Účtování programů, které plýtvají síťovým provozem. Principy organizace účtování IP provozu

Účtování programů, které plýtvají síťovým provozem. Principy organizace účtování IP provozu

Programy pro účtování provozu monitorují připojení napříč všemi rozhraními. Počítají množství přijatých a odeslaných dat.

Některé z nich umožňují omezit rychlost každého jednotlivého připojení.

Internetový provoz tak můžete distribuovat v závislosti na prioritě úlohy.

Další užitečnou funkcí takových nástrojů je schopnost udržovat statistiky.

Poraďte!

Takový software je nezbytný pro podnikové struktury, ve kterých je důležitý každý finanční aspekt. Používání monitoru provozu také prospívá domácím sítím.

Mezi všemi takovými programy je pět nejběžnějších, funkčních a pohodlných.

NetWorx

Bezplatný program pro účtování provozu, který kombinuje jednoduché rozhraní a dobrou funkčnost.

Možnosti programu umožňují sledovat více připojení, což je velmi užitečné pro sledování provozu v podnikových sítích.

Podrobné monitorování připojení vám umožní identifikovat a potlačit pokusy o neoprávněný přístup.

Flexibilní systém upozornění vám umožní nezmeškat důležitou událost, ať už jde o problémy s připojením, podezřelé akce nebo snížení rychlosti připojení.

Shromážděná data se nejen graficky zobrazí v okně programu, ale také se uloží do speciálního statistického souboru.

Statistická data lze následně snadno exportovat do tabulkového procesoru, HTML nebo dokumentu MS Word.

výhody:

Monitorování více připojení;

Flexibilní oznamovací systém;

Vedení podrobných statistik;

Model bezplatné distribuce.

nedostatky:

Pravda, v tomto režimu můžete dynamiku pouze pozorovat, neovlivníte ji.

výhody:

Bezplatná distribuce;

Možnost vzdáleného sledování;

Dobré pro domácí použití.

nedostatky:

Značná spotřeba zdrojů RAM;

Povinná přítomnost .NET Framework (podmíněná nevýhoda).

Internetový počet

Program je navržen tak, aby pokryl náklady na internetové připojení. Účtování je možné jak pro časové tarify, tak pro tarify s omezením provozu.

Univerzální možnosti programu umožňují vypočítat náklady na internetové připojení pro uživatele v jakémkoli regionu.

Všechna shromážděná data se ukládají do podrobných statistik po dnech a měsících.

Shromážděná data lze exportovat do různých formátů dokumentů pro následnou podrobnou analýzu.

výhody:

Bezplatná distribuce;

Možnost nákladového účetnictví bez ohledu na region;

Podrobné statistiky.

nedostatky:

Provádí se pouze nákladové účetnictví;

K dispozici je pouze beta verze.

TMetr

Vynikající nástroj pro účtování provozu. Nástroj shromažďuje maximum informací o procesech výměny dat.

TMeter poskytuje počítání provozu a také schopnost spravovat více připojení.

Statistiky se shromažďují o různých parametrech, zobrazují se podle aktuálního stavu věcí a ukládají se v grafické a textové podobě.

Výkonná funkčnost programu umožňuje spravovat připojení pomocí vlastního autentizačního systému na základě IP adres nebo jiných parametrů.

Ovládání datového toku umožňuje omezit rychlost připojení pro každého uživatele individuálně.

výhody:

Obrovské nástroje pro správu podnikových sítí;

mechanismus NAT, který poskytuje uživatelům místní sítě přístup k internetu přes jedinou IP;

Vestavěná autentizační služba;

Flexibilní filtrační systém.

nedostatky:

Práce v jiných operačních systémech není možná;

Nevhodné pro domácí použití;

Obtížně naučitelné rozhraní není vhodné pro běžné uživatele;

Bezplatná verze má limit na použité filtry (až 3).

Počítadlo provozu užitečná věc. Zejména pokud máte omezený přístup k síti z hlediska času nebo množství využitých megabajtů. Ne každý má neomezené, že? Mnoho lidí má doma neomezený přístup, ale pro své notebooky využívá 3G připojení nebo mobilní internet mimo domov, jako třeba já. A tento typ komunikace je obvykle omezený. Musíte sledovat spotřebu provozu, abyste nepřišli o peníze, pokud utratíte příliš mnoho.

Doporučuji použít NetWorx — bezplatný program pro záznam internetového provozu a sledování rychlosti internetového připojení. Tento malý nezbytný program vám pomůže sledovat rychlost (dopravní policisté nespí!) pohybu po síti a také ukáže, kolik kilogramů internetu bylo staženo za určitou dobu.

Použitím NetWorx Můžete nastavit časový nebo megabajtový limit. A když tohoto prahu dosáhnete, na obrazovce se objeví upozornění, že vaše píseň byla zazpívána a je čas skončit. Můžete jej také nastavit tak, aby se automaticky odpojil od sítě nebo spouštěl určité programy. Pohodlné, užitečné, snadné.

Stáhněte a nainstalujte NetWorx: 1,7 MB



Když kliknete pravým tlačítkem na ikonu na hlavním panelu, zobrazí se následující nabídka...

Ahoj přátelé! Napište o jak sledovat provoz Měl jsem to v plánu hned poté, co jsem napsal článek „“, ale nějak jsem zapomněl. Teď si pamatuji a řeknu vám, jak sledovat, kolik provozu utratíte, a uděláme to pomocí bezplatného programu NetWorx.

Víte, když máte neomezený internet připojený, není v podstatě potřeba sledovat provoz, leda pro zajímavost. Ano, nyní jsou všechny městské sítě většinou neomezené, což se zatím nedá říci o 3G internetu, jehož tarify jsou většinou mimo hitparády.

Celé toto léto jsem používal CDMA Internet od Intertelecomu a všechny tyto nuance s provozem a tarify znám z první ruky. O tom, jak nastavit a vylepšit internet od Intertelecomu, jsem již psal, četl a. Jejich „neomezený“ tarif tedy stojí 150 hřiven měsíčně. Jak vidíte, slovo neomezený dávám do uvozovek, proč? Ano, protože je tam omezená rychlost, sice jen přes den, ale není se z čeho radovat, rychlost je tam prostě hrozná, je lepší použít GPRS.

Nejběžnější tarif je 5 hřiven za den při připojení, to znamená, že pokud se dnes nepřipojíte, neplatíte. To ale není neomezené, je to 1000 megabajtů za den, do 12 hodin v noci. Mám teď tento tarif, ale aspoň rychlost je slušná, reálná průměrná rychlost je 200 Kbps. 1000 MB za den ale není moc při takové rychlosti, takže v tomto případě je prostě potřeba řídit provoz. Navíc po využití těchto 1000 MB jsou náklady na jeden megabajt 10 kopejek, což není málo.

Jakmile jsem tento internet připojil, začal jsem hledat dobrý program, který by řídil můj internetový provoz a uměl nastavit varování při vyčerpání limitu. A našel jsem to, samozřejmě, ne hned, po vyzkoušení několika věcí jsem narazil na program NetWorx. O kterých si povíme dále.

NetWorx bude sledovat provoz

Nyní vám řeknu, kde program získat a jak jej nastavit.

1. Ať už hledáte jakýkoli program, nahrál jsem ho na svůj hosting, takže .

2. Spusťte stažený soubor a nainstalujte program, proces instalace nebudu popisovat, o tom jsem psal v.

3. Pokud se po instalaci program sám nespustí, spusťte jej pomocí zástupce na ploše nebo v nabídce Start.

4. To je vše, program již počítá váš internetový provoz, schová se do zásobníku a tiše tam pracuje. Pracovní okno programu vypadá takto:

Jak vidíte, program zobrazuje internetový provoz za aktuální den a po celou dobu, počínaje dobou, kdy jste program nainstalovali, vidíte, kolik jsem spálil :). Ve skutečnosti program nepotřebuje žádné nastavení. Jen vám řeknu, jak nastavit kvótu v NetWorx, to znamená omezení provozu a jak zajistit, aby ikona na panelu zobrazovala aktivitu příchozího a odchozího internetového provozu.

5. Nyní se přesvědčme, že je v zásobníku zobrazena aktivita internetového provozu.

Klepněte pravým tlačítkem myši na ikonu programu v zásobníku a vyberte „Nastavení“

Na kartě „Graf“ jej nastavte jako na mém snímku obrazovky, klikněte na „OK“ a „Použít“. Ikona programu NetWorx nyní zobrazí aktivitu internetového připojení.

6. A posledním bodem v nastavení tohoto programu bude nastavení kvóty. Například Intertelecom mi dává jen 1000 MB na den, takže abych neutratil víc než tuto částku, nastavil jsem si program tak, že když vyčerpám 80 % provozu, tak mě to varuje.

Klepněte pravým tlačítkem myši na ikonu programu v zásobníku a vyberte „Kvóta“.

Vidíte, dnes jsem vyčerpal svůj limit na 53 %, dole je pole, kde můžete určit, na jaké procento hlásit, že dochází provoz. Klikneme na tlačítko „Nastavení“ a nakonfigurujeme kvótu.

Zde je vše velmi jednoduché, nejprve nastavíme, jakou máte kvótu, například mám denní kvótu, poté nastavíme provoz jsem vybral veškerý provoz, tedy příchozí a odchozí; Nastavíme „Hodiny“ a "Měrné jednotky", mám megabajty. A samozřejmě nezapomeňte uvést velikost kvóty, mám 1000 megabajtů. Klikněte na „OK“ a je to, naše kvóta je nakonfigurována.

To je vše, program je plně nakonfigurován a připraven počítat váš provoz. Spustí se spolu s počítačem a stačí se občas podívat a pro zábavu se podívat, jaký provoz jste již spálili. Hodně štěstí!

Také na webu:

NetWorx: jak sledovat internetový provoz aktualizováno: 17. srpna 2012 od: admin

23.05.2016 45 tis

Mnoho správců sítě se často setkává s problémy, které lze vyřešit analýzou síťového provozu. A zde se setkáváme s pojmem jako je analyzátor dopravy. tak co to je?


Analyzátory a kolektory NetFlow jsou nástroje, které vám pomohou sledovat a analyzovat data o síťovém provozu. Analyzátory síťových procesů vám umožňují přesně identifikovat zařízení, která snižují propustnost kanálu. Vědí, jak najít problémové oblasti ve vašem systému a zlepšit celkovou efektivitu sítě.

termín " NetFlow“ označuje protokol Cisco určený ke shromažďování informací o IP provozu a monitorování síťového provozu. NetFlow byl přijat jako standardní protokol pro streamovací technologie.

Software NetFlow shromažďuje a analyzuje toková data generovaná routery a prezentuje je v uživatelsky přívětivém formátu.

Několik dalších prodejců síťových zařízení má své vlastní protokoly pro monitorování a sběr dat. Například Juniper, další vysoce uznávaný prodejce síťových zařízení, nazývá svůj protokol „ J-Flow". HP a Fortinet používají termín „ s-Flow". Přestože se protokoly nazývají odlišně, všechny fungují podobným způsobem. V tomto článku se podíváme na 10 bezplatných analyzátorů síťového provozu a kolektorů NetFlow pro Windows.

SolarWinds NetFlow Traffic Analyzer v reálném čase


Bezplatný NetFlow Traffic Analyzer je jedním z nejpopulárnějších nástrojů dostupných ke stažení zdarma. Poskytuje vám možnost třídit, označovat a zobrazovat data různými způsoby. To vám umožní pohodlně vizualizovat a analyzovat síťový provoz. Nástroj je skvělý pro sledování síťového provozu podle typu a časového období. Stejně jako spouštění testů ke zjištění, kolik provozu spotřebují různé aplikace.

Tento bezplatný nástroj je omezen na jedno monitorovací rozhraní NetFlow a ukládá pouze 60 minut dat. Tento Netflow analyzátor je mocný nástroj, který se vyplatí používat.

Colasoft Capsa zdarma


Tento bezplatný analyzátor provozu LAN identifikuje a monitoruje více než 300 síťových protokolů a umožňuje vám vytvářet vlastní zprávy. Zahrnuje monitorování e-mailů a sekvenční grafy TCP synchronizace, to vše je shromážděno v jednom přizpůsobitelném panelu.

Mezi další funkce patří analýza zabezpečení sítě. Například sledování DoS/DDoS útoků, aktivity červů a detekce ARP útoků. Stejně jako dekódování paketů a zobrazování informací, statistická data o každém hostiteli v síti, řízení výměny paketů a rekonstrukce toku. Capsa Free podporuje všechny 32bitové a 64bitové verze Windows XP.

Minimální systémové požadavky pro instalaci: 2 GB RAM a 2,8 GHz procesor. Musíte mít také ethernetové připojení k internetu ( kompatibilní s NDIS 3 nebo vyšší), Fast Ethernet nebo Gigabit s ovladačem pro smíšený režim. Umožňuje pasivně zachytit všechny pakety přenášené přes ethernetový kabel.

Rozzlobený IP skener


Jedná se o open source analyzátor provozu Windows, který se rychle a snadno používá. Nevyžaduje instalaci a lze jej použít v systémech Linux, Windows a Mac OSX. Tento nástroj funguje tak, že jednoduše pingne na každou IP adresu a dokáže určit MAC adresy, skenovat porty, poskytnout informace NetBIOS, určit oprávněného uživatele v systémech Windows, objevit webové servery a mnoho dalšího. Jeho možnosti jsou rozšířeny pomocí Java pluginů. Skenovaná data lze ukládat do souborů CSV, TXT, XML.

ManageEngine NetFlow Analyzer Professional


Plně funkční verze softwaru NetFlow od ManageEngines. Jedná se o výkonný software s kompletní sadou funkcí pro analýzu a sběr dat: sledování propustnosti kanálu v reálném čase a upozornění při dosažení prahových hodnot, což vám umožňuje rychle spravovat procesy. Kromě toho poskytuje souhrnná data o využití zdrojů, sledování aplikací a protokolů a mnoho dalšího.

Bezplatná verze linuxového analyzátoru provozu umožňuje neomezené používání produktu po dobu 30 dnů, poté můžete sledovat pouze dvě rozhraní. Systémové požadavky na NetFlow Analyzer ManageEngine závisí na průtoku. Doporučené požadavky na minimální průtok 0 až 3000 vláken za sekundu jsou dvoujádrový procesor 2,4 GHz, 2 GB RAM a 250 GB volného místa na pevném disku. S rostoucí rychlostí toku, který má být monitorován, rostou i požadavky.

Vole


Tato aplikace je populární síťový monitor vyvinutý společností MikroTik. Automaticky prohledá všechna zařízení a znovu vytvoří mapu sítě. Dude monitoruje servery běžící na různých zařízeních a v případě problémů vás upozorní. Mezi další funkce patří automatické zjišťování a zobrazování nových zařízení, možnost vytvářet vlastní mapy, přístup k nástrojům pro vzdálenou správu zařízení a další. Běží na Windows, Linux Wine a MacOS Darwine.

JDSU Network Analyzer Fast Ethernet


Tento program pro analýzu provozu vám umožňuje rychle shromažďovat a zobrazovat síťová data. Nástroj poskytuje možnost zobrazit registrované uživatele, určit úroveň využití šířky pásma sítě jednotlivými zařízeními a rychle najít a opravit chyby. A také zachycovat data v reálném čase a analyzovat je.

Aplikace podporuje vytváření vysoce detailních grafů a tabulek, které správcům umožňují sledovat dopravní anomálie, filtrovat data pro prosévání velkých objemů dat a mnoho dalšího. Tento nástroj pro začínající profesionály i zkušené administrátory vám umožní převzít úplnou kontrolu nad vaší sítí.

Plixer Scrutinizer


Tento analyzátor síťového provozu umožňuje shromažďovat a komplexně analyzovat síťový provoz a rychle najít a opravit chyby. Pomocí Scrutinizeru můžete svá data třídit různými způsoby, včetně časového intervalu, hostitele, aplikace, protokolu a dalších. Bezplatná verze umožňuje ovládat neomezený počet rozhraní a ukládat data po dobu 24 hodin aktivity.

Wireshark


Wireshark je výkonný síťový analyzátor, který lze spustit na platformách Linux, Windows, MacOS X, Solaris a dalších. Wireshark vám umožňuje prohlížet zachycená data pomocí GUI nebo používat nástroje TShark v režimu TTY. Mezi jeho funkce patří sběr a analýza VoIP provozu, zobrazení Ethernetu v reálném čase, IEEE 802.11, Bluetooth, USB, data Frame Relay, XML, PostScript, výstup dat CSV, podpora dešifrování a další.

Systémové požadavky: Windows XP a vyšší, jakýkoli moderní 64/32bitový procesor, 400 Mb RAM a 300 Mb volného místa na disku. Wireshark NetFlow Analyzer je výkonný nástroj, který může výrazně zjednodušit práci každého správce sítě.

Paessler PRTG


Tento analyzátor provozu poskytuje uživatelům mnoho užitečných funkcí: podporu pro monitorování LAN, WAN, VPN, aplikací, virtuálního serveru, QoS a prostředí. Podporováno je také monitorování na více místech. PRTG využívá SNMP, WMI, NetFlow, SFlow, JFlow a analýzu paketů, stejně jako monitorování uptime/downtime a podporu IPv6.

Bezplatná verze vám umožňuje používat neomezený počet senzorů po dobu 30 dnů, poté můžete zdarma používat pouze 100 senzorů.

nProbe


Je to plně vybavená open source aplikace pro sledování a analýzu NetFlow.

nProbe podporuje IPv4 a IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, obsahuje funkce pro analýzu provozu VoIP, vzorkování toků a paketů, generování logů, aktivitu MySQL/Oracle a DNS a mnoho dalšího. Aplikace je zdarma, pokud si stáhnete a zkompilujete analyzátor provozu na Linuxu nebo Windows. Instalační spustitelný soubor omezuje velikost zachycení na 2000 paketů. nProbe je zcela zdarma pro vzdělávací instituce, ale i neziskové a vědecké organizace. Tento nástroj bude fungovat na 64bitových verzích operačních systémů Linux a Windows.

Tento seznam 10 bezplatných analyzátorů a sběračů provozu NetFlow vám pomůže začít s monitorováním a řešením problémů v malé kancelářské síti nebo velké podnikové síti WAN s více místy.

Každá aplikace uvedená v tomto článku umožňuje monitorovat a analyzovat síťový provoz, zjišťovat menší selhání a identifikovat anomálie šířky pásma, které mohou naznačovat bezpečnostní hrozby. A také vizualizovat informace o síti, provozu a mnoho dalšího. Správci sítě musí mít takové nástroje ve svém arzenálu.

Tato publikace je překladem článku „ Top 10 nejlepších bezplatných analyzátorů a kolektorů Netflow pro Windows“, připravený přátelským projektovým týmem

Dobrý Špatný

Každý administrátor dříve nebo později dostane od vedení pokyny: „Počítejte, kdo je online a kolik stahuje“. Pro poskytovatele je doplněn o úkoly „vpustit, kdo to potřebuje, přijmout platbu, omezit přístup“. Co počítat? Jak? Kde? Je tam spousta kusých informací, nejsou strukturované. Ušetříme začínajícího administrátora zdlouhavého hledání tím, že mu poskytneme všeobecné znalosti a užitečné odkazy na hardware.
V tomto článku se pokusím popsat principy organizace sběru, účtování a řízení provozu na síti. Podíváme se na problém a uvedeme možné způsoby, jak získat informace ze síťových zařízení.

Toto je první teoretický článek ze série článků věnovaných sběru, účtování, řízení a účtování provozu a IT zdrojů.

Struktura přístupu k internetu

Obecně struktura přístupu k síti vypadá takto:
  • Externí zdroje – Internet se všemi stránkami, servery, adresami a dalšími věcmi, které nepatří do sítě, kterou ovládáte.
  • Přístupové zařízení – router (hardwarový nebo na PC), switch, VPN server nebo koncentrátor.
  • Interní zdroje jsou množinou počítačů, podsítí, předplatitelů, s jejichž provozem v síti je třeba počítat nebo je řídit.
  • Server pro správu nebo účetnictví je zařízení, na kterém běží specializovaný software. Funkčně kombinovatelné se softwarovým routerem.
V této struktuře přechází síťový provoz z externích zdrojů na interní a zpět přes přístupové zařízení. Přenáší informace o provozu na server pro správu. Řídicí server tyto informace zpracuje, uloží do databáze, zobrazí a vydá blokovací příkazy. Ne všechny kombinace přístupových zařízení (metod) a metod sběru a kontroly jsou však kompatibilní. Různé možnosti budou diskutovány níže.

Síťový provoz

Nejprve musíte definovat, co se rozumí „síťovým provozem“ a jaké užitečné statistické informace lze získat z proudu uživatelských dat.
Dominantním mezisíťovým protokolem je stále IP verze 4. IP protokol odpovídá vrstvě 3 modelu OSI (L3). Informace (data) mezi odesílatelem a příjemcem jsou baleny do paketů - majících hlavičku a „payload“. Hlavička určuje, odkud a kam paket přichází (adresa IP odesílatele a cíle), velikost paketu a typ užitečného zatížení. Převážnou část síťového provozu tvoří pakety s užitečnými zatíženími UDP a TCP – jedná se o protokoly Layer 4 (L4). Hlavička těchto dvou protokolů obsahuje kromě adres také čísla portů, která určují typ služby (aplikace) přenášející data.

K přenosu paketu IP po drátech (nebo rádiem) jsou síťová zařízení nucena jej „zabalit“ (zapouzdřit) do paketu protokolu Layer 2 (L2). Nejběžnějším protokolem tohoto typu je Ethernet. Vlastní přenos „na drát“ probíhá na 1. úrovni. Přístupové zařízení (směrovač) obvykle neanalyzuje hlavičky paketů na úrovních vyšších než 4 (výjimkou jsou inteligentní brány firewall).
Informace z polí adres, portů, protokolů a délkových čítačů z hlaviček L3 a L4 datových paketů tvoří „surovinu“, která se používá při účtování a řízení provozu. Skutečné množství přenášených informací se nachází v poli Délka v hlavičce IP (včetně délky samotné hlavičky). Mimochodem, kvůli fragmentaci paketů v důsledku mechanismu MTU je celkové množství přenášených dat vždy větší než velikost užitečného zatížení.

Celková délka polí IP a TCP/UDP paketu, která jsou pro nás v této souvislosti zajímavá, je 2...10 % celkové délky paketu. Pokud zpracujete a uložíte všechny tyto informace dávku po dávce, nebude dostatek zdrojů. Naštěstí je velká většina provozu strukturována tak, aby sestávala ze série „konverzací“ mezi externími a interními síťovými zařízeními, nazývanými „toky“. Například v rámci jedné operace odeslání e-mailu (protokol SMTP) se otevře TCP relace mezi klientem a serverem. Vyznačuje se konstantní sadou parametrů (zdrojová IP adresa, zdrojový TCP port, cílová IP adresa, cílový TCP port). Namísto zpracování a ukládání informací paket po paketu je mnohem pohodlnější ukládat parametry toku (adresy a porty), stejně jako doplňkové informace - počet a součet délek paketů přenášených v každém směru, volitelně trvání relace, rozhraní routeru indexy, hodnota pole ToS atd. Tento přístup je výhodný pro protokoly orientované na připojení (TCP), kde je možné explicitně zachytit ukončení relace. I u protokolů, které nejsou orientovány na relaci, je však možné provést agregaci a logické dokončení záznamu toku na základě například timeoutu. Níže je uveden výňatek z SQL databáze našeho vlastního fakturačního systému, který zaznamenává informace o dopravních tocích:

Je třeba si povšimnout případu, kdy přístupové zařízení provádí překlad adres (NAT, maskování) pro organizaci přístupu k internetu pro počítače v lokální síti pomocí jedné, externí, veřejné IP adresy. V tomto případě speciální mechanismus nahrazuje IP adresy a TCP/UDP porty provozních paketů a nahrazuje interní (nesměrovatelné na internetu) adresy podle své dynamické překladové tabulky. Při této konfiguraci je nutné pamatovat na to, že pro správné zaznamenávání dat o hostitelích vnitřní sítě je třeba statistiky sbírat způsobem a na místě, kde výsledek překladu ještě „neanonymizuje“ interní adresy.

Metody sběru dopravních/statistických informací

Informace o procházejícím provozu můžete zaznamenávat a zpracovávat přímo na samotném přístupovém zařízení (PC router, VPN server), přenášet je z tohoto zařízení na samostatný server (NetFlow, SNMP) nebo „z drátu“ (tap, SPAN). Podívejme se na všechny možnosti v pořadí.
PC router
Uvažujme nejjednodušší případ – přístupové zařízení (router) založené na PC s Linuxem.

Jak takový server nastavit, překlad adres a směrování, bylo toho napsáno hodně. Zajímá nás další logický krok – informace, jak získat informace o provozu procházejícím takovým serverem. Existují tři běžné způsoby:

  • zachycování (kopírování) paketů procházejících síťovou kartou serveru pomocí knihovny libpcap
  • zachycování paketů procházejících přes vestavěný firewall
  • použití nástrojů třetích stran pro převod statistiky paket po paketu (získané jednou ze dvou předchozích metod) do agregovaného informačního toku netflow
Libpcap


V prvním případě si může klientský program na serveru napsaný pomocí této knihovny vyžádat kopii paketu procházejícího rozhraním po průchodu filtrem (man pcap-filter). Paket přichází s hlavičkou vrstvy 2 (Ethernet). Délku zachycené informace je možné omezit (pokud nás zajímá pouze informace z její hlavičky). Příklady takových programů zahrnují tcpdump a Wireshark. Existuje implementace libpcap pro Windows. Pokud je na PC routeru použit překlad adres, lze takový odposlech provádět pouze na jeho interním rozhraní připojeném k místním uživatelům. Na externím rozhraní pakety IP po překladu neobsahují informace o vnitřních hostitelích sítě. Touto metodou však nelze zohlednit provoz generovaný samotným serverem v Internetu (což je důležité, pokud provozuje webovou nebo e-mailovou službu).

libpcap vyžaduje podporu operačního systému, což v současnosti znamená instalaci jediné knihovny. V tomto případě musí aplikační (uživatelský) program, který shromažďuje balíčky:

  • otevřete požadované rozhraní
  • specifikovat filtr, kterým se mají procházet přijaté pakety, velikost zachycené části (snaplen), velikost vyrovnávací paměti,
  • nastavte parametr promisc, který uvede síťové rozhraní do režimu zachycení pro všechny procházející pakety, nejen pro ty, které jsou adresovány na MAC adresu tohoto rozhraní
  • nastavit funkci (zpětné volání), která se má zavolat na každý přijatý paket.

Když je paket přenášen přes zvolené rozhraní, po průchodu filtrem tato funkce přijme vyrovnávací paměť obsahující Ethernet, (VLAN), IP atd. hlavičky, celková velikost až snaplen. Protože knihovna libcap kopíruje pakety, nelze ji použít k zablokování jejich průchodu. V tomto případě bude muset program shromažďování a zpracování provozu použít alternativní metody, jako je volání skriptu pro umístění dané IP adresy do pravidla blokování provozu.

Firewall


Zachycování dat procházejících firewallem vám umožňuje vzít v úvahu jak provoz samotného serveru, tak provoz síťových uživatelů, i když běží překlad adres. Hlavní věcí v tomto případě je správně formulovat pravidlo zachycení a umístit jej na správné místo. Toto pravidlo aktivuje přenos paketu do systémové knihovny, odkud jej může přijímat aplikace pro účtování a řízení provozu. Pro OS Linux se jako firewall používá iptables a nástroje pro zachycení jsou ipq, netfliter_queue nebo ulog. Pro OC FreeBSD – ipfw s pravidly jako tee nebo divert. V každém případě je mechanismus firewallu doplněn o možnost pracovat s uživatelským programem následujícím způsobem:
  • Uživatelský program - traffic handler - se zaregistruje v systému pomocí systémového volání nebo knihovny.
  • Uživatelský program nebo externí skript nainstaluje pravidlo do firewallu a „zabalí“ vybraný provoz (podle pravidla) do handleru.
  • Za každý procházející paket obdrží handler jeho obsah ve formě paměťového bufferu (s IP hlavičkami apod. Po zpracování (zaúčtování) musí program také jádru operačního systému sdělit, co s takovým paketem dále dělat – zahodit jej nebo jej předat dál Alternativně je možné předat upravený paket jádru.

Vzhledem k tomu, že IP paket není zkopírován, ale odeslán do softwaru k analýze, je možné jej „vysunout“, a tím zcela nebo částečně omezit provoz určitého typu (například vybranému účastníkovi místní sítě). Pokud však aplikační program přestane odpovídat jádru o svém rozhodnutí (například zablokuje), provoz přes server je jednoduše zablokován.
Je třeba poznamenat, že popsané mechanismy s významnými objemy přenášeného provozu vytvářejí nadměrné zatížení serveru, které je spojeno s neustálým kopírováním dat z jádra do uživatelského programu. Způsob sběru statistik na úrovni jádra OS s výstupem agregovaných statistik do aplikačního programu přes protokol NetFlow tuto nevýhodu nemá.

Netflow
Tento protokol byl vyvinut společností Cisco Systems pro export informací o provozu ze směrovačů za účelem účtování a analýzy provozu. Nejpopulárnější verze 5 nyní poskytuje příjemci proud strukturovaných dat ve formě UDP paketů obsahujících informace o minulém provozu ve formě tzv. záznamů toku:

Množství informací o provozu je o několik řádů menší než provoz samotný, což je důležité zejména ve velkých a distribuovaných sítích. Samozřejmě nelze blokovat přenos informací při sběru statistik přes netflow (pokud nejsou použity další mechanismy).
V současné době se stává populární další vývoj tohoto protokolu - verze 9, založená na šabloně struktury záznamu toku, implementace pro zařízení jiných výrobců (sFlow). Nedávno byl přijat standard IPFIX, který umožňuje přenášet statistiky prostřednictvím protokolů na hlubších úrovních (například podle typu aplikace).
Pro PC routery je k dispozici implementace zdrojů netflow (agenti, sondy), a to jak ve formě utilit pracujících podle výše popsaných mechanismů (flowprobe, softflowd), tak přímo zabudovaných v jádře OS (FreeBSD: ng_netgraph, Linux:) . U softwarových směrovačů lze stream statistiky netflow přijímat a zpracovávat lokálně na samotném směrovači nebo posílat po síti (přenosový protokol - přes UDP) do přijímajícího zařízení (kolektoru).


Program kolektoru může shromažďovat informace z mnoha zdrojů najednou, přičemž je schopen rozlišit jejich provoz i při překrývajících se adresních prostorech. Pomocí dalších nástrojů, jako je nprobe, je také možné provádět další agregaci dat, bifurkaci streamu nebo konverzi protokolů, což je důležité při správě velké a distribuované sítě s desítkami routerů.

Funkce exportu Netflow podporují směrovače od Cisco Systems, Mikrotik a některých dalších. Podobnou funkcionalitu (s jinými exportními protokoly) podporují všichni hlavní výrobci síťových zařízení.

Libpcap „venku“
Pojďme si úkol trochu zkomplikovat. Co když je vaším přístupovým zařízením hardwarový směrovač od jiného výrobce? Například D-Link, ASUS, Trendnet atd. Je velmi pravděpodobné, že na něj není možné nainstalovat další software pro sběr dat. Případně máte chytré přístupové zařízení, ale není možné jej nakonfigurovat (nemáte práva nebo je spravováno vaším poskytovatelem). V tomto případě můžete shromažďovat informace o provozu přímo v místě, kde se přístupové zařízení setkává s vnitřní sítí, pomocí „hardwarových“ nástrojů pro kopírování paketů. V tomto případě budete určitě potřebovat samostatný server s vyhrazenou síťovou kartou pro příjem kopií ethernetových paketů.
Server musí používat mechanismus sběru paketů pomocí výše popsané metody libpcap a naším úkolem je odeslat datový tok identický s datovým tokem přicházejícím z přístupového serveru na vstup síťové karty určené pro tento účel. K tomu můžete použít:
  • Ethernet - rozbočovač: zařízení, které jednoduše přeposílá pakety mezi všemi svými porty bez rozdílu. V moderní realitě se nachází někde v prašném skladišti a použití této metody se nedoporučuje: nespolehlivé, nízká rychlost (neexistují žádné rozbočovače s rychlostí 1 Gbit/s)
  • Ethernet - switch s možností zrcadlení (zrcadlení, SPAN porty. Moderní chytré (a drahé) switche umožňují zkopírovat veškerý provoz (příchozí, odchozí, obojí) jiného fyzického rozhraní, VLAN, včetně vzdáleného (RSPAN) do zadaného přístav
  • Hardwarový splitter, který může vyžadovat instalaci dvou síťových karet místo jedné ke sběru - a to je navíc k hlavní, systémové.


Samozřejmostí je možnost konfigurace SPAN portu na samotném přístupovém zařízení (routeru), pokud to umožňuje - Cisco Catalyst 6500, Cisco ASA. Zde je příklad takové konfigurace pro přepínač Cisco:
monitor session 1 source vlan 100 ! odkud dostaneme balíčky?
monitor relace 1 cílové rozhraní Gi6/3! kde vydáváme balíčky?

SNMP
Co když nemáme router pod naší kontrolou, nechceme kontaktovat netflow, nezajímají nás podrobnosti o provozu našich uživatelů. Jsou jednoduše připojeny k síti prostřednictvím řízeného přepínače a my jen musíme zhruba odhadnout objem provozu směřujícího do každého z jeho portů. Jak víte, síťová zařízení s podporou vzdáleného ovládání a mohou zobrazovat čítače paketů (bajtů) procházejících síťovými rozhraními. K jejich dotazování by bylo správné použít standardizovaný protokol vzdálené správy SNMP. S jeho pomocí můžete poměrně snadno získat nejen hodnoty zadaných čítačů, ale také další parametry, jako je název a popis rozhraní, MAC adresy viditelné přes něj a další užitečné informace. To se provádí jak nástroji příkazového řádku (snmpwalk), grafickými prohlížeči SNMP, tak i složitějšími programy pro monitorování sítě (rrdtools, cacti, zabbix, whats up gold atd.). Tato metoda má však dvě významné nevýhody:
  • blokování provozu lze provést pouze úplným vypnutím rozhraní pomocí stejného protokolu SNMP
  • čítače provozu odebrané přes SNMP se vztahují k součtu délek ethernetových paketů (unicast, broadcast a multicast samostatně), zatímco zbytek dříve popsaných nástrojů dává hodnoty relativní k IP paketům. To vytváří znatelný nesoulad (zejména na krátkých paketech) kvůli režii způsobené délkou ethernetové hlavičky (s tím se však dá přibližně bojovat: L3_byte = L2_byte - L2_packets * 38).
VPN
Samostatně stojí za zvážení případ uživatelského přístupu k síti explicitním navázáním připojení k přístupovému serveru. Klasickým příkladem je staré dobré vytáčené připojení, jehož analogem v moderním světě jsou služby vzdáleného přístupu VPN (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


Přístupové zařízení nejen směruje uživatelský IP provoz, ale funguje také jako specializovaný VPN server a ukončuje logické tunely (často šifrované), v rámci kterých je přenášen uživatelský provoz.
K zohlednění takového provozu můžete použít všechny výše popsané nástroje (a jsou velmi vhodné pro hloubkovou analýzu portů/protokolů), stejně jako další mechanismy, které poskytují nástroje pro řízení přístupu k VPN. Nejprve si povíme něco o protokolu RADIUS. Jeho práce je poměrně složité téma. Krátce zmíníme, že řízení (autorizaci) přístupu k VPN serveru (RADIUS klient) je řízeno speciální aplikací (RADIUS server), která disponuje databází (textový soubor, SQL, Active Directory) povolených uživatelů s jejich atributy. (omezení rychlosti připojení, přidělené IP adresy). Kromě procesu autorizace klient pravidelně přenáší na server zprávy o účtování, informace o stavu každé aktuálně běžící VPN relace, včetně počítadel přenesených bajtů a paketů.

Závěr

Pojďme si shrnout všechny výše popsané metody sběru dopravních informací:

Pojďme si to shrnout. V praxi existuje velké množství metod pro připojení vámi spravované sítě (s klienty nebo předplatiteli kanceláře) k externí síťové infrastruktuře pomocí řady přístupových nástrojů – softwarových a hardwarových routerů, přepínačů, VPN serverů. Téměř v každém případě však můžete přijít se schématem, kdy lze informace o provozu přenášeném přes síť odeslat do softwarového nebo hardwarového nástroje pro jeho analýzu a správu. Je také možné, že tento nástroj umožní zpětnou vazbu přístupovému zařízení pomocí inteligentních algoritmů omezení přístupu pro jednotlivé klienty, protokoly a další věci.
Zde dokončím analýzu materiálu. Zbývající nezodpovězená témata jsou:

  • jak a kam jdou shromážděné dopravní údaje
  • software pro účtování dopravy
  • Jaký je rozdíl mezi účtováním a jednoduchým „počítadlem“
  • Jak můžete zavést dopravní omezení?
  • účtování a omezení navštívených webových stránek

Štítky: Přidat štítky



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přeneste kontakty do nového telefonu Android
Přeneste kontakty do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

Nejnovější články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Nahoru