang van de netwerkkaart te sturen die speciaal voor dit doel is bestemd. Hiervoor kunt u gebruik maken van:

• Ethernet - hub: een apparaat dat eenvoudigweg zonder onderscheid pakketten tussen al zijn poorten doorstuurt. In de moderne realiteit kun je het ergens in een stoffig pakhuis vinden, en het gebruik van deze methode wordt niet aanbevolen: het is onbetrouwbaar, lage snelheid(er zijn geen hubs met een snelheid van 1 Gbit/s)
• Ethernet - een switch met de mogelijkheid om SPAN-poorten te spiegelen (mirroring). Met moderne slimme (en dure) switches kunt u al het verkeer (inkomend, uitgaand, beide) van een andere fysieke interface, VLAN, inclusief op afstand (RSPAN) kopiëren naar een opgegeven haven
• Een hardwaresplitter, waarvoor mogelijk installatie nodig is om er twee te verzamelen netwerkkaarten in plaats van één - en dit is een aanvulling op de hoofdsysteem.

Uiteraard kunt u een SPAN-poort configureren op het toegangsapparaat zelf (router), als dit dit toestaat: Cisco Catalyst 6500, Cisco ASA. Hier is een voorbeeld van een dergelijke configuratie voor Cisco-schakelaar:
monitorsessie 1 bron vlan 100! waar halen we de pakketten vandaan?
monitorsessie 1 bestemmingsinterface Gi6/3! waar geven wij pakketten uit?

SNMP

Wat als we geen router onder onze controle hebben, we geen contact willen opnemen met netflow, we zijn niet geïnteresseerd in de details van het verkeer van onze gebruikers. Ze worden eenvoudigweg via het netwerk verbonden beheerde schakelaar, en we hoeven alleen maar een ruwe schatting te maken van de hoeveelheid verkeer op elk van de poorten. Zoals u weet, ondersteunen netwerkapparaten met afstandsbediening en kunnen ze tellers weergeven van pakketten (bytes) die via netwerkinterfaces gaan. Om ze te ondervragen zou het correct zijn om het gestandaardiseerde protocol voor beheer op afstand SNMP te gebruiken. Als u het gebruikt, kunt u vrij eenvoudig niet alleen de waarden verkrijgen gespecificeerde tellers, maar ook andere parameters, zoals de naam en beschrijving van de interface, de MAC-adressen die erdoor zichtbaar zijn, en andere bruikbare informatie. Dit wordt gedaan door opdrachtregelhulpprogramma's (snmpwalk), grafische SNMP-browsers en meer. complexe programma's netwerkmonitoring (rrdtools, cactussen, zabbix, whats up gold, enz.). Echter, deze methode heeft twee belangrijke nadelen:

• Verkeersblokkering kan alleen worden gedaan door volledige afsluiting interface, waarbij dezelfde SNMP wordt gebruikt
• verkeerstellers genomen via SNMP verwijzen naar de som van de lengtes van Ethernet-pakketten (unicast, broadcast en multicast afzonderlijk), terwijl de rest van de eerder beschreven tools waarden geven ten opzichte van IP-pakketten. Dit creëert een merkbare discrepantie (vooral bij korte pakketten) vanwege de overhead veroorzaakt door de lengte van de Ethernet-header (dit kan echter ongeveer worden bestreden: L3_byte = L2_byte - L2_packets * 38).

VPN

Daarnaast is het de moeite waard om het geval van gebruikerstoegang tot het netwerk te overwegen door expliciet een verbinding tot stand te brengen met de toegangsserver. Een klassiek voorbeeld is de goede oude inbelverbinding, waarvan een analoog is moderne wereld zijn VPN-diensten toegang op afstand(PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


Het toegangsapparaat routeert niet alleen het IP-verkeer van gebruikers, maar fungeert ook als een gespecialiseerde VPN-server en beëindigt logische tunnels (vaak gecodeerd) waarbinnen gebruikersverkeer wordt verzonden.
Om rekening te houden met dergelijk verkeer kunt u alle hierboven beschreven tools gebruiken (en deze zijn zeer geschikt voor diepgaande analyse door poorten/protocollen), evenals aanvullende mechanismen die tools voor VPN-toegangscontrole bieden. Allereerst zullen we het hebben over het RADIUS-protocol. Zijn werk is een tamelijk complex onderwerp. We zullen kort vermelden dat de controle (autorisatie) van toegang tot de VPN-server (RADIUS-client) wordt gecontroleerd door speciale toepassing(RADIUS-server), met daarachter een database (tekstbestand, SQL, Actieve map) stonden gebruikers toe met hun attributen (limieten voor verbindingssnelheid, toegewezen IP-adressen). Naast het autorisatieproces verzendt de client periodiek boekhoudberichten naar de server, informatie over de status van elke momenteel lopende VPN-sessie, inclusief tellers van verzonden bytes en pakketten.

Conclusie

Laten we alle hierboven beschreven methoden voor het verzamelen van verkeersinformatie samenbrengen:

Laten we het samenvatten. In de praktijk wel een groot aantal van methoden om het netwerk dat u beheert (met klanten of kantoorabonnees) te verbinden met een externe netwerkinfrastructuur, met behulp van een aantal toegangshulpmiddelen: software- en hardwarerouters, switches, VPN-servers. In vrijwel elk geval kunt u echter een schema bedenken waarbij informatie over het verkeer dat via het netwerk wordt verzonden, naar software of andere netwerken kan worden geleid. hardware de analyse en het beheer ervan. Het is ook mogelijk dat deze tool feedback naar het toegangsapparaat mogelijk maakt, met behulp van intelligente algoritmen voor toegangsbeperking voor individuele clients, protocollen en andere zaken.
Hier rond ik de analyse van het materiaal af. De resterende onbeantwoorde onderwerpen zijn:

• hoe en waar de verzamelde verkeersgegevens naartoe gaan
• verkeersboekhoudsoftware
• Wat is het verschil tussen facturering en een eenvoudig “loket”
• Hoe kunt u verkeersbeperkingen opleggen?
• boekhouding en beperking van bezochte websites

Tags: tags toevoegen