Contabilización de programas que desperdician el tráfico de la red. Principios de organización de la contabilidad del tráfico IP.

Contabilización de programas que desperdician el tráfico de la red. Principios de organización de la contabilidad del tráfico IP.

Los programas de contabilidad de tráfico monitorean las conexiones en todas las interfaces. Cuentan la cantidad de datos recibidos y enviados.

Algunos de ellos te permiten limitar la velocidad de cada conexión individual.

De esta forma, puede distribuir el tráfico de Internet según la prioridad de la tarea.

Otra característica útil de este tipo de utilidades es la capacidad de mantener estadísticas.

¡Consejo!

Este software es necesario para estructuras corporativas en las que todos los aspectos financieros son importantes. El uso de un monitor de tráfico también beneficia a las redes domésticas.

Entre todos estos programas, hay cinco más comunes, funcionales y convenientes.

NetWorx

Un programa gratuito de contabilidad de tráfico que combina una interfaz sencilla y una buena funcionalidad.

Las capacidades del programa le permiten monitorear múltiples conexiones, lo cual es muy útil para monitorear el tráfico en redes corporativas.

El monitoreo detallado de la conexión le permite identificar y derrotar intentos de acceso no autorizados.

Un sistema de notificación flexible le permitirá no perderse ningún evento importante, ya sean problemas de conexión, acciones sospechosas o una disminución en la velocidad de conexión.

Los datos recopilados no sólo se muestran gráficamente en la ventana del programa, sino que también se guardan en un archivo de estadísticas especial.

Posteriormente, los datos estadísticos se exportan fácilmente a una hoja de cálculo, HTML o documento MS Word.

Ventajas:

Monitoreo de múltiples conexiones;

Sistema de notificación flexible;

Mantener estadísticas detalladas;

Modelo de distribución gratuita.

Defectos:

Es cierto que en este modo sólo podrás observar la dinámica, no podrás influir en ella.

Ventajas:

Distribución gratuita;

Posibilidad de seguimiento remoto;

Bueno para uso doméstico.

Defectos:

Consumo significativo de recursos RAM;

Presencia obligatoria de .NET Framework (desventaja condicional).

Conteo de Internet

El programa está diseñado para tener en cuenta el costo de una conexión a Internet. La contabilidad es posible tanto para precios basados ​​​​en el tiempo como para planes tarifarios con límites de tráfico.

Las capacidades universales del programa le permiten calcular el costo de una conexión a Internet para usuarios de cualquier región.

Todos los datos recopilados se almacenan en estadísticas detalladas por día y mes.

Los datos recopilados se pueden exportar a varios formatos de documentos para su posterior análisis detallado.

Ventajas:

Distribución gratuita;

Posibilidad de contabilidad de costos independientemente de la región;

Estadísticas detalladas.

Defectos:

Sólo se lleva a cabo la contabilidad de costos;

Sólo está disponible la versión Beta.

TMetro

Una excelente herramienta para la contabilidad del tráfico. La utilidad recopila la máxima información sobre los procesos de intercambio de datos.

TMeter proporciona recuento de tráfico y la capacidad de gestionar múltiples conexiones.

Las estadísticas se recopilan sobre una variedad de parámetros, se muestran de acuerdo con el estado actual de las cosas y se guardan en forma gráfica y de texto.

La poderosa funcionalidad del programa le permite administrar conexiones utilizando su propio sistema de autenticación, basado en direcciones IP u otros parámetros.

Los controles de flujo de datos le permiten limitar la velocidad de conexión para cada usuario individualmente.

Ventajas:

Enormes herramientas para gestionar redes corporativas;

Mecanismo NAT, que proporciona a los usuarios de la red local acceso a Internet a través de una única IP;

Servicio de autenticación incorporado;

Sistema de filtrado flexible.

Defectos:

Orientado a Windows; trabajar en otros sistemas operativos es imposible;

No apto para uso doméstico;

La interfaz difícil de aprender no es adecuada para usuarios normales;

La versión gratuita tiene un límite en los filtros utilizados (hasta 3).

Contador de tráfico cosa útil. Especialmente si tienes acceso limitado a la red en cuanto a tiempo o cantidad de megas utilizados. No todo el mundo tiene ilimitado, ¿verdad? Mucha gente tiene acceso ilimitado en casa, pero utiliza conexiones 3G o Internet móvil fuera de casa para sus portátiles, como yo, por ejemplo. Y este tipo de comunicación suele ser limitada. Debe controlar su consumo de tráfico para no perder dinero si gasta de más.

te sugiero que uses NetWorx — un programa gratuito para contabilizar el tráfico de Internet y controlar la velocidad de la conexión a Internet. Este pequeño y necesario programa le ayudará a controlar la velocidad (¡los policías de tráfico no duermen!) del movimiento en la red, y también le mostrará cuántos kilogramos de Internet se han descargado en un tiempo determinado.

Al usar NetWorx Puedes establecer un límite de tiempo o megabytes. Y cuando se alcance este umbral, aparecerá una notificación en la pantalla diciendo que tu canción ha sido cantada y que es hora de relajarse. También puede configurarlo para que se desconecte automáticamente de la red o inicie ciertos programas. Cómodo, útil, fácil.

Descargue e instale NetWorx: 1,7 MB



Al hacer clic derecho en el icono de la bandeja, aparecerá el siguiente menú...

¡Hola amigos! escribir sobre cómo monitorear el tráfico Estaba planeando hacerlo justo después de escribir el artículo "", pero de alguna manera lo olvidé. Ahora lo recuerdo y le diré cómo realizar un seguimiento de la cantidad de tráfico que gasta, y lo haremos utilizando un programa gratuito. NetWorx.

Ya sabes, cuando tienes Internet ilimitado conectado, básicamente no hay necesidad de monitorear el tráfico, excepto por interés. Sí, ahora todas las redes de la ciudad suelen ser ilimitadas, lo que todavía no se puede decir de Internet 3G, cuyas tarifas suelen estar fuera de serie.

Todo este verano he estado utilizando Internet CDMA de Intertelecom y conozco de primera mano todos estos matices del tráfico y las tarifas. Ya escribí sobre cómo configurar y mejorar Internet desde Intertelecom, leer y. Así, su tarifa “ilimitada” cuesta 150 jrivnia al mes. Como puedes ver, puse la palabra ilimitado entre comillas, ¿por qué? Sí, porque allí hay un límite de velocidad, aunque solo durante el día, pero no hay nada de qué alegrarse, la velocidad allí es simplemente terrible, es mejor usar GPRS.

La tarifa más normal es de 5 hryvnia por día al momento de la conexión, es decir, si no te conectas hoy, no pagas. Pero esto no es ilimitado, son 1000 megas por día, hasta las 12 de la noche. Tengo esta tarifa ahora, pero al menos la velocidad es decente, la velocidad promedio real es de 200 Kbps. Pero 1000 MB por día no es mucho a esta velocidad, por lo que en este caso simplemente es necesario controlar el tráfico. Además, después de utilizar estos 1000 MB, el coste de un megabyte es de 10 kopeks, lo que no es poco.

Tan pronto como me conecté a Internet, comencé a buscar un buen programa que controlara mi tráfico de Internet y pudiera configurar una advertencia cuando se agotara el límite. Y, por supuesto, no lo encontré de inmediato; después de probar un par de cosas, encontré el programa NetWorx. Del cual hablaremos más adelante.

NetWorx monitoreará el tráfico

Ahora te diré dónde conseguir el programa y cómo configurarlo.

1. Cualquiera que sea el programa que estés buscando, lo he subido a mi hosting, así que.

2. Ejecute el archivo descargado e instale el programa, no describiré el proceso de instalación, escribí sobre esto en.

3. Si después de la instalación el programa no se inicia por sí solo, ejecútelo con un acceso directo en el escritorio o en el menú de inicio.

4. Eso es todo, el programa ya cuenta tu tráfico de Internet, se esconde en la bandeja y trabaja silenciosamente allí. La ventana de trabajo del programa se ve así:

Como puede ver, el programa muestra el tráfico de Internet para el día actual y durante todo el tiempo, a partir del momento en que instaló el programa, puede ver cuánto quemé :). De hecho, el programa no necesita ninguna configuración. Solo te diré cómo establecer una cuota en NetWorx, es decir, restricciones de tráfico y cómo hacer que el ícono de la bandeja muestre la actividad del tráfico de Internet entrante y saliente.

5. Ahora asegurémonos de que la actividad del tráfico de Internet se muestre en la bandeja.

Haga clic derecho en el icono del programa en la bandeja y seleccione "Configuración"

En la pestaña "Gráfico", configúrelo como en mi captura de pantalla, haga clic en "Aceptar" y "Aplicar". Ahora el icono de la bandeja del programa NetWorx mostrará la actividad de la conexión a Internet.

6. Y el último punto al establecer este programa será establecer una cuota. Por ejemplo, Intertelecom solo me da 1000 MB por día, así que para no gastar más de esta cantidad, configuro el programa para que cuando consuma el 80% de mi tráfico me avise.

Haga clic derecho en el icono del programa en la bandeja y seleccione "Cuota".

Verás, hoy usé mi límite en un 53%, debajo hay un campo donde puedes especificar en qué porcentaje informar que el tráfico se está agotando. Hagamos clic en el botón “Configuración” y configuremos la cuota.

Aquí todo es muy simple, primero configuramos cuál es tu cuota, por ejemplo, tengo una cuota diaria, luego configuramos el tráfico seleccioné todo el tráfico, es decir, entrante y saliente; Configuramos el “Reloj” y “Unidades de medida”, tengo megas. Y por supuesto, no olvides indicar el tamaño de la cuota, tengo 1000 megas. Pulsamos “Ok” y listo, nuestra cuota está configurada.

Eso es todo, el programa está completamente configurado y listo para contar su tráfico. Se iniciará junto con la computadora, y todo lo que tienes que hacer es mirar de vez en cuando y ver por diversión cuánto tráfico ya has quemado. ¡Buena suerte!

También en el sitio:

NetWorx: cómo monitorear el tráfico de Internet actualizado: 17 de agosto de 2012 por: administración

23/05/16 45K

Muchos administradores de red suelen encontrar problemas que pueden resolverse analizando el tráfico de la red. Y aquí nos encontramos con el concepto de analizador de tráfico. Entonces, ¿qué es?


Los analizadores y recopiladores de NetFlow son herramientas que le ayudan a monitorear y analizar los datos del tráfico de la red. Los analizadores de procesos de red le permiten identificar con precisión los dispositivos que reducen el rendimiento del canal. Saben cómo encontrar áreas problemáticas en su sistema y mejorar la eficiencia general de la red.

El término " flujo neto" se refiere a un protocolo de Cisco diseñado para recopilar información sobre el tráfico IP y monitorear el tráfico de la red. NetFlow se ha adoptado como protocolo estándar para tecnologías de transmisión.

El software NetFlow recopila y analiza datos de flujo generados por enrutadores y los presenta en un formato fácil de usar.

Varios otros proveedores de equipos de red tienen sus propios protocolos para monitoreo y recopilación de datos. Por ejemplo, Juniper, otro proveedor de dispositivos de red muy respetado, llama a su protocolo " Flujo J". HP y Fortinet utilizan el término " s-flujo". Aunque los protocolos se llaman de forma diferente, todos funcionan de forma similar. En este artículo, veremos 10 analizadores de tráfico de red y recopiladores de NetFlow gratuitos para Windows.

Analizador de tráfico NetFlow en tiempo real de SolarWinds


Free NetFlow Traffic Analyzer es una de las herramientas más populares disponibles para descarga gratuita. Le brinda la posibilidad de ordenar, etiquetar y mostrar datos de diversas formas. Esto le permite visualizar y analizar cómodamente el tráfico de la red. La herramienta es excelente para monitorear el tráfico de la red por tipo y período de tiempo. Además de ejecutar pruebas para determinar cuánto tráfico consumen varias aplicaciones.

Esta herramienta gratuita está limitada a una interfaz de monitoreo NetFlow y solo almacena 60 minutos de datos. Este analizador Netflow es una herramienta poderosa que vale la pena usar.

Colasoft Capsa Gratis


Este analizador de tráfico LAN gratuito identifica y monitorea más de 300 protocolos de red y le permite crear informes personalizados. Incluye seguimiento de correo electrónico y gráficos de secuencia. Sincronización TCP, todo esto se recopila en un panel personalizable.

Otras características incluyen análisis de seguridad de la red. Por ejemplo, seguimiento de ataques DoS/DDoS, actividad de gusanos y detección de ataques ARP. Así como decodificación de paquetes y visualización de información, datos estadísticos sobre cada host de la red, control de intercambio de paquetes y reconstrucción de flujo. Capsa Free es compatible con todas las versiones de 32 y 64 bits de Windows XP.

Requisitos mínimos del sistema para la instalación: 2 GB de RAM y un procesador de 2,8 GHz. También debe tener una conexión Ethernet a Internet ( Cumple con NDIS 3 o superior), Fast Ethernet o Gigabit con controlador de modo mixto. Le permite capturar pasivamente todos los paquetes transmitidos a través de un cable Ethernet.

Escáner IP enojado


Es un analizador de tráfico de Windows de código abierto que es rápido y fácil de usar. No requiere instalación y se puede utilizar en Linux, Windows y Mac OSX. Esta herramienta funciona simplemente haciendo ping a cada dirección IP y puede determinar direcciones MAC, escanear puertos, proporcionar información NetBIOS, determinar el usuario autorizado en sistemas Windows, descubrir servidores web y mucho más. Sus capacidades se amplían mediante complementos de Java. Los datos escaneados se pueden guardar en archivos CSV, TXT y XML.

ManageEngine NetFlow Analizador Profesional


Una versión con todas las funciones del software NetFlow de ManageEngines. Este es un software poderoso con un conjunto completo de funciones para analizar y recopilar datos: monitoreo en tiempo real del rendimiento del canal y alertas cuando se alcanzan los valores umbral, lo que le permite administrar procesos rápidamente. Además, proporciona datos resumidos sobre el uso de recursos, monitoreo de aplicaciones y protocolos, y mucho más.

La versión gratuita del analizador de tráfico de Linux permite el uso ilimitado del producto durante 30 días, después de los cuales sólo podrá monitorear dos interfaces. Los requisitos del sistema para NetFlow Analyzer ManageEngine dependen del caudal. Los requisitos recomendados para una velocidad de flujo mínima de 0 a 3000 subprocesos por segundo son un procesador de doble núcleo de 2,4 GHz, 2 GB de RAM y 250 GB de espacio disponible en el disco duro. A medida que aumenta la velocidad del flujo a controlar, también aumentan los requisitos.

el tipo


Esta aplicación es un monitor de red popular desarrollado por MikroTik. Escanea automáticamente todos los dispositivos y recrea un mapa de red. The Dude monitorea los servidores que se ejecutan en varios dispositivos y le avisa si surgen problemas. Otras características incluyen el descubrimiento y visualización automáticos de nuevos dispositivos, la capacidad de crear mapas personalizados, acceso a herramientas para la administración remota de dispositivos y más. Se ejecuta en Windows, Linux Wine y MacOS Darwine.

Analizador de red JDSU Fast Ethernet


Este programa analizador de tráfico le permite recopilar y ver rápidamente datos de la red. La herramienta brinda la capacidad de ver usuarios registrados, determinar el nivel de uso del ancho de banda de la red por parte de dispositivos individuales y encontrar y corregir errores rápidamente. Y también capturar datos en tiempo real y analizarlos.

La aplicación admite la creación de gráficos y tablas muy detallados que permiten a los administradores monitorear anomalías del tráfico, filtrar datos para examinar grandes volúmenes de datos y mucho más. Esta herramienta para profesionales principiantes, así como para administradores experimentados, le permite tomar el control total de su red.

Escrutador Plixer


Este analizador de tráfico de red le permite recopilar y analizar exhaustivamente el tráfico de red y encontrar y corregir errores rápidamente. Con Scrutinizer, puede ordenar sus datos de diversas formas, incluso por intervalo de tiempo, host, aplicación, protocolo y más. La versión gratuita te permite controlar un número ilimitado de interfaces y almacenar datos durante 24 horas de actividad.

Wireshark


Wireshark es un potente analizador de red que puede ejecutarse en Linux, Windows, MacOS X, Solaris y otras plataformas. Wireshark le permite ver los datos capturados mediante una GUI o utilizar las utilidades TShark en modo TTY. Sus características incluyen recopilación y análisis de tráfico VoIP, visualización en tiempo real de Ethernet, IEEE 802.11, Bluetooth, USB, datos Frame Relay, XML, PostScript, salida de datos CSV, soporte de descifrado y más.

Requisitos del sistema: Windows XP y superior, cualquier procesador moderno de 64/32 bits, 400 Mb de RAM y 300 Mb de espacio libre en disco. Wireshark NetFlow Analyzer es una poderosa herramienta que puede simplificar enormemente el trabajo de cualquier administrador de red.

Paessler PRTG


Este analizador de tráfico proporciona a los usuarios muchas funciones útiles: soporte para monitorear LAN, WAN, VPN, aplicaciones, servidor virtual, QoS y entorno. También se admite el monitoreo de múltiples sitios. PRTG utiliza SNMP, WMI, NetFlow, SFlow, JFlow y análisis de paquetes, así como monitoreo de tiempo de actividad/inactividad y soporte IPv6.

La versión gratuita te permite utilizar un número ilimitado de sensores durante 30 días, después de los cuales sólo podrás utilizar hasta 100 de forma gratuita.

sonda


Es una aplicación de análisis y seguimiento de NetFlow de código abierto con todas las funciones.

nProbe admite IPv4 e IPv6, Cisco NetFlow v9/IPFIX, NetFlow-Lite, contiene funciones para análisis de tráfico VoIP, muestreo de flujo y paquetes, generación de registros, actividad MySQL/Oracle y DNS, y mucho más. La aplicación es gratuita si descarga y compila el analizador de tráfico en Linux o Windows. El ejecutable de instalación limita el tamaño de captura a 2000 paquetes. nProbe es completamente gratuito para instituciones educativas, así como para organizaciones científicas y sin fines de lucro. Esta herramienta funcionará en versiones de 64 bits de los sistemas operativos Linux y Windows.

Esta lista de 10 analizadores y recopiladores de tráfico NetFlow gratuitos lo ayudará a comenzar a monitorear y solucionar problemas en una red de oficina pequeña o en una WAN empresarial grande con múltiples sitios.

Cada aplicación presentada en este artículo permite monitorear y analizar el tráfico de la red, detectar fallas menores e identificar anomalías del ancho de banda que pueden indicar amenazas a la seguridad. Y también visualizar información sobre la red, tráfico y mucho más. Los administradores de red deben tener este tipo de herramientas en su arsenal.

Esta publicación es una traducción del artículo “ Los 10 mejores analizadores y recopiladores de Netflow gratuitos para Windows", preparado por el amigable equipo del proyecto

Bueno Malo

Cualquier administrador, tarde o temprano, recibe instrucciones de la gerencia: "cuente quién se conecta y cuánto descarga". Para los proveedores, se complementa con las tareas de “dejar entrar a quien lo necesite, cobrar, limitar el acceso”. ¿Qué contar? ¿Cómo? ¿Dónde? Hay mucha información fragmentaria, no está estructurada. Ahorraremos al administrador novato de búsquedas tediosas proporcionándole conocimientos generales y enlaces útiles al hardware.
En este artículo intentaré describir los principios de organización de la recopilación, contabilidad y control del tráfico en la red. Analizaremos el problema y enumeraremos posibles formas de recuperar información de dispositivos de red.

Este es el primer artículo teórico de una serie de artículos dedicados a la recopilación, contabilidad, gestión y facturación del tráfico y los recursos TI.

estructura de acceso a internet

En general, la estructura de acceso a la red tiene este aspecto:
  • Recursos externos: Internet, con todos los sitios, servidores, direcciones y otras cosas que no pertenecen a la red que usted controla.
  • Dispositivo de acceso: enrutador (hardware o basado en PC), conmutador, servidor VPN o concentrador.
  • Los recursos internos son un conjunto de computadoras, subredes, suscriptores cuyo funcionamiento en la red debe tenerse en cuenta o controlarse.
  • Un servidor de gestión o contabilidad es un dispositivo en el que se ejecuta un software especializado. Se puede combinar funcionalmente con un enrutador de software.
En esta estructura, el tráfico de la red pasa de los recursos externos a los internos y viceversa a través del dispositivo de acceso. Transmite información de tráfico al servidor de gestión. El servidor de control procesa esta información, la almacena en la base de datos, la muestra y emite comandos de bloqueo. Sin embargo, no todas las combinaciones de dispositivos (métodos) de acceso y métodos de recolección y control son compatibles. Las diversas opciones se analizarán a continuación.

Tráfico de red

En primer lugar, es necesario definir qué se entiende por "tráfico de red" y qué información estadística útil se puede extraer del flujo de datos del usuario.
El protocolo de interconexión de redes dominante sigue siendo IP versión 4. El protocolo IP corresponde a la capa 3 del modelo OSI (L3). La información (datos) entre el remitente y el destinatario se empaqueta en paquetes, que tienen un encabezado y una "carga útil". El encabezado determina de dónde viene y hacia dónde viene el paquete (direcciones IP del remitente y de destino), el tamaño del paquete y el tipo de carga útil. La mayor parte del tráfico de la red consta de paquetes con cargas útiles UDP y TCP; estos son protocolos de Capa 4 (L4). Además de las direcciones, el encabezado de estos dos protocolos contiene números de puerto, que determinan el tipo de servicio (aplicación) que transmite datos.

Para transmitir un paquete IP a través de cables (o radio), los dispositivos de red se ven obligados a "envolverlo" (encapsularlo) en un paquete de protocolo de Capa 2 (L2). El protocolo más común de este tipo es Ethernet. La transmisión real "al cable" ocurre en el primer nivel. Normalmente, el dispositivo de acceso (enrutador) no analiza los encabezados de los paquetes en niveles superiores al nivel 4 (la excepción son los firewalls inteligentes).
La información de los campos de direcciones, puertos, protocolos y contadores de longitud de los encabezados L3 y L4 de los paquetes de datos constituye la "materia prima" que se utiliza en la contabilidad y gestión del tráfico. La cantidad real de información transmitida se encuentra en el campo Longitud del encabezado IP (incluida la longitud del encabezado). Por cierto, debido a la fragmentación de paquetes debido al mecanismo MTU, la cantidad total de datos transmitidos es siempre mayor que el tamaño de la carga útil.

La longitud total de los campos IP y TCP/UDP del paquete que nos interesan en este contexto es del 2...10% de la longitud total del paquete. Si procesas y almacenas toda esta información lote a lote, no habrá suficientes recursos. Afortunadamente, la gran mayoría del tráfico está estructurado para consistir en una serie de "conversaciones" entre dispositivos de red externos e internos, denominados "flujos". Por ejemplo, como parte de una operación de envío de un correo electrónico (protocolo SMTP), se abre una sesión TCP entre el cliente y el servidor. Se caracteriza por un conjunto constante de parámetros. (dirección IP de origen, puerto TCP de origen, dirección IP de destino, puerto TCP de destino). En lugar de procesar y almacenar información paquete por paquete, es mucho más conveniente almacenar parámetros de flujo (direcciones y puertos), así como información adicional: el número y la suma de las longitudes de los paquetes transmitidos en cada dirección, opcionalmente la duración de la sesión, la interfaz del enrutador. índices, valor del campo ToS, etc. Este enfoque es beneficioso para los protocolos orientados a la conexión (TCP), donde es posible interceptar explícitamente la terminación de una sesión. Sin embargo, incluso para protocolos no orientados a sesiones, es posible realizar agregación y finalización lógica de un registro de flujo basándose, por ejemplo, en un tiempo de espera. A continuación se muestra un extracto de la base de datos SQL de nuestro propio sistema de facturación, que registra información sobre los flujos de tráfico:

Es necesario tener en cuenta el caso en el que el dispositivo de acceso realiza una traducción de direcciones (NAT, enmascaramiento) para organizar el acceso a Internet de los ordenadores de la red local utilizando una dirección IP pública externa. En este caso, un mecanismo especial reemplaza las direcciones IP y los puertos TCP/UDP de los paquetes de tráfico, reemplazando las direcciones internas (no enrutables en Internet) según su tabla de traducción dinámica. En esta configuración, es necesario recordar que para registrar correctamente los datos en los hosts de la red interna, las estadísticas deben recopilarse de una manera y en un lugar donde el resultado de la traducción aún no "anonimice" las direcciones internas.

Métodos para recopilar información sobre tráfico/estadísticas

Puede capturar y procesar información sobre el tráfico que pasa directamente en el dispositivo de acceso (enrutador de PC, servidor VPN), transfiriéndolo desde este dispositivo a un servidor separado (NetFlow, SNMP) o "desde el cable" (tap, SPAN). Veamos todas las opciones en orden.
enrutador de computadora
Consideremos el caso más simple: un dispositivo de acceso (enrutador) basado en una PC con Linux.

Cómo configurar dicho servidor, traducción y enrutamiento de direcciones, se ha escrito mucho. Nos interesa el siguiente paso lógico: información sobre cómo obtener información sobre el tráfico que pasa por dicho servidor. Hay tres métodos comunes:

  • interceptar (copiar) paquetes que pasan a través de la tarjeta de red del servidor utilizando la biblioteca libpcap
  • interceptar paquetes que pasan a través del firewall incorporado
  • usar herramientas de terceros para convertir estadísticas paquete por paquete (obtenidas mediante uno de los dos métodos anteriores) en un flujo de información agregada de netflow
Libcap


En el primer caso, un programa cliente en el servidor escrito utilizando esta biblioteca puede solicitar una copia del paquete que pasa a través de la interfaz, después de pasar el filtro (man pcap-filter). El paquete llega con un encabezado de capa 2 (Ethernet). Es posible limitar la extensión de la información capturada (si sólo nos interesa la información de su encabezado). Ejemplos de estos programas son tcpdump y Wireshark. Existe una implementación de libpcap para Windows. Si se utiliza la traducción de direcciones en un enrutador de PC, dicha interceptación solo se puede llevar a cabo en su interfaz interna conectada a usuarios locales. En la interfaz externa, después de la traducción, los paquetes IP no contienen información sobre los hosts internos de la red. Sin embargo, con este método es imposible tener en cuenta el tráfico generado por el propio servidor en Internet (lo cual es importante si ejecuta un servicio web o de correo electrónico).

libpcap requiere soporte del sistema operativo, lo que actualmente equivale a instalar una única biblioteca. En este caso, el programa de aplicación (usuario) que recopila paquetes debe:

  • abra la interfaz requerida
  • especifique el filtro a través del cual pasar los paquetes recibidos, el tamaño de la parte capturada (snaplen), el tamaño del búfer,
  • establezca el parámetro promisc, que pone la interfaz de red en modo de captura para todos los paquetes que pasan, y no solo aquellos dirigidos a la dirección MAC de esta interfaz
  • establecer una función (devolución de llamada) llamada en cada paquete recibido.

Cuando un paquete se transmite a través de la interfaz seleccionada, después de pasar el filtro, esta función recibe un buffer que contiene Ethernet, (VLAN), IP, etc. encabezados, tamaño total hasta snaplen. Dado que la biblioteca libcap copia paquetes, no se puede utilizar para bloquear su paso. En este caso, el programa de recopilación y procesamiento de tráfico tendrá que utilizar métodos alternativos, como llamar a un script para colocar una dirección IP determinada en una regla de bloqueo de tráfico.

Cortafuegos


La captura de datos que pasan a través del firewall le permite tener en cuenta tanto el tráfico del servidor como el tráfico de los usuarios de la red, incluso cuando se está ejecutando la traducción de direcciones. Lo principal en este caso es formular correctamente la regla de captura y colocarla en el lugar correcto. Esta regla activa la transferencia del paquete hacia la biblioteca del sistema, desde donde la aplicación de gestión y contabilidad del tráfico puede recibirlo. Para el sistema operativo Linux, iptables se utiliza como firewall y las herramientas de interceptación son ipq, netfliter_queue o ulog. Para OC FreeBSD – ipfw con reglas como tee o desvío. En cualquier caso, el mecanismo del firewall se complementa con la posibilidad de trabajar con un programa de usuario de la siguiente manera:
  • Un programa de usuario (un controlador de tráfico) se registra en el sistema mediante una llamada al sistema o una biblioteca.
  • Un programa de usuario o un script externo instala una regla en el firewall, "envolviendo" el tráfico seleccionado (según la regla) dentro del controlador.
  • Para cada paquete que pasa, el controlador recibe su contenido en forma de un búfer de memoria (con encabezados IP, etc. Después del procesamiento (contabilidad), el programa también debe decirle al núcleo del sistema operativo qué hacer a continuación con dicho paquete: descartarlo. o pasarlo. Alternativamente, es posible pasar el paquete modificado al kernel.

Dado que el paquete IP no se copia, sino que se envía al software para su análisis, es posible "expulsarlo" y, por lo tanto, restringir total o parcialmente el tráfico de un determinado tipo (por ejemplo, a un suscriptor de la red local seleccionado). Sin embargo, si el programa de aplicación deja de responder al kernel sobre su decisión (se cuelga, por ejemplo), el tráfico a través del servidor simplemente se bloquea.
Cabe señalar que los mecanismos descritos, con volúmenes importantes de tráfico transmitido, crean una carga excesiva en el servidor, que está asociada con la copia constante de datos del kernel al programa de usuario. El método de recopilación de estadísticas a nivel del kernel del sistema operativo, con la salida de estadísticas agregadas al programa de aplicación a través del protocolo NetFlow, no tiene este inconveniente.

flujo de red
Este protocolo fue desarrollado por Cisco Systems para exportar información de tráfico desde enrutadores con el fin de contabilizar y analizar el tráfico. La versión 5 más popular ahora proporciona al destinatario un flujo de datos estructurados en forma de paquetes UDP que contienen información sobre el tráfico pasado en forma de los llamados registros de flujo:

La cantidad de información sobre el tráfico es varios órdenes de magnitud menor que el tráfico mismo, lo cual es especialmente importante en redes grandes y distribuidas. Por supuesto, es imposible bloquear la transferencia de información al recopilar estadísticas a través de netflow (a menos que se utilicen mecanismos adicionales).
Actualmente, se está volviendo popular un mayor desarrollo de este protocolo: la versión 9, basada en la estructura de registro de flujo de plantilla, implementada para dispositivos de otros fabricantes (sFlow). Recientemente, se adoptó el estándar IPFIX, que permite transmitir estadísticas a través de protocolos en niveles más profundos (por ejemplo, por tipo de aplicación).
La implementación de fuentes de netflow (agentes, sondas) está disponible para enrutadores de PC, tanto en forma de utilidades que funcionan según los mecanismos descritos anteriormente (flowprobe, softflowd) como directamente integradas en el kernel del sistema operativo (FreeBSD: ng_netgraph, Linux:) . Para los enrutadores de software, el flujo de estadísticas de flujo de red se puede recibir y procesar localmente en el enrutador o enviarse a través de la red (protocolo de transferencia, a través de UDP) al dispositivo receptor (recolector).


El programa recopilador puede recopilar información de muchas fuentes a la vez, siendo capaz de distinguir su tráfico incluso con espacios de direcciones superpuestos. Usando herramientas adicionales como nprobe, también es posible realizar agregación de datos adicional, bifurcación de flujo o conversión de protocolo, lo cual es importante cuando se administra una red grande y distribuida con docenas de enrutadores.

Las funciones de exportación de Netflow admiten enrutadores de Cisco Systems, Mikrotik y algunos otros. Todos los principales fabricantes de equipos de red admiten una funcionalidad similar (con otros protocolos de exportación).

Libpcap “afuera”
Compliquemos un poco la tarea. ¿Qué pasa si su dispositivo de acceso es un enrutador de hardware de otro fabricante? Por ejemplo, D-Link, ASUS, Trendnet, etc. Lo más probable es que sea imposible instalarle software adicional de adquisición de datos. Alternativamente, tienes un dispositivo de acceso inteligente, pero no es posible configurarlo (no tienes derechos o está controlado por tu proveedor). En este caso, puede recopilar información sobre el tráfico directamente en el punto donde el dispositivo de acceso se encuentra con la red interna, utilizando herramientas de copia de paquetes de "hardware". En este caso, definitivamente necesitará un servidor separado con una tarjeta de red dedicada para recibir copias de los paquetes Ethernet.
El servidor debe utilizar el mecanismo de recogida de paquetes mediante el método libpcap descrito anteriormente, y nuestra tarea es enviar un flujo de datos idéntico al procedente del servidor de acceso a la entrada de la tarjeta de red dedicada a este fin. Para esto puedes usar:
  • Ethernet - hub: dispositivo que simplemente reenvía paquetes entre todos sus puertos de forma indiscriminada. En la realidad moderna, se puede encontrar en algún lugar de un almacén polvoriento, y no se recomienda utilizar este método: poco confiable, de baja velocidad (no hay concentradores con una velocidad de 1 Gbit/s)
  • Ethernet: un conmutador con la capacidad de duplicar (duplicación, puertos SPAN). Los conmutadores inteligentes modernos (y costosos) le permiten copiar todo el tráfico (entrante, saliente, ambos) de otra interfaz física, VLAN, incluida la remota (RSPAN) a una determinada puerto
  • Divisor de hardware, que puede requerir la instalación de dos tarjetas de red en lugar de una para recolectar, y esto además de la tarjeta principal del sistema.


Naturalmente, puede configurar un puerto SPAN en el propio dispositivo de acceso (enrutador), si lo permite: Cisco Catalyst 6500, Cisco ASA. A continuación se muestra un ejemplo de dicha configuración para un conmutador Cisco:
monitorear sesión 1 fuente vlan 100! ¿De dónde sacamos los paquetes?
monitor sesión 1 interfaz de destino Gi6/3! ¿Dónde emitimos paquetes?

SNMP
¿Qué pasa si no tenemos un enrutador bajo nuestro control, no queremos contactar con Netflow, no estamos interesados ​​en los detalles del tráfico de nuestros usuarios? Simplemente se conectan a la red a través de un conmutador administrado y solo necesitamos estimar aproximadamente la cantidad de tráfico que llega a cada uno de sus puertos. Como usted sabe, los dispositivos de red con soporte de control remoto pueden mostrar contadores de paquetes (bytes) que pasan a través de las interfaces de red. Para sondearlos, sería correcto utilizar el protocolo estandarizado de gestión remota SNMP. Al usarlo, puede obtener fácilmente no solo los valores de los contadores especificados, sino también otros parámetros, como el nombre y la descripción de la interfaz, las direcciones MAC visibles a través de ella y otra información útil. Esto se hace mediante utilidades de línea de comandos (snmpwalk), navegadores gráficos SNMP y programas de monitoreo de red más complejos (rrdtools, cactus, zabbix, whats up gold, etc.). Sin embargo, este método tiene dos inconvenientes importantes:
  • El bloqueo del tráfico solo se puede realizar desactivando completamente la interfaz, utilizando el mismo SNMP.
  • Los contadores de tráfico tomados vía SNMP se refieren a la suma de las longitudes de los paquetes Ethernet (unicast, broadcast y multicast por separado), mientras que el resto de herramientas descritas anteriormente dan valores relativos a los paquetes IP. Esto crea una discrepancia notable (especialmente en paquetes cortos) debido a la sobrecarga causada por la longitud del encabezado de Ethernet (sin embargo, esto se puede combatir aproximadamente: L3_byte = L2_byte - L2_packets * 38).
vpn
Por separado, vale la pena considerar el caso del acceso de un usuario a la red estableciendo explícitamente una conexión con el servidor de acceso. Un ejemplo clásico es el viejo acceso telefónico, cuyo análogo en el mundo moderno son los servicios de acceso remoto VPN (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


El dispositivo de acceso no sólo enruta el tráfico IP del usuario, sino que también actúa como un servidor VPN especializado y finaliza túneles lógicos (a menudo cifrados) dentro de los cuales se transmite el tráfico del usuario.
Para contabilizar dicho tráfico, puede utilizar todas las herramientas descritas anteriormente (y son muy adecuadas para un análisis profundo por puertos/protocolos), así como mecanismos adicionales que proporcionan herramientas de control de acceso a VPN. En primer lugar hablaremos del protocolo RADIUS. Su trabajo es un tema bastante complejo. Mencionaremos brevemente que el control (autorización) de acceso al servidor VPN (cliente RADIUS) está controlado por una aplicación especial (servidor RADIUS), la cual cuenta con una base de datos (archivo de texto, SQL, Active Directory) de los usuarios permitidos con sus atributos. (restricciones en las velocidades de conexión, direcciones IP asignadas). Además del proceso de autorización, el cliente transmite periódicamente mensajes de contabilidad al servidor, información sobre el estado de cada sesión VPN actualmente en ejecución, incluidos contadores de bytes y paquetes transferidos.

Conclusión

Reunamos todos los métodos para recopilar información de tráfico descritos anteriormente:

Resumamos. En la práctica, existe una gran cantidad de métodos para conectar la red que administra (con clientes o suscriptores de la oficina) a una infraestructura de red externa, utilizando una serie de herramientas de acceso: enrutadores de software y hardware, conmutadores y servidores VPN. Sin embargo, en casi cualquier caso, es posible idear un esquema en el que la información sobre el tráfico transmitido a través de la red se pueda enviar a una herramienta de software o hardware para su análisis y gestión. También es posible que esta herramienta permita retroalimentación al dispositivo de acceso, utilizando algoritmos inteligentes de restricción de acceso para clientes individuales, protocolos y otras cosas.
Aquí es donde terminaré el análisis del material. Los temas restantes sin respuesta son:

  • cómo y dónde van los datos de tráfico recopilados
  • software de contabilidad de tráfico
  • ¿Cuál es la diferencia entre facturación y un simple “contador”?
  • ¿Cómo se pueden imponer restricciones de tráfico?
  • contabilidad y restricción de sitios web visitados

Etiquetas: Agregar etiquetas



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba