Trafika uzraudzība vietējā tīklā

23.05.16 45,3 tūkst

Daudzi tīkla administratori bieži saskaras ar problēmām, kuras var atrisināt, analizējot tīkla trafiku. Un šeit mēs saskaramies ar tādu jēdzienu kā satiksmes analizators. Tātad, kas tas ir?


NetFlow analizatori un savācēji ir rīki, kas palīdz pārraudzīt un analizēt tīkla trafika datus. Tīkla procesu analizatori ļauj precīzi identificēt ierīces, kas samazina kanālu caurlaidspēju. Viņi zina, kā atrast problēmu zonas jūsu sistēmā un uzlabot kopējo tīkla efektivitāti.

Termiņš " NetFlow" attiecas uz Cisco protokolu, kas paredzēts IP trafika informācijas apkopošanai un tīkla trafika uzraudzībai. NetFlow ir pieņemts kā standarta protokols straumēšanas tehnoloģijām.

Programmatūra NetFlow apkopo un analizē maršrutētāju ģenerētos plūsmas datus un parāda tos lietotājam draudzīgā formātā.

Vairākiem citiem tīkla iekārtu pārdevējiem ir savi uzraudzības un datu vākšanas protokoli. Piemēram, Juniper, vēl viens ļoti cienīts tīkla ierīču pārdevējs, izsauc savu protokolu " J-Flow". HP un Fortinet izmanto terminu " s-Flow". Lai gan protokoli tiek saukti atšķirīgi, tie visi darbojas līdzīgi. Šajā rakstā mēs apskatīsim 10 bezmaksas tīkla trafika analizatorus un NetFlow savācējus operētājsistēmai Windows.

SolarWinds reāllaika NetFlow trafika analizators


Bezmaksas NetFlow Traffic Analyzer ir viens no populārākajiem bezmaksas lejupielādes rīkiem. Tas sniedz jums iespēju kārtot, atzīmēt un attēlot datus dažādos veidos. Tas ļauj ērti vizualizēt un analizēt tīkla trafiku. Šis rīks ir lieliski piemērots tīkla trafika uzraudzībai pēc veida un laika perioda. Kā arī veikt testus, lai noteiktu, cik daudz trafika patērē dažādas lietojumprogrammas.

Šis bezmaksas rīks ir pieejams tikai vienam NetFlow uzraudzības interfeisam, un tajā tiek saglabāti tikai 60 minūšu dati. Šis Netflow analizators ir spēcīgs rīks, kuru ir vērts izmantot.

Colasoft Capsa bezmaksas


Šis bezmaksas LAN trafika analizators identificē un uzrauga vairāk nekā 300 tīkla protokolus un ļauj jums izveidot pielāgotus pārskatus. Tas ietver e-pasta uzraudzību un secību diagrammas TCP sinhronizācija, tas viss ir apkopots vienā pielāgojamā panelī.

Citas funkcijas ietver tīkla drošības analīzi. Piemēram, DoS/DDoS uzbrukumu izsekošana, tārpu aktivitātes un ARP uzbrukumu noteikšana. Kā arī pakešu dekodēšana un informācijas displejs, statistikas dati par katru tīkla resursdatoru, pakešu apmaiņas kontrole un plūsmas rekonstrukcija. Capsa Free atbalsta visas Windows XP 32 bitu un 64 bitu versijas.

Minimālās sistēmas prasības instalēšanai: 2 GB RAM un 2,8 GHz procesors. Jums ir jābūt arī Ethernet savienojumam ar internetu ( Saderīgs ar NDIS 3 vai jaunāku), Fast Ethernet vai Gigabit ar jaukta režīma draiveri. Tas ļauj pasīvi uztvert visas paketes, kas pārsūtītas pa Ethernet kabeli.

Dusmīgs IP skeneris


Tas ir atvērtā koda Windows trafika analizators, kas ir ātrs un viegli lietojams. Tam nav nepieciešama instalēšana, un to var izmantot operētājsistēmās Linux, Windows un Mac OSX. Šis rīks darbojas, vienkārši pingot katru IP adresi, un var noteikt MAC adreses, skenēt portus, nodrošināt NetBIOS informāciju, noteikt autorizēto lietotāju Windows sistēmās, atklāt tīmekļa serverus un daudz ko citu. Tās iespējas tiek paplašinātas, izmantojot Java spraudņus. Skenēšanas datus var saglabāt CSV, TXT, XML failos.

ManageEngine NetFlow Analyzer Professional


ManageEngines NetFlow programmatūras pilnībā aprīkota versija. Šī ir jaudīga programmatūra ar pilnu funkciju komplektu analīzei un datu vākšanai: kanālu caurlaidspējas uzraudzība reāllaikā un brīdinājumi, kad tiek sasniegtas sliekšņa vērtības, kas ļauj ātri administrēt procesus. Turklāt tas nodrošina kopsavilkuma datus par resursu izmantošanu, lietojumprogrammu un protokolu uzraudzību un daudz ko citu.

Linux trafika analizatora bezmaksas versija ļauj neierobežoti izmantot produktu 30 dienas, pēc tam jūs varat pārraudzīt tikai divas saskarnes. Sistēmas prasības NetFlow Analyzer ManageEngine ir atkarīgas no plūsmas ātruma. Ieteicamās prasības minimālajam plūsmas ātrumam no 0 līdz 3000 pavedieniem sekundē ir 2,4 GHz divkodolu procesors, 2 GB RAM un 250 GB brīvas vietas cietajā diskā. Pieaugot uzraugāmās plūsmas ātrumam, pieaug arī prasības.

Puisis


Šī lietojumprogramma ir populārs tīkla monitors, ko izstrādājis MikroTik. Tas automātiski skenē visas ierīces un no jauna izveido tīkla karti. Dude uzrauga serverus, kas darbojas dažādās ierīcēs, un brīdina jūs, ja rodas problēmas. Citas funkcijas ietver automātisku jaunu ierīču atrašanu un parādīšanu, iespēju izveidot pielāgotas kartes, piekļuvi attālās ierīču pārvaldības rīkiem un daudz ko citu. Tas darbojas operētājsistēmās Windows, Linux Wine un MacOS Darwine.

JDSU tīkla analizators Fast Ethernet


Šī trafika analizatora programma ļauj ātri savākt un skatīt tīkla datus. Šis rīks nodrošina iespēju skatīt reģistrētos lietotājus, noteikt atsevišķu ierīču tīkla joslas platuma lietojuma līmeni, kā arī ātri atrast un labot kļūdas. Un arī tveriet datus reāllaikā un analizējiet tos.

Lietojumprogramma atbalsta ļoti detalizētu grafiku un tabulu izveidi, kas ļauj administratoriem pārraudzīt trafika anomālijas, filtrēt datus, lai izsijātu lielu datu apjomu, un daudz ko citu. Šis sākuma līmeņa profesionāļiem, kā arī pieredzējušiem administratoriem paredzēts rīks ļauj pilnībā kontrolēt savu tīklu.

Plixer Scrutinizer


Šis tīkla trafika analizators ļauj apkopot un vispusīgi analizēt tīkla trafiku, kā arī ātri atrast un labot kļūdas. Izmantojot programmu Scrutinizer, varat kārtot savus datus dažādos veidos, tostarp pēc laika intervāla, resursdatora, lietojumprogrammas, protokola un citiem. Bezmaksas versija ļauj kontrolēt neierobežotu skaitu saskarņu un uzglabāt datus par 24 stundu darbību.

Wireshark


Wireshark ir jaudīgs tīkla analizators, kas var darboties Linux, Windows, MacOS X, Solaris un citās platformās. Wireshark ļauj skatīt uzņemtos datus, izmantojot GUI, vai izmantot TTY režīma TShark utilītas. Tās funkcijas ietver VoIP trafika apkopošanu un analīzi, Ethernet reāllaika displeju, IEEE 802.11, Bluetooth, USB, Frame Relay datus, XML, PostScript, CSV datu izvadi, atšifrēšanas atbalstu un daudz ko citu.

Sistēmas prasības: Windows XP un jaunāka versija, jebkurš moderns 64/32 bitu procesors, 400 Mb RAM un 300 Mb brīvas vietas diskā. Wireshark NetFlow Analyzer ir spēcīgs rīks, kas var ievērojami vienkāršot jebkura tīkla administratora darbu.

Paessler PRTG


Šis trafika analizators nodrošina lietotājiem daudzas noderīgas funkcijas: atbalstu LAN, WAN, VPN, lietojumprogrammu, virtuālā servera, QoS un vides uzraudzībai. Tiek atbalstīta arī vairāku vietņu uzraudzība. PRTG izmanto SNMP, WMI, NetFlow, SFlow, JFlow un pakešu analīzi, kā arī darbības laika/dīkstāves uzraudzību un IPv6 atbalstu.

Bezmaksas versija ļauj izmantot neierobežotu skaitu sensoru 30 dienas, pēc tam bez maksas varat izmantot tikai līdz 100.

nProbe


Tā ir pilna Featured atvērtā koda NetFlow izsekošanas un analīzes lietojumprogramma.

nProbe atbalsta IPv4 un IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, ietver funkcijas VoIP trafika analīzei, plūsmas un pakešu paraugu ņemšanai, žurnālu ģenerēšanai, MySQL/Oracle un DNS darbībām un daudz ko citu. Lietojumprogramma ir bezmaksas, ja lejupielādējat un apkopojat trafika analizatoru operētājsistēmā Linux vai Windows. Instalācijas izpildāmā programma ierobežo tveršanas lielumu līdz 2000 pakešu. nProbe ir pilnīgi bez maksas izglītības iestādēm, kā arī bezpeļņas un zinātniskām organizācijām. Šis rīks darbosies operētājsistēmu Linux un Windows 64 bitu versijās.

Šis 10 bezmaksas NetFlow trafika analizatoru un savācēju saraksts palīdzēs jums sākt neliela biroja tīkla vai liela daudzvietīga uzņēmuma WAN uzraudzību un problēmu novēršanu.

Katra šajā rakstā aprakstītā lietojumprogramma ļauj pārraudzīt un analizēt tīkla trafiku, atklāt nelielas kļūmes un identificēt joslas platuma anomālijas, kas var norādīt uz drošības apdraudējumiem. Un arī vizualizēt informāciju par tīklu, trafiku un daudz ko citu. Tīkla administratoru arsenālā ir jābūt šādiem rīkiem.

Šī publikācija ir tulkojums rakstam " 10 labākie bezmaksas Netflow analizatori un savācēji operētājsistēmai Windows", ko sagatavojusi draudzīgā projekta komanda

Labs slikts

Jebkurš administrators agrāk vai vēlāk saņem norādījumus no vadības: “saskaitiet, kas ir tiešsaistē un cik daudz viņi lejupielādē”. Pakalpojumu sniedzējiem to papildina uzdevumi "ielaist, kam tas nepieciešams, veikt maksājumu, ierobežot piekļuvi". Ko skaitīt? Kā? Kur? Ir daudz fragmentāras informācijas, tā nav strukturēta. Mēs pasargāsim iesācēju administratoru no garlaicīgiem meklējumiem, nodrošinot viņam vispārīgas zināšanas un noderīgas saites uz aparatūru.
Šajā rakstā mēģināšu aprakstīt trafika savākšanas, uzskaites un kontroles organizēšanas principus tīklā. Mēs izskatīsim problēmu un uzskaitīsim iespējamos veidus, kā izgūt informāciju no tīkla ierīcēm.

Šis ir pirmais teorētiskais raksts rakstu sērijā, kas veltīta trafika un IT resursu apkopošanai, uzskaitei, pārvaldībai un norēķiniem.

Interneta piekļuves struktūra

Kopumā tīkla piekļuves struktūra izskatās šādi:
  • Ārējie resursi - internets ar visām vietnēm, serveriem, adresēm un citām lietām, kas nepieder jūsu kontrolētajam tīklam.
  • Piekļuves ierīce – maršrutētājs (aparatūras vai datora bāzes), slēdzis, VPN serveris vai koncentrators.
  • Iekšējie resursi ir datoru, apakštīklu, abonentu kopums, kuru darbība tīklā ir jāņem vērā vai jākontrolē.
  • Pārvaldības vai grāmatvedības serveris ir ierīce, kurā darbojas specializēta programmatūra. Var funkcionāli apvienot ar programmatūras rūteri.
Šajā struktūrā tīkla trafika pāriet no ārējiem resursiem uz iekšējiem un atpakaļ caur piekļuves ierīci. Tas pārsūta satiksmes informāciju uz pārvaldības serveri. Vadības serveris apstrādā šo informāciju, saglabā to datu bāzē, parāda un izdod bloķēšanas komandas. Tomēr ne visas piekļuves ierīču (metožu) un savākšanas un kontroles metožu kombinācijas ir savietojamas. Tālāk tiks apskatītas dažādas iespējas.

Tīkla trafiks

Pirmkārt, jums ir jādefinē, ko nozīmē “tīkla trafiks” un kādu noderīgu statistikas informāciju var iegūt no lietotāja datu straumes.
Dominējošais tīkla protokols joprojām ir IP 4. versija. IP protokols atbilst OSI modeļa 3. slānim (L3). Informācija (dati) starp sūtītāju un saņēmēju tiek iesaiņota paketēs ar galveni un “lietderīgo slodzi”. Galvene nosaka, no kurienes un uz kurieni nāk pakete (sūtītāja un saņēmēja IP adreses), paketes lielumu un kravas veidu. Lielāko daļu tīkla trafika veido paketes ar UDP un TCP lietderīgo slodzi - tie ir 4. slāņa (L4) protokoli. Papildus adresēm šo divu protokolu galvenē ir portu numuri, kas nosaka datu pārraides pakalpojuma (lietojumprogrammas) veidu.

Lai pārsūtītu IP paketi pa vadiem (vai radio), tīkla ierīces ir spiestas to “iesaiņot” (iekapsulēt) 2. slāņa (L2) protokola paketē. Visizplatītākais šāda veida protokols ir Ethernet. Faktiskā pārraide “uz vadu” notiek 1. līmenī. Parasti piekļuves ierīce (maršrutētājs) neanalizē pakešu galvenes līmeņos, kas ir augstāki par 4. līmeni (izņemot viedos ugunsmūrus).
Informācija no adrešu laukiem, portiem, protokoliem un garuma skaitītājiem no datu pakešu L3 un L4 galvenēm veido “izejvielu”, kas tiek izmantota trafika uzskaitē un pārvaldībā. Faktiskais pārsūtītās informācijas apjoms ir atrodams IP galvenes laukā Length (ieskaitot pašas galvenes garumu). Starp citu, pakešu sadrumstalotības dēļ MTU mehānisma dēļ kopējais pārsūtīto datu apjoms vienmēr ir lielāks par lietderīgās slodzes lielumu.

Mums šajā kontekstā interesanto IP un TCP/UDP lauku kopējais garums ir 2...10% no paketes kopējā garuma. Apstrādājot un glabājot visu šo informāciju pa partijām, resursu nepietiks. Par laimi, lielākā daļa trafika ir strukturēta tā, lai tā sastāvētu no "sarunu" sērijas starp ārējām un iekšējām tīkla ierīcēm, ko sauc par "plūsmām". Piemēram, kā daļa no vienas e-pasta sūtīšanas darbības (SMTP protokols) starp klientu un serveri tiek atvērta TCP sesija. To raksturo nemainīgs parametru kopums (avota IP adrese, avota TCP ports, galamērķa IP adrese, galamērķa TCP ports). Tā vietā, lai apstrādātu un uzglabātu informāciju pa paketi, daudz ērtāk ir uzglabāt plūsmas parametrus (adreses un portus), kā arī papildu informāciju - katrā virzienā pārraidīto pakešu skaitu un garumu summu, pēc izvēles sesijas ilgumu, maršrutētāja saskarni. indeksi, pakalpojumu sniegšanas noteikumu lauka vērtība utt. Šī pieeja ir noderīga uz savienojumu orientētiem protokoliem (TCP), kur ir iespējams nepārprotami pārtvert sesijas pārtraukšanu. Tomēr pat uz sesijām neorientētiem protokoliem ir iespējams veikt plūsmas ieraksta apkopošanu un loģisku pabeigšanu, pamatojoties uz, piemēram, taimautu. Tālāk ir sniegts izraksts no mūsu pašu norēķinu sistēmas SQL datu bāzes, kurā tiek reģistrēta informācija par trafika plūsmām:

Jāņem vērā gadījums, kad piekļuves ierīce veic adrešu tulkošanu (NAT, maskēšanās), lai organizētu piekļuvi internetam lokālā tīkla datoriem, izmantojot vienu, ārējo, publisko IP adresi. Šajā gadījumā īpašs mehānisms aizstāj trafika pakešu IP adreses un TCP/UDP portus, aizstājot iekšējās (internetā nemaršrutējamas) adreses atbilstoši tās dinamiskās tulkošanas tabulai. Šajā konfigurācijā ir jāatceras, ka, lai pareizi ierakstītu datus par iekšējā tīkla resursdatoriem, statistika ir jāvāc tādā veidā un vietā, kur tulkošanas rezultāts vēl “neanonīmē” iekšējās adreses.

Datplūsmas/statistikas informācijas vākšanas metodes

Varat tvert un apstrādāt informāciju par trafika nodošanu tieši pašā piekļuves ierīcē (datora maršrutētājs, VPN serveris), pārsūtot to no šīs ierīces uz atsevišķu serveri (NetFlow, SNMP) vai “no vadu” (pieskarieties, SPAN). Apskatīsim visas iespējas secībā.
Datora maršrutētājs
Apskatīsim vienkāršāko gadījumu - piekļuves ierīci (maršrutētāju), kuras pamatā ir dators, kurā darbojas Linux.

Kā izveidot šādu serveri, adrešu tulkošanu un maršrutēšanu, daudz ir rakstīts. Mūs interesē nākamais loģiskais solis – informācija, kā iegūt informāciju par trafiku, kas iet caur šādu serveri. Ir trīs izplatītas metodes:

  • pārtverot (kopējot) paketes, kas iet caur servera tīkla karti, izmantojot libpcap bibliotēku
  • pārtverot paketes, kas iet caur iebūvēto ugunsmūri
  • izmantojot trešās puses rīkus, lai pakešu statistiku (kas iegūta ar vienu no divām iepriekšējām metodēm) pārveidotu tīkla plūsmas apkopotās informācijas straumē
Libpcap


Pirmajā gadījumā paketes kopiju, kas iet caur saskarni, pēc filtra (man pcap-filter) nokārtošanas var pieprasīt klienta programma serverī, kas rakstīta, izmantojot šo bibliotēku. Pakete tiek piegādāta ar 2. slāņa galveni (Ethernet). Ir iespējams ierobežot uztveramās informācijas garumu (ja mūs interesē tikai informācija no tās galvenes). Šādu programmu piemēri ir tcpdump un Wireshark. Ir ieviesta libpcap operētājsistēmai Windows. Ja adreses tulkošana tiek izmantota datora maršrutētājā, šādu pārtveršanu var veikt tikai tā iekšējā saskarnē, kas savienota ar vietējiem lietotājiem. Ārējā saskarnē pēc tulkošanas IP paketes nesatur informāciju par tīkla iekšējiem saimniekiem. Tomēr ar šo metodi nav iespējams ņemt vērā paša servera radīto trafiku internetā (kas ir svarīgi, ja tajā darbojas tīmekļa vai e-pasta pakalpojums).

libpcap ir nepieciešams atbalsts no operētājsistēmas, kas pašlaik nozīmē vienas bibliotēkas instalēšanu. Šajā gadījumā lietojumprogrammai (lietotāja) programmai, kas apkopo pakotnes, ir:

  • atveriet nepieciešamo interfeisu
  • norādiet filtru, caur kuru tiks nodotas saņemtās paketes, uzņemtās daļas (snaplen) izmēru, bufera lielumu,
  • iestatiet promisc parametru, kas tīkla interfeisu ievieto uztveršanas režīmā visām paketēm, kas iet garām, nevis tikai tām, kas adresētas šīs saskarnes MAC adresei.
  • iestatīt funkciju (atzvanīšanu), kas jāizsauc katrā saņemtajā paketē.

Kad pakete tiek pārsūtīta caur atlasīto interfeisu, pēc filtra izlaišanas šī funkcija saņem buferi, kas satur Ethernet, (VLAN), IP utt. galvenes, kopējais izmērs līdz snaplen. Tā kā libcap bibliotēka kopē paketes, to nevar izmantot, lai bloķētu to pāreju. Šajā gadījumā trafika vākšanas un apstrādes programmai būs jāizmanto alternatīvas metodes, piemēram, jāizsauc skripts, lai trafika bloķēšanas noteikumā ievietotu noteiktu IP adresi.

Ugunsmūris


Datu tveršana, kas iet caur ugunsmūri, ļauj ņemt vērā gan paša servera trafiku, gan tīkla lietotāju trafiku pat tad, ja darbojas adreses tulkošana. Galvenais šajā gadījumā ir pareizi formulēt uztveršanas noteikumu un ievietot to pareizajā vietā. Šis noteikums aktivizē paketes pārsūtīšanu uz sistēmas bibliotēku, no kurienes to var saņemt trafika uzskaites un pārvaldības lietojumprogramma. Operētājsistēmā Linux iptables tiek izmantots kā ugunsmūris, un pārtveršanas rīki ir ipq, netfliter_queue vai ulog. OC FreeBSD — ipfw ar tādiem noteikumiem kā tee vai novirzīšana. Jebkurā gadījumā ugunsmūra mehānisms tiek papildināts ar iespēju strādāt ar lietotāja programmu šādā veidā:
  • Lietotāja programma - satiksmes apstrādātājs - reģistrējas sistēmā, izmantojot sistēmas izsaukumu vai bibliotēku.
  • Lietotāja programma vai ārējs skripts instalē kārtulu ugunsmūrī, “iesaiņojot” atlasīto trafiku (saskaņā ar noteikumu) apdarinātājā.
  • Katrai caurlaižamajai paketei apdarinātājs saņem tās saturu atmiņas bufera veidā (ar IP galvenēm utt. Pēc apstrādes (uzskaites) programmai arī jāpasaka operētājsistēmas kodolam, ko ar šādu paketi darīt tālāk – to izmet Vai arī var nodot modificēto paketi kodolam.

Tā kā IP pakete netiek kopēta, bet gan nosūtīta programmatūrai analīzei, kļūst iespējams to “izgrūst” un līdz ar to pilnībā vai daļēji ierobežot noteikta veida trafiku (piemēram, izvēlētajam lokālā tīkla abonentam). Tomēr, ja lietojumprogramma pārstāj atbildēt kodolam par savu lēmumu (piemēram, pakarināta), trafika caur serveri tiek vienkārši bloķēta.
Jāatzīmē, ka aprakstītie mehānismi ar ievērojamu pārraidītās trafika apjomu rada pārmērīgu servera slodzi, kas ir saistīta ar pastāvīgu datu kopēšanu no kodola uz lietotāja programmu. Statistikas vākšanas metodei OS kodola līmenī ar apkopotās statistikas izvadi lietojumprogrammai, izmantojot NetFlow protokolu, nav šī trūkuma.

Netflow
Šo protokolu izstrādāja Cisco Systems, lai eksportētu satiksmes informāciju no maršrutētājiem trafika uzskaites un analīzes nolūkos. Populārākā 5. versija tagad nodrošina saņēmējam strukturētu datu plūsmu UDP pakešu veidā, kas satur informāciju par iepriekšējo trafiku tā saukto plūsmas ierakstu veidā:

Informācijas apjoms par trafiku ir par vairākām kārtām mazāks par pašu trafiku, kas ir īpaši svarīgi lielos un izkliedētos tīklos. Protams, nav iespējams bloķēt informācijas pārsūtīšanu, vācot statistiku caur netflow (ja vien netiek izmantoti papildu mehānismi).
Šobrīd populāra kļūst šī protokola tālāka izstrāde - 9. versija, kuras pamatā ir šablonu plūsmas ieraksta struktūra, realizācija citu ražotāju ierīcēm (sFlow). Nesen tika pieņemts IPFIX standarts, kas ļauj pārsūtīt statistiku, izmantojot protokolus dziļākos līmeņos (piemēram, pēc lietojumprogrammas veida).
Tīkla plūsmas avotu (aģentu, zondes) ieviešana ir pieejama datoru maršrutētājiem gan utilītu veidā, kas darbojas saskaņā ar iepriekš aprakstītajiem mehānismiem (flowprobe, softflowd), gan tieši iebūvēti OS kodolā (FreeBSD: ng_netgraph, Linux:) . Programmatūras maršrutētājiem tīkla plūsmas statistikas straumi var saņemt un apstrādāt lokāli pašā maršrutētājā vai nosūtīt pa tīklu (pārsūtīšanas protokols — pa UDP) uz saņēmēju ierīci (savācēju).


Savācēja programma var apkopot informāciju no daudziem avotiem vienlaikus, spējot atšķirt to trafiku pat tad, ja adrešu telpas pārklājas. Izmantojot papildu rīkus, piemēram, nprobe, ir iespējams veikt arī papildu datu apkopošanu, straumes bifurkāciju vai protokolu konvertēšanu, kas ir svarīgi, pārvaldot lielu un izkliedētu tīklu ar desmitiem maršrutētāju.

Netflow eksporta funkcijas atbalsta maršrutētājus no Cisco Systems, Mikrotik un dažiem citiem. Līdzīgu funkcionalitāti (ar citiem eksporta protokoliem) atbalsta visi lielākie tīkla iekārtu ražotāji.

Libpcap “ārpus”
Nedaudz sarežģīsim uzdevumu. Ko darīt, ja jūsu piekļuves ierīce ir cita ražotāja aparatūras maršrutētājs? Piemēram, D-Link, ASUS, Trendnet utt. Visticamāk, tajā nav iespējams instalēt papildu datu iegūšanas programmatūru. Vai arī jums ir viedpiekļuves ierīce, taču to nav iespējams konfigurēt (jums nav tiesību, vai arī to pārvalda jūsu pakalpojumu sniedzējs). Šajā gadījumā informāciju par trafiku var ievākt tieši vietā, kur piekļuves ierīce satiekas ar iekšējo tīklu, izmantojot “aparatūras” pakešu kopēšanas rīkus. Šajā gadījumā jums noteikti būs nepieciešams atsevišķs serveris ar speciālu tīkla karti, lai saņemtu Ethernet pakešu kopijas.
Serverim ir jāizmanto pakešu vākšanas mehānisms, izmantojot iepriekš aprakstīto libpcap metodi, un mūsu uzdevums ir šim nolūkam paredzētās tīkla kartes ievadei nosūtīt datu straumi, kas ir identiska tai, kas nāk no piekļuves servera. Šim nolūkam varat izmantot:
  • Ethernet — centrmezgls: ierīce, kas vienkārši pārsūta paketes starp visiem tās portiem bez izšķirības. Mūsdienu realitātē to var atrast kaut kur putekļainā noliktavā, un šīs metodes izmantošana nav ieteicama: neuzticams, mazs ātrums (nav centrmezglu ar ātrumu 1 Gbit/s)
  • Ethernet - slēdzis ar spoguļošanas iespēju (spoguļošana, SPAN porti. Mūsdienu viedie (un dārgie) slēdži ļauj kopēt visu trafiku (ienākošos, izejošos, abus) no cita fiziskā interfeisa VLAN, ieskaitot attālo (RSPAN) uz norādīto osta
  • Aparatūras sadalītājs, kura savākšanai var būt nepieciešams instalēt divas tīkla kartes, nevis vienu, un tas ir papildus galvenajai, sistēmas vienai.


Protams, jūs varat konfigurēt SPAN portu pašā piekļuves ierīcē (maršrutētājs), ja tas to atļauj - Cisco Catalyst 6500, Cisco ASA. Šeit ir šādas Cisco slēdža konfigurācijas piemērs:
uzraudzīt sesiju 1 avota vlan 100! no kurienes ņemam pakas?
monitora sesijas 1 mērķa interfeiss Gi6/3! kur mēs izsniedzam pakas?

SNMP
Ko darīt, ja mēs nekontrolējam maršrutētāju, mēs nevēlamies sazināties ar Netflow, mūs neinteresē informācija par mūsu lietotāju trafiku. Tie ir vienkārši savienoti ar tīklu, izmantojot pārvaldītu slēdzi, un mums tikai aptuveni jānovērtē trafika apjoms, kas tiek novirzīts uz katru no tā portiem. Kā jūs zināt, tīkla ierīces ar tālvadības pulti atbalsta un var parādīt pakešu (baitu) skaitītājus, kas iet caur tīkla saskarnēm. Lai tos aptaujātu, būtu pareizi izmantot standartizēto attālās pārvaldības protokolu SNMP. Izmantojot to, jūs varat diezgan viegli iegūt ne tikai norādīto skaitītāju vērtības, bet arī citus parametrus, piemēram, interfeisa nosaukumu un aprakstu, caur to redzamās MAC adreses un citu noderīgu informāciju. To dara gan komandrindas utilītas (snmpwalk), gan grafiskās SNMP pārlūkprogrammas, gan sarežģītākas tīkla uzraudzības programmas (rrdtools, cacti, zabbix, whats up gold utt.). Tomēr šai metodei ir divi būtiski trūkumi:
  • Satiksmes bloķēšanu var veikt, tikai pilnībā atspējojot saskarni, izmantojot to pašu SNMP
  • trafika skaitītāji, kas ņemti, izmantojot SNMP, attiecas uz Ethernet pakešu (atsevišķi unicast, apraides un multiraides) garumu summu, savukārt pārējie iepriekš aprakstītie rīki sniedz vērtības attiecībā pret IP paketēm. Tas rada ievērojamu neatbilstību (īpaši īsām paketēm) Ethernet galvenes garuma radītās pieskaitāmās izmaksas (tomēr ar to var aptuveni cīnīties: L3_byte = L2_byte - L2_packets * 38).
VPN
Atsevišķi ir vērts apsvērt gadījumu, kad lietotājs piekļūst tīklam, skaidri izveidojot savienojumu ar piekļuves serveri. Klasisks piemērs ir vecā labā iezvanpieeja, kuras analogs mūsdienu pasaulē ir VPN attālās piekļuves pakalpojumi (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


Piekļuves ierīce ne tikai maršrutē lietotāja IP trafiku, bet arī darbojas kā specializēts VPN serveris un pārtrauc loģiskos tuneļus (bieži šifrētus), kuros tiek pārraidīta lietotāju trafika.
Lai ņemtu vērā šādu trafiku, varat izmantot visus iepriekš aprakstītos rīkus (un tie ir labi piemēroti padziļinātai portu/protokolu analīzei), kā arī papildu mehānismus, kas nodrošina VPN piekļuves kontroles rīkus. Pirmkārt, mēs runāsim par RADIUS protokolu. Viņa darbs ir diezgan sarežģīta tēma. Īsumā pieminēsim, ka VPN serverim (RADIUS klientam) pieejas kontroli (autorizāciju) kontrolē speciāla aplikācija (RADIUS serveris), kurai ir atļauto lietotāju datubāze (teksta fails, SQL, Active Directory) ar to atribūtiem. (savienojuma ātruma ierobežojumi, piešķirtās IP adreses). Papildus autorizācijas procesam klients periodiski nosūta uz serveri uzskaites ziņojumus, informāciju par katras pašlaik notiekošās VPN sesijas stāvokli, ieskaitot pārsūtīto baitu un pakešu skaitītājus.

Secinājums

Apvienosim visas iepriekš aprakstītās satiksmes informācijas vākšanas metodes:

Apkoposim īsi. Praksē ir daudz metožu, kā jūsu pārvaldīto tīklu (ar klientiem vai biroja abonentiem) savienot ar ārēju tīkla infrastruktūru, izmantojot vairākus piekļuves rīkus - programmatūras un aparatūras maršrutētājus, slēdžus, VPN serverus. Tomēr gandrīz jebkurā gadījumā ir iespējams izstrādāt shēmu, kurā informāciju par trafiku, kas tiek pārraidīts tīklā, var nosūtīt programmatūras vai aparatūras rīkam tās analīzei un pārvaldībai. Iespējams arī, ka šis rīks ļaus atgriezenisko saiti piekļuves ierīcei, izmantojot inteliģentus piekļuves ierobežošanas algoritmus atsevišķiem klientiem, protokoliem un citām lietām.
Šeit es pabeigšu materiāla analīzi. Atlikušās neatbildētās tēmas ir:

  • kā un kur nonāk savāktie satiksmes dati
  • satiksmes uzskaites programmatūra
  • Kāda ir atšķirība starp norēķiniem un vienkāršu “skaitītāju”
  • Kā jūs varat noteikt satiksmes ierobežojumus?
  • uzskaite un apmeklēto vietņu ierobežošana

Birkas: pievienojiet atzīmes

Datori ir savienoti viens ar otru, izmantojot ārējos vai iekšējos tīklus. Pateicoties tam, lietotāji var dalīties informācijā viens ar otru, pat atrodoties dažādos kontinentos.

Biroja satiksmes kontroles programmatūra

Izmantojot ICS, varat ērti kontrolēt trafika uzskaiti un tās sadali starp lietotājiem, ietekmēt iespēju pēc saviem ieskatiem pieslēgties interneta resursiem un nodrošināt sava iekšējā tīkla drošību.

Skolas satiksmes kontroles programmatūra

ICS ir universāla interneta vārteja ar rīkiem izglītības tīkla aizsardzībai, trafika uzskaitei, piekļuves kontrolei un pasta, starpniekservera un failu servera izvietošanai.

Mājas satiksmes kontroles programmatūra

ICS Lite ir bezmaksas interneta vārteja, kas nodrošina visas jūsu interneta vajadzības mājās. ICS Lite ir pilna Featured Internet Control Server versija, kas ietver licenci 8 lietotājiem.


Tīklu veidi

  • Mājas - apvienot datorus vienā dzīvoklī vai mājā.
  • Korporatīvs - savienojiet uzņēmuma darba iekārtas.
  • Vietējiem tīkliem bieži ir slēgta infrastruktūra.
  • Globāls — savieno veselus reģionus un var ietvert vietējos tīklus.

Šādas komunikācijas priekšrocības ir milzīgas: tiek ietaupīts speciālistu laiks un samazināti telefona rēķini. Un visas šīs priekšrocības var samazināt līdz nullei, ja laikus neparūpēsies par drošību.

Uzņēmumi, kas nepārzina jēdzienu “satiksmes kontrole”, cieš milzīgus zaudējumus vai pilnībā ierobežo piekļuvi informācijai. Ir vienkāršāks veids, kā droši ietaupīt - programma trafika uzraudzībai vietējā tīklā.

Satiksmes izsekošana

Vadītājam ir svarīgi zināt, kā tiek tērēti uzņēmuma līdzekļi. Tāpēc sistēmas administrators cita starpā ir atbildīgs par tīkla trafika uzraudzību birojā. Statistika tiek vākta ne tikai par pārraidītās informācijas apjomu, bet arī saturu.

Kāpēc jums ir nepieciešama vietējā tīkla vadība? Lai gan atbilde uz šo jautājumu ir acīmredzama, daudzi sistēmu administratori nevar pamatot nepieciešamību kontrolēt interneta trafika patēriņu.

Ieguvumi vadītājam

Satiksmes kontroles programma:

  • optimizē tīkla darbību - ietaupot speciālistu darba laiku, paaugstinās darba ražīgums;
  • parāda trafika sadalījumu pa lietotājiem - ļauj noskaidrot, kam nepieciešami interneta resursi;
  • parāda, kādiem mērķiem satiksme tika tērēta - novērš neatbilstošu piekļuvi.

Ieguvumi sistēmas administratoram

Trafika pārraudzība vietējā tīklā ļauj:

  • ierobežot lietotāja piekļuvi nevēlamai informācijai;
  • ātri saņemt datus par trafika apjomu - izvairoties no tīkla pārslodzes;
  • novērstu vīrusu iekļūšanu tīklā un identificētu drošības pārkāpējus.

Kontroles ieviešanas iespējas

Interneta trafika uzraudzību korporatīvajā tīklā var organizēt vairākos veidos:

  1. Iegādājieties ugunsmūri ar iespēju atšķirt trafiku.
  2. Konfigurējiet starpniekserverus ar NAT draiveriem ar trafika uzskaites funkcijām.
  3. Izmantojiet dažāda veida papildinājumus.

Tikai visaptverošs risinājums var nodrošināt maksimālu aizsardzību. Internet Control Server nodrošina pilnīgu trafika kontroli un piedāvā visu nepieciešamo funkcionalitāti. ICS ir maršrutētājs ar iebūvētu starpniekserveri, kas darbojas uz FreeBSD.

ICS priekšrocības

  1. Statistikas pētījumi atklājuši, ka darbinieki 1/3 sava darba laika pavada, piekļūstot internetam personīgiem nolūkiem. Īpaša ICS interneta vārteja palīdzēs novērst nesankcionētu piekļuvi.
  2. Satiksmes patēriņa uzraudzības sistēma saglabā ierakstus par visām lietotāja operētājsistēmām.
  3. ICS piedāvā elastīgus iestatījumus.
  4. Sagatavo detalizētus pārskatus ērtā formā.

Lejupielādēt bez maksas!

Sāciet tūlīt - lejupielādējiet programmas demonstrācijas versiju interneta trafika uzraudzībai no mūsu vietnes. Visas mūsu risinājuma iespējas varēsi izmantot bez ierobežojumiem 35 dienas! Pēc testa perioda beigām jums vienkārši jāiegādājas pilna versija, veicot pasūtījumu vai sazinoties ar mūsu menedžeriem.

Organizācijas veids

Izvēlieties organizācijas veidu Izglītības iestāde Budžeta iestāde Komercorganizācija

Cenas NEATTIECAS uz privātajām nevalstiskajām iestādēm un pēcdiploma profesionālās izglītības iestādēm

ICS izdevumi

ICS nav nepieciešams Standarta ICS FSTEC

Lai aprēķinātu FSTEC izmaksas, sazinieties ar pārdošanas nodaļu

Piegādes veids

ICS ICS + SkyDNS ICS + Kaspersky Web filtrēšana

Licences veids

Jauna licence Atjauniniet licenci

Premium Update License License Extension

Lietotāju skaits

Licences pagarinājums

C pirms tam lietotājiem

Jebkurš administrators agrāk vai vēlāk saņem norādījumus no vadības: “saskaitiet, kas ir tiešsaistē un cik daudz viņi lejupielādē”. Pakalpojumu sniedzējiem to papildina uzdevumi "ielaist, kam tas nepieciešams, veikt maksājumu, ierobežot piekļuvi". Ko skaitīt? Kā? Kur? Ir daudz fragmentāras informācijas, tā nav strukturēta. Mēs pasargāsim iesācēju administratoru no garlaicīgiem meklējumiem, nodrošinot viņam vispārīgas zināšanas un noderīgas saites uz aparatūru.
Šajā rakstā mēģināšu aprakstīt trafika savākšanas, uzskaites un kontroles organizēšanas principus tīklā. Mēs izskatīsim problēmu un uzskaitīsim iespējamos veidus, kā izgūt informāciju no tīkla ierīcēm.

Šis ir pirmais teorētiskais raksts rakstu sērijā, kas veltīta trafika un IT resursu apkopošanai, uzskaitei, pārvaldībai un norēķiniem.

Interneta piekļuves struktūra

Kopumā tīkla piekļuves struktūra izskatās šādi:
  • Ārējie resursi - internets ar visām vietnēm, serveriem, adresēm un citām lietām, kas nepieder jūsu kontrolētajam tīklam.
  • Piekļuves ierīce – maršrutētājs (aparatūras vai datora bāzes), slēdzis, VPN serveris vai koncentrators.
  • Iekšējie resursi ir datoru, apakštīklu, abonentu kopums, kuru darbība tīklā ir jāņem vērā vai jākontrolē.
  • Pārvaldības vai grāmatvedības serveris ir ierīce, kurā darbojas specializēta programmatūra. Var funkcionāli apvienot ar programmatūras rūteri.
Šajā struktūrā tīkla trafika pāriet no ārējiem resursiem uz iekšējiem un atpakaļ caur piekļuves ierīci. Tas pārsūta satiksmes informāciju uz pārvaldības serveri. Vadības serveris apstrādā šo informāciju, saglabā to datu bāzē, parāda un izdod bloķēšanas komandas. Tomēr ne visas piekļuves ierīču (metožu) un savākšanas un kontroles metožu kombinācijas ir savietojamas. Tālāk tiks apskatītas dažādas iespējas.

Tīkla trafiks

Pirmkārt, jums ir jādefinē, ko nozīmē “tīkla trafiks” un kādu noderīgu statistikas informāciju var iegūt no lietotāja datu straumes.
Dominējošais tīkla protokols joprojām ir IP 4. versija. IP protokols atbilst OSI modeļa 3. slānim (L3). Informācija (dati) starp sūtītāju un saņēmēju tiek iesaiņota paketēs ar galveni un “lietderīgo slodzi”. Galvene nosaka, no kurienes un uz kurieni nāk pakete (sūtītāja un saņēmēja IP adreses), paketes lielumu un kravas veidu. Lielāko daļu tīkla trafika veido paketes ar UDP un TCP lietderīgo slodzi - tie ir 4. slāņa (L4) protokoli. Papildus adresēm šo divu protokolu galvenē ir portu numuri, kas nosaka datu pārraides pakalpojuma (lietojumprogrammas) veidu.

Lai pārsūtītu IP paketi pa vadiem (vai radio), tīkla ierīces ir spiestas to “iesaiņot” (iekapsulēt) 2. slāņa (L2) protokola paketē. Visizplatītākais šāda veida protokols ir Ethernet. Faktiskā pārraide “uz vadu” notiek 1. līmenī. Parasti piekļuves ierīce (maršrutētājs) neanalizē pakešu galvenes līmeņos, kas ir augstāki par 4. līmeni (izņemot viedos ugunsmūrus).
Informācija no adrešu laukiem, portiem, protokoliem un garuma skaitītājiem no datu pakešu L3 un L4 galvenēm veido “izejvielu”, kas tiek izmantota trafika uzskaitē un pārvaldībā. Faktiskais pārsūtītās informācijas apjoms ir atrodams IP galvenes laukā Length (ieskaitot pašas galvenes garumu). Starp citu, pakešu sadrumstalotības dēļ MTU mehānisma dēļ kopējais pārsūtīto datu apjoms vienmēr ir lielāks par lietderīgās slodzes lielumu.

Mums šajā kontekstā interesanto IP un TCP/UDP lauku kopējais garums ir 2...10% no paketes kopējā garuma. Apstrādājot un glabājot visu šo informāciju pa partijām, resursu nepietiks. Par laimi, lielākā daļa trafika ir strukturēta tā, lai tā sastāvētu no "sarunu" sērijas starp ārējām un iekšējām tīkla ierīcēm, ko sauc par "plūsmām". Piemēram, kā daļa no vienas e-pasta sūtīšanas darbības (SMTP protokols) starp klientu un serveri tiek atvērta TCP sesija. To raksturo nemainīgs parametru kopums (avota IP adrese, avota TCP ports, galamērķa IP adrese, galamērķa TCP ports). Tā vietā, lai apstrādātu un uzglabātu informāciju pa paketi, daudz ērtāk ir uzglabāt plūsmas parametrus (adreses un portus), kā arī papildu informāciju - katrā virzienā pārraidīto pakešu skaitu un garumu summu, pēc izvēles sesijas ilgumu, maršrutētāja saskarni. indeksi, pakalpojumu sniegšanas noteikumu lauka vērtība utt. Šī pieeja ir noderīga uz savienojumu orientētiem protokoliem (TCP), kur ir iespējams nepārprotami pārtvert sesijas pārtraukšanu. Tomēr pat uz sesijām neorientētiem protokoliem ir iespējams veikt plūsmas ieraksta apkopošanu un loģisku pabeigšanu, pamatojoties uz, piemēram, taimautu. Tālāk ir sniegts izraksts no mūsu pašu norēķinu sistēmas SQL datu bāzes, kurā tiek reģistrēta informācija par trafika plūsmām:

Jāņem vērā gadījums, kad piekļuves ierīce veic adrešu tulkošanu (NAT, maskēšanās), lai organizētu piekļuvi internetam lokālā tīkla datoriem, izmantojot vienu, ārējo, publisko IP adresi. Šajā gadījumā īpašs mehānisms aizstāj trafika pakešu IP adreses un TCP/UDP portus, aizstājot iekšējās (internetā nemaršrutējamas) adreses atbilstoši tās dinamiskās tulkošanas tabulai. Šajā konfigurācijā ir jāatceras, ka, lai pareizi ierakstītu datus par iekšējā tīkla resursdatoriem, statistika ir jāvāc tādā veidā un vietā, kur tulkošanas rezultāts vēl “neanonīmē” iekšējās adreses.

Datplūsmas/statistikas informācijas vākšanas metodes

Varat tvert un apstrādāt informāciju par trafika nodošanu tieši pašā piekļuves ierīcē (datora maršrutētājs, VPN serveris), pārsūtot to no šīs ierīces uz atsevišķu serveri (NetFlow, SNMP) vai “no vadu” (pieskarieties, SPAN). Apskatīsim visas iespējas secībā.
Datora maršrutētājs
Apskatīsim vienkāršāko gadījumu - piekļuves ierīci (maršrutētāju), kuras pamatā ir dators, kurā darbojas Linux.

Kā izveidot šādu serveri, adrešu tulkošanu un maršrutēšanu, daudz ir rakstīts. Mūs interesē nākamais loģiskais solis – informācija, kā iegūt informāciju par trafiku, kas iet caur šādu serveri. Ir trīs izplatītas metodes:

  • pārtverot (kopējot) paketes, kas iet caur servera tīkla karti, izmantojot libpcap bibliotēku
  • pārtverot paketes, kas iet caur iebūvēto ugunsmūri
  • izmantojot trešās puses rīkus, lai pakešu statistiku (kas iegūta ar vienu no divām iepriekšējām metodēm) pārveidotu tīkla plūsmas apkopotās informācijas straumē
Libpcap


Pirmajā gadījumā paketes kopiju, kas iet caur saskarni, pēc filtra (man pcap-filter) nokārtošanas var pieprasīt klienta programma serverī, kas rakstīta, izmantojot šo bibliotēku. Pakete tiek piegādāta ar 2. slāņa galveni (Ethernet). Ir iespējams ierobežot uztveramās informācijas garumu (ja mūs interesē tikai informācija no tās galvenes). Šādu programmu piemēri ir tcpdump un Wireshark. Ir ieviesta libpcap operētājsistēmai Windows. Ja adreses tulkošana tiek izmantota datora maršrutētājā, šādu pārtveršanu var veikt tikai tā iekšējā saskarnē, kas savienota ar vietējiem lietotājiem. Ārējā saskarnē pēc tulkošanas IP paketes nesatur informāciju par tīkla iekšējiem saimniekiem. Tomēr ar šo metodi nav iespējams ņemt vērā paša servera radīto trafiku internetā (kas ir svarīgi, ja tajā darbojas tīmekļa vai e-pasta pakalpojums).

libpcap ir nepieciešams atbalsts no operētājsistēmas, kas pašlaik nozīmē vienas bibliotēkas instalēšanu. Šajā gadījumā lietojumprogrammai (lietotāja) programmai, kas apkopo pakotnes, ir:

  • atveriet nepieciešamo interfeisu
  • norādiet filtru, caur kuru tiks nodotas saņemtās paketes, uzņemtās daļas (snaplen) izmēru, bufera lielumu,
  • iestatiet promisc parametru, kas tīkla interfeisu ievieto uztveršanas režīmā visām paketēm, kas iet garām, nevis tikai tām, kas adresētas šīs saskarnes MAC adresei.
  • iestatīt funkciju (atzvanīšanu), kas jāizsauc katrā saņemtajā paketē.

Kad pakete tiek pārsūtīta caur atlasīto interfeisu, pēc filtra izlaišanas šī funkcija saņem buferi, kas satur Ethernet, (VLAN), IP utt. galvenes, kopējais izmērs līdz snaplen. Tā kā libcap bibliotēka kopē paketes, to nevar izmantot, lai bloķētu to pāreju. Šajā gadījumā trafika vākšanas un apstrādes programmai būs jāizmanto alternatīvas metodes, piemēram, jāizsauc skripts, lai trafika bloķēšanas noteikumā ievietotu noteiktu IP adresi.

Ugunsmūris


Datu tveršana, kas iet caur ugunsmūri, ļauj ņemt vērā gan paša servera trafiku, gan tīkla lietotāju trafiku pat tad, ja darbojas adreses tulkošana. Galvenais šajā gadījumā ir pareizi formulēt uztveršanas noteikumu un ievietot to pareizajā vietā. Šis noteikums aktivizē paketes pārsūtīšanu uz sistēmas bibliotēku, no kurienes to var saņemt trafika uzskaites un pārvaldības lietojumprogramma. Operētājsistēmā Linux iptables tiek izmantots kā ugunsmūris, un pārtveršanas rīki ir ipq, netfliter_queue vai ulog. OC FreeBSD — ipfw ar tādiem noteikumiem kā tee vai novirzīšana. Jebkurā gadījumā ugunsmūra mehānisms tiek papildināts ar iespēju strādāt ar lietotāja programmu šādā veidā:
  • Lietotāja programma - satiksmes apstrādātājs - reģistrējas sistēmā, izmantojot sistēmas izsaukumu vai bibliotēku.
  • Lietotāja programma vai ārējs skripts instalē kārtulu ugunsmūrī, “iesaiņojot” atlasīto trafiku (saskaņā ar noteikumu) apdarinātājā.
  • Katrai caurlaižamajai paketei apdarinātājs saņem tās saturu atmiņas bufera veidā (ar IP galvenēm utt. Pēc apstrādes (uzskaites) programmai arī jāpasaka operētājsistēmas kodolam, ko ar šādu paketi darīt tālāk – to izmet Vai arī var nodot modificēto paketi kodolam.

Tā kā IP pakete netiek kopēta, bet gan nosūtīta programmatūrai analīzei, kļūst iespējams to “izgrūst” un līdz ar to pilnībā vai daļēji ierobežot noteikta veida trafiku (piemēram, izvēlētajam lokālā tīkla abonentam). Tomēr, ja lietojumprogramma pārstāj atbildēt kodolam par savu lēmumu (piemēram, pakarināta), trafika caur serveri tiek vienkārši bloķēta.
Jāatzīmē, ka aprakstītie mehānismi ar ievērojamu pārraidītās trafika apjomu rada pārmērīgu servera slodzi, kas ir saistīta ar pastāvīgu datu kopēšanu no kodola uz lietotāja programmu. Statistikas vākšanas metodei OS kodola līmenī ar apkopotās statistikas izvadi lietojumprogrammai, izmantojot NetFlow protokolu, nav šī trūkuma.

Netflow
Šo protokolu izstrādāja Cisco Systems, lai eksportētu satiksmes informāciju no maršrutētājiem trafika uzskaites un analīzes nolūkos. Populārākā 5. versija tagad nodrošina saņēmējam strukturētu datu plūsmu UDP pakešu veidā, kas satur informāciju par iepriekšējo trafiku tā saukto plūsmas ierakstu veidā:

Informācijas apjoms par trafiku ir par vairākām kārtām mazāks par pašu trafiku, kas ir īpaši svarīgi lielos un izkliedētos tīklos. Protams, nav iespējams bloķēt informācijas pārsūtīšanu, vācot statistiku caur netflow (ja vien netiek izmantoti papildu mehānismi).
Šobrīd populāra kļūst šī protokola tālāka izstrāde - 9. versija, kuras pamatā ir šablonu plūsmas ieraksta struktūra, realizācija citu ražotāju ierīcēm (sFlow). Nesen tika pieņemts IPFIX standarts, kas ļauj pārsūtīt statistiku, izmantojot protokolus dziļākos līmeņos (piemēram, pēc lietojumprogrammas veida).
Tīkla plūsmas avotu (aģentu, zondes) ieviešana ir pieejama datoru maršrutētājiem gan utilītu veidā, kas darbojas saskaņā ar iepriekš aprakstītajiem mehānismiem (flowprobe, softflowd), gan tieši iebūvēti OS kodolā (FreeBSD:, Linux:). Programmatūras maršrutētājiem tīkla plūsmas statistikas straumi var saņemt un apstrādāt lokāli pašā maršrutētājā vai nosūtīt pa tīklu (pārsūtīšanas protokols — pa UDP) uz saņēmēju ierīci (savācēju).


Savācēja programma var apkopot informāciju no daudziem avotiem vienlaikus, spējot atšķirt to trafiku pat tad, ja adrešu telpas pārklājas. Izmantojot papildu rīkus, piemēram, nprobe, ir iespējams veikt arī papildu datu apkopošanu, straumes bifurkāciju vai protokolu konvertēšanu, kas ir svarīgi, pārvaldot lielu un izkliedētu tīklu ar desmitiem maršrutētāju.

Netflow eksporta funkcijas atbalsta maršrutētājus no Cisco Systems, Mikrotik un dažiem citiem. Līdzīgu funkcionalitāti (ar citiem eksporta protokoliem) atbalsta visi lielākie tīkla iekārtu ražotāji.

Libpcap “ārpus”
Nedaudz sarežģīsim uzdevumu. Ko darīt, ja jūsu piekļuves ierīce ir cita ražotāja aparatūras maršrutētājs? Piemēram, D-Link, ASUS, Trendnet utt. Visticamāk, tajā nav iespējams instalēt papildu datu iegūšanas programmatūru. Vai arī jums ir viedpiekļuves ierīce, taču to nav iespējams konfigurēt (jums nav tiesību, vai arī to pārvalda jūsu pakalpojumu sniedzējs). Šajā gadījumā informāciju par trafiku var ievākt tieši vietā, kur piekļuves ierīce satiekas ar iekšējo tīklu, izmantojot “aparatūras” pakešu kopēšanas rīkus. Šajā gadījumā jums noteikti būs nepieciešams atsevišķs serveris ar speciālu tīkla karti, lai saņemtu Ethernet pakešu kopijas.
Serverim ir jāizmanto pakešu vākšanas mehānisms, izmantojot iepriekš aprakstīto libpcap metodi, un mūsu uzdevums ir šim nolūkam paredzētās tīkla kartes ievadei nosūtīt datu straumi, kas ir identiska tai, kas nāk no piekļuves servera. Šim nolūkam varat izmantot:
  • Ethernet — centrmezgls: ierīce, kas vienkārši pārsūta paketes starp visiem tās portiem bez izšķirības. Mūsdienu realitātē to var atrast kaut kur putekļainā noliktavā, un šīs metodes izmantošana nav ieteicama: neuzticams, mazs ātrums (nav centrmezglu ar ātrumu 1 Gbit/s)
  • Ethernet - slēdzis ar spoguļošanas iespēju (spoguļošana, SPAN porti. Mūsdienu viedie (un dārgie) slēdži ļauj kopēt visu trafiku (ienākošos, izejošos, abus) no cita fiziskā interfeisa VLAN, ieskaitot attālo (RSPAN) uz norādīto osta
  • Aparatūras sadalītājs, kura savākšanai var būt nepieciešams instalēt divas tīkla kartes, nevis vienu, un tas ir papildus galvenajai, sistēmas vienai.


Protams, jūs varat konfigurēt SPAN portu pašā piekļuves ierīcē (maršrutētājs), ja tas to atļauj - Cisco Catalyst 6500, Cisco ASA. Šeit ir šādas Cisco slēdža konfigurācijas piemērs:
uzraudzīt sesiju 1 avota vlan 100! no kurienes ņemam pakas?
monitora sesijas 1 mērķa interfeiss Gi6/3! kur mēs izsniedzam pakas?

SNMP
Ko darīt, ja mēs nekontrolējam maršrutētāju, mēs nevēlamies sazināties ar Netflow, mūs neinteresē informācija par mūsu lietotāju trafiku. Tie ir vienkārši savienoti ar tīklu, izmantojot pārvaldītu slēdzi, un mums tikai aptuveni jānovērtē trafika apjoms, kas tiek novirzīts uz katru no tā portiem. Kā jūs zināt, tīkla ierīces ar tālvadības pulti atbalsta un var parādīt pakešu (baitu) skaitītājus, kas iet caur tīkla saskarnēm. Lai tos aptaujātu, būtu pareizi izmantot standartizēto attālās pārvaldības protokolu SNMP. Izmantojot to, jūs varat diezgan viegli iegūt ne tikai norādīto skaitītāju vērtības, bet arī citus parametrus, piemēram, interfeisa nosaukumu un aprakstu, caur to redzamās MAC adreses un citu noderīgu informāciju. To dara gan komandrindas utilītas (snmpwalk), gan grafiskās SNMP pārlūkprogrammas, gan sarežģītākas tīkla uzraudzības programmas (rrdtools, cacti, zabbix, whats up gold utt.). Tomēr šai metodei ir divi būtiski trūkumi:
  • Satiksmes bloķēšanu var veikt, tikai pilnībā atspējojot saskarni, izmantojot to pašu SNMP
  • trafika skaitītāji, kas ņemti, izmantojot SNMP, attiecas uz Ethernet pakešu (atsevišķi unicast, apraides un multiraides) garumu summu, savukārt pārējie iepriekš aprakstītie rīki sniedz vērtības attiecībā pret IP paketēm. Tas rada ievērojamu neatbilstību (īpaši īsām paketēm) Ethernet galvenes garuma radītās pieskaitāmās izmaksas (tomēr ar to var aptuveni cīnīties: L3_byte = L2_byte - L2_packets * 38).
VPN
Atsevišķi ir vērts apsvērt gadījumu, kad lietotājs piekļūst tīklam, skaidri izveidojot savienojumu ar piekļuves serveri. Klasisks piemērs ir vecā labā iezvanpieeja, kuras analogs mūsdienu pasaulē ir VPN attālās piekļuves pakalpojumi (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


Piekļuves ierīce ne tikai maršrutē lietotāja IP trafiku, bet arī darbojas kā specializēts VPN serveris un pārtrauc loģiskos tuneļus (bieži šifrētus), kuros tiek pārraidīta lietotāju trafika.
Lai ņemtu vērā šādu trafiku, varat izmantot visus iepriekš aprakstītos rīkus (un tie ir labi piemēroti padziļinātai portu/protokolu analīzei), kā arī papildu mehānismus, kas nodrošina VPN piekļuves kontroles rīkus. Pirmkārt, mēs runāsim par RADIUS protokolu. Viņa darbs ir diezgan sarežģīta tēma. Īsumā pieminēsim, ka VPN serverim (RADIUS klientam) pieejas kontroli (autorizāciju) kontrolē speciāla aplikācija (RADIUS serveris), kurai ir atļauto lietotāju datubāze (teksta fails, SQL, Active Directory) ar to atribūtiem. (savienojuma ātruma ierobežojumi, piešķirtās IP adreses). Papildus autorizācijas procesam klients periodiski nosūta uz serveri uzskaites ziņojumus, informāciju par katras pašlaik notiekošās VPN sesijas stāvokli, ieskaitot pārsūtīto baitu un pakešu skaitītājus.

Secinājums

Apvienosim visas iepriekš aprakstītās satiksmes informācijas vākšanas metodes:

Apkoposim īsi. Praksē ir daudz metožu, kā jūsu pārvaldīto tīklu (ar klientiem vai biroja abonentiem) savienot ar ārēju tīkla infrastruktūru, izmantojot vairākus piekļuves rīkus - programmatūras un aparatūras maršrutētājus, slēdžus, VPN serverus. Tomēr gandrīz jebkurā gadījumā ir iespējams izstrādāt shēmu, kurā informāciju par trafiku, kas tiek pārraidīts tīklā, var nosūtīt programmatūras vai aparatūras rīkam tās analīzei un pārvaldībai. Iespējams arī, ka šis rīks ļaus atgriezenisko saiti piekļuves ierīcei, izmantojot inteliģentus piekļuves ierobežošanas algoritmus atsevišķiem klientiem, protokoliem un citām lietām.
Šeit es pabeigšu materiāla analīzi. Atlikušās neatbildētās tēmas ir:

  • kā un kur nonāk savāktie satiksmes dati
  • satiksmes uzskaites programmatūra
  • Kāda ir atšķirība starp norēķiniem un vienkāršu “skaitītāju”
  • Kā jūs varat noteikt satiksmes ierobežojumus?
  • uzskaite un apmeklēto vietņu ierobežošana

Lietotājus, kuri nevar izveidot savienojumu ar neierobežotu internetu, galvenokārt interesē trafika patēriņš. Satiksme tiek kontrolēta ar speciālām programmām vai izmantojot Windows iespējas.

Windows 8 ļauj kontrolēt trafiku, neizmantojot papildu programmas. Lai aktivizētu satiksmes skaitītāju, uzdevumjoslā atrodiet tīkla savienojuma ikonu. Pēc noklikšķināšanas uz ikonas tiks atvērts logs “Tīkli”. Atlasiet aktīvo savienojumu un ar peles labo pogu noklikšķiniet. Parādītā loga pirmajā rindā redzēsit “Rādīt informāciju par paredzēto lietošanu”. Aktivizējiet šo vienumu, un turpmāk, atverot logu “Tīkli”, jūs redzēsiet statistiku par izmantotajiem apjomiem. Iepriekšējos Windows produktos - 7 vai XP trafika pārbaudes process tiek veikts nedaudz savādāk. Pēc savienojuma izveides ar internetu arī ar peles kreiso taustiņu noklikšķiniet uz savienojuma ikonas un atlasiet aktīvo tīklu. Izmantojiet labo pogu, lai pārietu uz “Statuss”. Šeit jūs redzēsiet ienākošās un izejošās trafika apjomu, kas tiek parādīts baitos.


Jūs varat kontrolēt trafiku, izmantojot bezmaksas programmu Networx 5.3.2. Programma atbalsta jebkura veida savienojumu - vadu, kabeļu, mobilo internetu. Networx parāda ienākošo un izejošo trafiku. Varat apskatīt statistiku par jūs interesējošo periodu, kā arī uzraudzīt interneta savienojuma ātrumu. Programma ļauj jums pārbaudīt, cik daudz trafika patērē katra lietojumprogramma.


Programma Networx sāk skaitīt jūsu interneta trafiku no instalēšanas brīža. Varat konfigurēt programmu tā, lai satiksmes aktivitātes būtu redzamas teknes ikonā. Izmantojot iestatījumus, atveriet cilni “Satiksme”, pēc tam atzīmējiet nepieciešamās opcijas, kā parādīts fotoattēlā, un saglabājiet pabeigtās darbības.


Varat arī iestatīt kvotu. Lai to izdarītu, atlasiet kvotas veidu, trafiku, stundas un mērvienības. Pēc kvotas lieluma iestatīšanas noklikšķiniet uz “OK”. Kad satiksmes patēriņš tuvojas limita slieksnim, programma jūs par to brīdinās. Tas ļaus izvairīties no satiksmes pārsniegšanas.


Satiksmes kontrole mobilajās ierīcēs ir atkarīga no ierīces sistēmas. Piemēram, Android sistēma spēj saskaitīt ienākošo un izejošo trafiku. Lai to izdarītu, iestatījumos atlasiet “Datu pārsūtīšana” un atlasiet telekomunikāciju operatoru. Tiks atvērts logs, kurā būs redzami dati par ienākošo un izejošo trafiku. Papildus skaļuma pārbaudei varat iestatīt satiksmes izmantošanas ierobežojumu.


Satiksmes patēriņa kontrole palīdzēs izvairīties no liekiem izdevumiem. Pat ja izmantojat neierobežotu internetu, periodiski pārbaudiet tīkla darbību. Strauji palielināts trafika patēriņš norāda, ka sistēmā ir iemājojis vīruss vai Trojas zirgs.




Tops