Hogyan lehet nyomon követni a forgalmat a helyi hálózaton. Az IP-forgalom elszámolás megszervezésének elvei. A NetWorx figyelni fogja a forgalmat

Hogyan lehet nyomon követni a forgalmat a helyi hálózaton. Az IP-forgalom elszámolás megszervezésének elvei. A NetWorx figyelni fogja a forgalmat
Hogyan lehet nyomon követni a forgalmat a helyi hálózaton. Az IP-forgalom elszámolás megszervezésének elvei. A NetWorx figyelni fogja a forgalmat
10.02.2022

A "PID" részben megnézzük, melyik program fogyaszt erőforrásokat.

Továbbá, ha jobb gombbal kattint a folyamatra, megjelenik egy sor funkció. Folyamat tulajdonságai - folyamat tulajdonságai, Folyamat vége - folyamat befejezése, Másolás - másolás, Kapcsolat bezárása - kapcsolat bezárása, Whois - amit a rendszer tanácsol.

A harmadik módszer a Windows operációs rendszer összetevőinek használata

Kattintson a Start menü Vezérlőpult parancsára.

Windows XP rendszerhez. Nyissa meg a Biztonsági központot.

Kattintson az "Automatikus frissítés" gombra.

Az új ablakban jelölje be a "Letiltás" és az "OK" mellett.

Windows 7 esetén. Nyissa meg a Windows Update szolgáltatást.

Kattintson a "Beállítások" gombra.

Jelölje be a „Ne keressen frissítéseket” négyzetet.

A programok és a rendszerelemek nem férnek hozzá a hálózathoz. Ahhoz azonban, hogy a szolgáltatás ne kapcsoljon vissza, a következő lépéseket hajtjuk végre (Windows XP Windows 7 esetén elfogadható).

A „Vezérlőpulton” lépjen az „Adminisztráció” részre.

"Biztonsági központot" vagy "Windows Update"-t keresünk. Kattintson a "Szolgáltatás letiltása" gombra.

A negyedik módszer a víruskereső program vezérlése

A Nod 32 új verziója egy további funkcióval rendelkezik - a forgalomirányítás. Indítsa el az ESET NOD32 Smart Security 5 vagy újabb verzióját. Lépjen a "Segédprogramok" szakaszba, és válassza a "Hálózati kapcsolatok" lehetőséget.

Bezárjuk a böngészőket, és megnézzük az internetes erőforrásokat fogyasztó programok és elemek listáját. A szoftver nevével szemben a kapcsolat és az adatátviteli sebesség is megjelenik.

A program hálózathoz való hozzáférésének korlátozásához kattintson a jobb gombbal a folyamatra, és válassza a "Hálózati kapcsolat ideiglenes letiltása a folyamathoz" lehetőséget.

Az internetkapcsolat sebessége növekedni fog.

Sziasztok barátaim! Írni róla hogyan lehet figyelni a forgalmat Közvetlenül azután mentem, hogy megírtam a „“ cikket, de valahogy elfelejtettem. Most eszembe jutott, és elmondom, hogyan lehet nyomon követni, hogy mekkora forgalmat költ, és ezt egy ingyenes program segítségével tesszük meg NetWorx.

Tudod, ha korlátlan internet csatlakozik, akkor nem igazán kell figyelni a forgalmat, csak az érdeklődés kedvéért. Igen, ma már minden városi hálózat általában korlátlan, ami nem mondható el a 3G internetről, amelynek tarifái általában nem lépnek skálán.

Egész nyáron az Intertelecom CDMA Internetjét használtam, és a forgalom és a tarifák minden árnyalatát első kézből ismerem. Már írtam arról, hogyan kell beállítani és javítani az Internetet az Intertelecomtól, olvassa el és. Tehát a „korlátlan” tarifájuk havi 150 hrivnyába kerül. Amint látja, a korlátlan szót idézőjelbe tettem, miért? Igen, mert van sebességkorlátozás, igaz csak nappal, de nincs minek örülni, ott egyszerűen szörnyű a sebesség, jobb már GPRS-t használni.

A legnormálisabb tarifa napi 5 hrivnya csatlakozáskor, vagyis ha ma nem csatlakozik, akkor nem fizet. De nem korlátlan, napi 1000 megabájt, éjfél 12-ig. Nekem most ez a tarifám van, de legalább tisztességes a sebessége, a valós átlagsebesség 200 Kbps. De a napi 1000 Mb nem túl sok ilyen sebesség mellett, így ebben az esetben egyszerűen csak a forgalmat kell irányítani. Ráadásul ennek az 1000 MB-nak a használata után egy megabájt ára 10 kopejka, ami nem kevés.

Már amint csatlakoztam ehhez az internethez, elkezdtem keresni egy csinos programot, amely szabályozná az internetes forgalmamat, és figyelmeztethetnék, ha a limit kimerült. És megtaláltam persze nem azonnal, egy-két dolog kipróbálása után a NetWorx programra bukkantam. Amiről továbbra is beszélni fogunk.

A NetWorx figyelni fogja a forgalmat

Most elmondom, hol lehet beszerezni a programokat és hogyan kell beállítani.

1. Bármilyen programot keresel, feltöltöttem a tárhelyemre, így .

2. Futtassa le a letöltött fájlt és telepítse a programot, a telepítés menetét nem írom le, erről írtam a -ban.

3. Ha a telepítés után a program nem indult el magától, akkor az asztalon vagy a start menüben lévő parancsikon segítségével elindítjuk.

4. Ennyi, a program már számolja az internetes forgalmat, bebújik a tálcába és ott csendben dolgozik magának. A program munkaablakja így néz ki:

Amint látható, a program megjeleníti az internetes forgalmat az aktuális napra és a teljes időre, a program telepítésétől kezdve láthatja, hogy mennyit égettem :). Valójában a programnak nincs szüksége semmilyen beállításra. Csak elmondom, hogyan kell beállítani a NetWorx-ben kvótát, vagyis a forgalmi korlátokat, és azt, hogy hogyan kell azt elérni, hogy a bejövő és kimenő internetforgalom aktivitása megjelenjen a tálcaikonban.

5. Most tegyük úgy, hogy az internetes forgalom aktivitása jelenjen meg a tálcán.

Kattintson a jobb gombbal a program ikonjára a tálcán, és válassza a "Beállítások"

A „Grafikon” lapon állítsa be a képernyőképem szerint, kattintson az „OK” és az „Alkalmaz” gombra. A NetWorx tálca ikonja most megjeleníti az internetkapcsolati tevékenységet.

6. A program beállításának utolsó eleme a kvóta beállítása lesz. Például az Intertelecom csak 1000 MB-ot ad naponta, ezért, hogy ne költsek többet ennél az aránynál, úgy állítottam be a programot, hogy amikor 80%-os forgalmat használok fel, akkor figyelmeztet.

Kattintson a jobb gombbal a program tálcaikonjára, és válassza a „Kvóta” lehetőséget.

Na látod, ma 53%-kal használtam ki a limitemet, lent van egy mező, ahol megadhatod, hogy hány százaléknál jelentsd a forgalom megszűnését. Kattintson a "Beállítások" gombra, és állítsa be a kvótát.

Itt minden nagyon egyszerű, először beállítjuk, hogy milyen kvótád van, pl. nekem van napi kvótám, majd beállítjuk a forgalmat, én kiválasztottam az összes forgalmat, vagyis a bejövőt és a kimenőt. Állítsa be az "Óra" és "egységek", Megabájtom van. És persze ne felejtsd el megadni a kvóta méretét, 1000 megabájtom van. Kattintson az "OK" gombra, és kész, a kvótánk beállítva.

Ez az, a program teljesen be van állítva, és készen áll a forgalom olvasására. A számítógéppel együtt elindul, és csak időnként be kell nézni, és érdeklődni kell, hogy mekkora forgalmat égetett el. Sok szerencsét!

Bővebben az oldalon:

NetWorx: Hogyan lehet nyomon követni az internetes forgalmat frissítette: 2012. augusztus 17.: admin

Az elmúlt 10-15 évben a cég szokásos kiadásai mellé az Internet kiadások is rákerültek. Az internetes forgalom megfelelő költségvetéséhez ismernie kell a havi fogyasztását. A forgalom elszámolása a rendszergazdák egyik legfontosabb feladata.
Bármilyen méretű cég vezetőjének tisztában kell lennie azzal, hogy szervezete mennyi erőforrást fogyaszt, mennyi pénzt és hol költ, mennyi áramot fogyaszt, mennyibe kerül a telefonálás stb. Az elmúlt 10-15 évben egy újabb kiadási tétel is bővült: az internet. Az internetes forgalom megfelelő költségvetésének megtervezéséhez pontosan tudnia kell, mekkora a havi fogyasztása a vállalatnál. Ezért a forgalom elszámolása http://www.10-strike.com/rus/bandwidth-monitor/- a forgalom számlálásáért, mentéséért felelős rendszergazda egyik legfontosabb feladata, amely magában foglalja annak folyamatos ellenőrzését, hogy a cégre kiosztott forgalom mennyisége, például a heti forgalom ne haladja meg a megállapított limitet .

A megtakarítás érdekében egyre több szervezet tér át a korlátlan internetelérési csomagok használatára, de ettől nem csökken a forgalomelszámolás jelentősége. Így például a hálózaton előfordulhat az internetkapcsolat sebességének időszakos csökkenése, aminek számos oka lehet: egy gátlástalan szolgáltatótól vagy egy alkalmazotttól, aki munkaidőben nagy fájlokat tölt le, egészen a a hálózati interfészek. És az internet alacsony sebessége vagy hiánya a modern üzleti életben tele van a szolgáltatások minőségének csökkenésével, holnap pedig a partnerek és ügyfelek elvesztésével.

A biztonsági szabályzattól függően a forgalomelszámolás a következő módokon valósítható meg:


  1. Használata SNMP protokoll(Simple Network Management Protocol). A módszer előnye, hogy nincs szükség további szoftverek telepítésére a felhasználók számítógépére. Ebben az esetben a forgalomszámláló program csak a rendszergazda számítógépére kerül telepítésre, távoli számítógépeken pedig csak az SNMP szolgáltatás helyes konfigurálása szükséges, ami egy szakember számára egyáltalán nem nehéz. Ez a protokoll lehetővé teszi a forgalom elszámolását egyrészt a Windows és Linux rendszerű számítógépeken, másrészt a hálózati nyomtatókon, kapcsolókon és más hálózati eszközökön. Ezért a rendszergazdának lehetősége van a cég aktív hálózati berendezéseinek működését is ellenőrizni. Gyakran alapértelmezés szerint az SNMP protokoll le van tiltva az operációs rendszerben, és telepíteni és konfigurálni kell.

  2. Keresztül WMI szolgáltatások(Windows Management Instrumentation), amely az SNMP alternatívája. Ez a forgalomelszámolási módszer az előzőhöz hasonlóan nem igényel további modulok telepítését a vezérelt számítógépekre. Ez a módszer azonban csak Windows operációs rendszerre alkalmas.

  3. Ha a vállalat biztonsági szabályzata tiltja az SNMP és WMI szolgáltatások használatát, akkor a rendszergazda a forgalomelszámolást a ügynöki telepítések távoli számítógépekre, amelyek általában a forgalomszámláló programhoz kapcsolódnak. Ha az ügynök szolgáltatásként van implementálva, akkor az összes forgalmi értéket észrevétlenül olvassa be a felhasználó számára, anélkül, hogy betöltené a számítógépet.

  4. A következő módszer az átmenő forgalom elszámolása NetFlow protokoll, amelyet a Cisco fejlesztett ki, és a hálózaton belüli IP-forgalommal kapcsolatos információk gyűjtésére szolgál. Működésének elve az, hogy a továbbított IP-csomagokról szóló összes statisztikát egy speciális pufferben felhalmozza, majd feldolgozza. Ennek a módszernek a legfontosabb előnye, hogy komplex és földrajzilag elosztott hálózattal rendelkező nagyvállalatok forgalmát nyomon lehet követni. Igaz, meg kell jegyezni, hogy ez a forgalomelszámolási módszer csak olyan hálózatokban valósítható meg, ahol van olyan berendezés, amely támogatja a NetFlow protokollt, és igaz, hogy meglehetősen drága.

  5. Egy másik módszer a hálózati csomagok számlálása szippantó vagy forgalomelemző. Ezzel a módszerrel megtudhatja mind a küldő, mind a címzett IP-címét, ami azt jelenti, hogy láthatja, mire költik a szervezet erőforrásait. Fontos tudni, hogy a nagy mennyiségű átvitt forgalommal vagy nagy sávszélességgel rendelkező hálózatokban az ilyen típusú forgalomelszámolás hibákat okozhat.
A forgalomelszámolás több módszerének egyidejű alkalmazása segít teljes képet kapni a vállalkozás és alkalmazottai munkájáról. Az egyes protokollok forgalmának külön-külön történő elszámolása, valamint az összes összegyűjtött információ automatikus megjelenítése táblázatok és grafikonok formájában lehetővé teszi, hogy kiszámítsa az internetet legaktívabban használó alkalmazottakat, valamint megtudja, milyen célokra költik: fényképek megtekintése, fájlok letöltése, üzenetküldés vagy videók böngészése az interneten.

Egyes forgalomszámláló programok (http://www.10-strike.com/eng/bandwidth-monitor/) lehetővé teszik bizonyos eseményekre adott reakcióik konfigurálását, például az elfogyasztott forgalom beállított korlátjának túllépését vagy a hálózat megszakítását. felület. Ennek köszönhetően a rendszergazda gyorsabban reagál ezekre az eseményekre, és minimális idő- és erőfeszítésveszteséggel hárítja el a problémákat. De a forgalmi elszámolási folyamat legfontosabb feladata, hogy mindig tisztában legyen az aktuális kiadásokkal, amelyek alapján gondosan megtervezheti a jövőbeni költségvetését, valamint objektív következtetéseket vonhat le a szervezet dolgozóinak munkájáról.

Bármely rendszergazda előbb-utóbb utasítást kap a vezetőségtől: "számolja ki, ki megy a hálózatra és mennyit tölt le." A szolgáltatóknál kiegészül a "bárki beengedése, fizetés felvétele, hozzáférés korlátozása" feladatokkal. Mit kell számolni? Hogyan? Ahol? Sok a töredékes információ, nem strukturáltak. Megkíméljük a kezdő adminisztrátort az unalmas keresésektől, ha általános ismereteket és hasznos linkeket biztosítunk az anyaghoz.
Ebben a cikkben megpróbálom leírni a hálózati forgalom gyűjtésének, elszámolásának és ellenőrzésének megszervezésének alapelveit. Megfontoljuk a probléma problémáit, és felsoroljuk a lehetséges módokat az információk lekérésére a hálózati eszközökről.

Ez az első elméleti cikk a forgalmi és informatikai erőforrások összegyűjtésével, elszámolásával, kezelésével és számlázásával foglalkozó cikksorozatban.

Internet hozzáférés szerkezete

A hálózati hozzáférési struktúra általában így néz ki:
  • Külső erőforrások – az internet, minden olyan oldallal, szerverrel, címmel és egyéb dologgal, amely nem tartozik az Ön által irányított hálózathoz.
  • A hozzáférési eszköz egy router (hardver vagy PC alapú), switch, VPN szerver vagy hub.
  • Belső erőforrások - számítógépek, alhálózatok, előfizetők halmaza, akiknek a hálózatban végzett munkáját figyelembe kell venni vagy ellenőrizni kell.
  • Menedzsment vagy könyvelési szerver - speciális szoftvert futtató eszköz. Funkcionálisan kombinálható szoftveres routerrel.
Ebben a struktúrában a hálózati forgalom a külső erőforrásoktól a belső felé áramlik, és fordítva, a hozzáférési eszközön keresztül. Forgalmi információkat küld a felügyeleti szervernek. A vezérlőszerver ezeket az információkat feldolgozza, az adatbázisban tárolja, megjeleníti, zárolási parancsokat ad ki. Azonban a hozzáférési eszközök (módszerek) és a gyűjtési és kezelési módszerek nem minden kombinációja kompatibilis. A különféle lehetőségeket az alábbiakban tárgyaljuk.

Hálózati forgalom

Először is meg kell határozni, hogy mit értünk "hálózati forgalom" alatt, és milyen hasznos statisztikai információk nyerhetők ki a felhasználói adatfolyamból.
A 4-es IP-verzió mindeddig a domináns hálózati protokoll. Az IP protokoll az OSI modell 3. rétegének (L3) felel meg. A feladó és a címzett közötti információ (adatok) csomagokba vannak csomagolva - fejléccel és "hasznos teherrel". A fejléc határozza meg, honnan és honnan érkezik a csomag (a küldő és a cél IP-címe), a csomag méretét, a rakomány típusát. A hálózati forgalom nagy részét UDP és TCP hasznos terhelésű csomagok teszik ki – ezek a Layer 4 (L4) protokollok. E két protokoll fejléce a címeken kívül portszámokat is tartalmaz, amelyek meghatározzák az adatokat továbbító szolgáltatás (alkalmazás) típusát.

Az IP-csomag vezetékeken (vagy rádión) keresztüli továbbításához a hálózati eszközök kénytelenek egy Layer 2 (L2) protokollcsomagba „csomagolni” (becsomagolni). A leggyakoribb ilyen típusú protokoll az Ethernet. A tényleges átvitel "a vezetékre" az 1. szinten történik. Általában a hozzáférési eszköz (router) nem elemzi a csomagfejléceket 4-nél magasabb szinten (kivételt képeznek az intelligens tűzfalak).
Az adatcsomagok L3 és L4 fejlécéből a címek, portok, protokollok és hosszszámlálók mezőiből származó információk alkotják azt a „forrásanyagot”, amelyet a forgalom elszámolásában és kezelésében használnak. Az átadandó információ tényleges mennyisége az IP-fejléc Length mezőjében található (beleértve magának a fejlécnek a hosszát is). Egyébként az MTU mechanizmus miatti csomagtöredezettség miatt a továbbított teljes adatmennyiség mindig nagyobb, mint a hasznos adatmennyiség.

A számunkra ebben az összefüggésben számunkra érdekes IP és TCP/UDP mezők teljes hossza a teljes csomaghossz 2...10%-a. Ha ezeket az információkat kötegenként dolgozza fel és tárolja, akkor nem lesz elegendő erőforrás. Szerencsére a forgalom túlnyomó többsége úgy van felépítve, hogy a külső és belső hálózati eszközök közötti „párbeszédek” halmazából, az úgynevezett „folyamokból” áll. Például egyetlen e-mail továbbítási műveleten (SMTP-protokoll) belül egy TCP-munkamenet nyílik meg az ügyfél és a szerver között. Állandó paraméterkészlet jellemzi (Forrás IP-cím, Forrás TCP-port, Cél IP-cím Cél TCP-port). Az információ csomagonkénti feldolgozása és tárolása helyett sokkal kényelmesebb az áramlási paraméterek (címek és portok), valamint a további információk tárolása - a továbbított csomagok száma és hosszának összege irányonként, opcionálisan a munkamenet időtartama, a router interfésze indexek, a szerződési feltételek mezőértéke és így tovább. Ez a megközelítés előnyös a kapcsolatorientált protokollok (TCP) esetében, ahol lehetőség van a munkamenet végének explicit lehallgatására. Azonban még a nem munkamenet-orientált protokollok esetében is lehetséges egy adatfolyam-rekord összesítése és logikai befejezése, például időtúllépéssel. Az alábbiakban egy kivonat a saját számlázási rendszerünk SQL-adatbázisából, amely információkat naplóz a forgalmi folyamatokról:

Figyelembe kell venni azt az esetet, amikor a hozzáférési eszköz címfordítást (NAT, maszkolás) hajt végre, hogy megszervezze a helyi hálózaton lévő számítógépek internet-hozzáférését egyetlen külső, nyilvános IP-cím használatával. Ebben az esetben egy speciális mechanizmus végzi az IP-címek és a forgalmi csomagok TCP / UDP portjainak helyettesítését, lecserélve a belső (az interneten nem irányítható) címeket a dinamikus fordítási táblázata szerint. Ebben a konfigurációban emlékezni kell arra, hogy a belső hálózati gazdagépeken lévő adatok helyes rögzítése érdekében a statisztikákat olyan módon és olyan helyen kell gyűjteni, ahol a fordítási eredmény még nem „anonimizálja” a belső címeket.

Forgalmi/statisztikai információgyűjtés módszerei

A forgalom átadásával kapcsolatos információkat közvetlenül magán a hozzáférési eszközön (PC-útválasztó, VPN-szerver) rögzítheti és dolgozhatja fel, átviheti azt erről az eszközről egy külön szerverre (NetFlow, SNMP), vagy „a vezetékről” (koppintás, SPAN). Elemezzük sorjában az összes lehetőséget.
PC router
Tekintsük a legegyszerűbb esetet - egy hozzáférési eszközt (routert), amely egy Linux operációs rendszerrel rendelkező számítógépen alapul.

Hogyan kell beállítani egy ilyen szervert, címfordítást és útválasztást, sokat írtak. Érdekel bennünket a következő logikus lépés - információ arról, hogyan szerezzünk információt az ilyen szerveren áthaladó forgalomról. Három általános módszer létezik:

  • a szerver hálózati kártyáján áthaladó csomagok elfogása (másolása) a libpcap könyvtár segítségével
  • a beépített tűzfalon áthaladó csomagok elfogása
  • harmadik féltől származó eszközök használata a csomagonkénti statisztikák (a két előző módszer egyikével nyert) összesített információs folyammá konvertálására
libpcap


Az első esetben az interfészen áthaladó csomag másolatát a szűrőn (man pcap-filter) való áthaladás után a kiszolgálón lévő kliensprogram kérheti, amely ennek a könyvtárnak a segítségével íródott. A csomag Layer 2 (Ethernet) fejléccel érkezik. Lehetőség van a rögzített információ hosszának korlátozására (ha csak a fejlécből származó információra vagyunk kíváncsiak). Ilyen programok például a tcpdump és a Wireshark. Létezik a libpcap Windows implementációja. Számítógépes útválasztón történő címfordítás használata esetén az ilyen lehallgatás csak a helyi felhasználókhoz kapcsolódó belső interfészén hajtható végre. A külső interfészen a fordítás után az IP-csomagok nem tartalmaznak információkat a hálózat belső állomásairól. Ezzel a módszerrel azonban nem lehet figyelembe venni azt a forgalmat, amelyet maga a szerver generál az interneten (ami akkor fontos, ha web vagy levelező szolgáltatás fut rajta).

A libpcap működéséhez az operációs rendszer támogatása szükséges, ami jelenleg egyetlen könyvtár telepítésére vonatkozik. Ebben az esetben a csomagokat gyűjtő alkalmazás (felhasználói) programnak:

  • nyissa meg a szükséges felületet
  • adja meg a szűrőt, amelyen keresztül kell átadni a fogadott csomagokat, a rögzített rész (snaplen) méretét, a puffer méretét,
  • állítsa be a promisc paramétert, amely a hálózati interfészt rögzítési módba helyezi általában az összes áthaladó csomagra, nem csak az interfész MAC-címére címzettekre.
  • állítson be egy függvényt (visszahívás), amelyet minden fogadott csomagon meg kell hívni.

Csomag továbbításakor a kiválasztott interfészen keresztül, a szűrő áthaladása után ez a funkció olyan puffert kap, amely Ethernet, (VLAN), IP stb. fejlécek, teljes méret Snaplen-ig. Mivel a libcap könyvtár csomagokat másol, nem lehet blokkolni vele az áthaladást. Ebben az esetben a forgalomgyűjtő és feldolgozó programnak alternatív módszereket kell alkalmaznia, például parancsfájlt kell hívnia, hogy a megadott IP-címet a forgalomblokkolási szabályba helyezze.

Tűzfal


A tűzfalon áthaladó adatok rögzítése lehetővé teszi magának a szervernek és a hálózati felhasználók forgalmának figyelembevételét, még akkor is, ha a címfordítás fut. Ebben az esetben a legfontosabb a rögzítési szabály helyes megfogalmazása és a megfelelő helyre történő elhelyezése. Ez a szabály aktiválja a csomag továbbítását a rendszerkönyvtár felé, ahonnan a forgalomszámláló és -kezelő alkalmazás fogadni tudja. Linux operációs rendszer esetén az iptables tűzfalként használható, az elfogóeszközök pedig az ipq, a netfliter_queue vagy az ulog. OC FreeBSD-ipfw-hez olyan szabályokkal, mint a tee vagy a divert. Mindenesetre a tűzfalmechanizmust kiegészíti a felhasználói programmal való együttműködés lehetősége a következő módon:
  • Felhasználói program – egy forgalomkezelő rendszerhívással vagy könyvtárral regisztrálja magát a rendszerben.
  • A felhasználói program vagy egy külső szkript beállít egy szabályt a tűzfalban, "becsomagolja" a kiválasztott forgalmat (a szabály szerint) a kezelőn belül.
  • A kezelő minden egyes áthaladó csomaghoz memóriapuffer formájában kapja meg annak tartalmát (IP-fejlécekkel stb. A feldolgozás (elszámolás) után a programnak azt is meg kell mondania az operációs rendszer kernelének, hogy mit tegyen egy ilyen csomaggal - eldobja ill. Alternatív megoldásként a módosított csomag átadható a kernelnek.

Mivel az IP-csomagot nem másolják, hanem elküldik az elemzőszoftvernek, lehetővé válik annak „kiadása”, és ezáltal egy bizonyos típusú forgalom teljes vagy részleges korlátozása (például a kiválasztott helyi hálózati előfizető számára). Ha azonban az alkalmazás nem válaszol a kernelnek a döntéséről (például lefagy), akkor a kiszolgálón keresztüli forgalom egyszerűen blokkolódik.
Meg kell jegyezni, hogy a leírt mechanizmusok jelentős mennyiségű továbbított forgalom mellett túlzott terhelést okoznak a szerveren, ami az adatok folyamatos másolásával jár a kernelből a felhasználói programba. Az operációs rendszer kernel szintjén végzett statisztikák gyűjtésének módszere nem rendelkezik ezzel a hátránnyal, mivel összesített statisztikákat bocsátanak ki az alkalmazási program számára a NetFlow protokoll használatával.

Netflow
Ezt a protokollt a Cisco Systems fejlesztette ki, hogy forgalmi információkat exportáljon az útválasztókról forgalom elszámolása és elemzése céljából. A most legnépszerűbb 5-ös verzió strukturált adatfolyamot biztosít a címzettnek UDP-csomagok formájában, amelyek a múltbeli forgalomról információkat tartalmaznak úgynevezett áramlási rekordok formájában:

A forgalomra vonatkozó információ mennyisége több nagyságrenddel kisebb, mint maga a forgalom, ami különösen fontos a nagy és elosztott hálózatokban. Természetesen lehetetlen blokkolni az információátadást a netflow statisztikák gyűjtésekor (ha nem használ további mechanizmusokat).
Jelenleg ennek a protokollnak a továbbfejlesztése egyre népszerűbb - a 9-es verzió, amely az áramlási rekord sablon struktúráján alapul, más gyártók eszközeinek megvalósítása (sFlow). A közelmúltban elfogadták az IPFIX szabványt, amely lehetővé teszi a statisztikák továbbítását mélyebb szintű protokollokon (például alkalmazástípusonként).
A netflow források (ügynökök, próbák) megvalósítása elérhető PC routerek számára, mind a fent leírt mechanizmusok szerint működő segédprogramok formájában (flowprobe, softflowd), mind pedig közvetlenül az operációs rendszer kernelébe beépítve (FreeBSD: ng_netgraph , Linux: ) . Szoftveres útválasztók esetén a netflow statisztikai adatfolyam fogadható és helyileg feldolgozható magán az útválasztón, vagy elküldhető a hálózaton keresztül (átviteli protokoll – UDP-n keresztül) a fogadó eszköznek (gyűjtőnek).


A gyűjtőprogram egyszerre több forrásból is tud információt gyűjteni, így még átfedő címterek esetén is képes megkülönböztetni azok forgalmát. További eszközök, mint például az nprobe segítségével lehetőség nyílik további adataggregáció, folyam bifurkáció vagy protokollkonverzió végrehajtására is, ami egy több tucat routerből álló nagy és elosztott hálózat kezelésénél fontos.

A netflow export funkciók támogatják a Cisco Systems, a Mikrotik és néhány más útválasztót. Hasonló funkcionalitást (más exportprotokollokkal) minden nagyobb hálózati berendezésgyártó támogatja.

libpcap "kint"
Bonyolítsuk egy kicsit a feladatot. Mi a teendő, ha a hozzáférési eszköz egy harmadik fél hardveres útválasztója? Például D-Link, ASUS, Trendnet stb. Valószínűleg lehetetlen további szoftvereszközt helyezni rá az adatok lekérésére. Alternatív megoldásként rendelkezik egy intelligens hozzáférési eszközzel, de nem lehet konfigurálni (nincs jogosultság, vagy a szolgáltató vezérli). Ebben az esetben a csomagok másolásának „hardveres” eszközével közvetlenül a hozzáférési eszköz és a belső hálózat találkozási pontján lehet információt gyűjteni a forgalomról. Ebben az esetben minden bizonnyal külön szerverre lesz szükség dedikált hálózati kártyával az Ethernet-csomagok másolatainak fogadásához.
A szervernek a fent leírt libpcap metódus szerinti csomaggyűjtési mechanizmust kell használnia, a feladatunk pedig az, hogy a hozzáférési szerver kimenetével megegyező adatfolyamot továbbítsunk az erre kijelölt hálózati kártya bemenetére. Ehhez használhatja:
  • Ethernet hub: Olyan eszköz, amely egyszerűen továbbítja a csomagokat az összes portja között válogatás nélkül. A modern valóságban valahol egy poros raktárban található, és ez a módszer nem ajánlott: megbízhatatlan, alacsony sebesség (nincs 1 Gbps sebességű hub)
  • Ethernet - tükrözési képességgel rendelkező kapcsoló (tükrözés, SPAN portok. A modern intelligens (és drága) kapcsolók lehetővé teszik az összes forgalom (bejövő, kimenő, mindkettő) másolását egy másik fizikai interfész, a VLAN megadott portjára, beleértve a távoli (RSPAN) )
  • Hardveres elosztó, amely telepítést igényelhet, hogy egy helyett két hálózati kártyát gyűjtsön - és ez a fő, rendszeres kártya mellett.


Természetesen a SPAN portot magán a hozzáférési eszközön (routeren) is konfigurálhatja, ha lehetővé teszi - Cisco Catalyst 6500, Cisco ASA. Íme egy példa egy ilyen konfigurációra egy Cisco kapcsolóhoz:
monitor session 1 forrás vlan 100 ! honnan szerzünk csomagokat
monitor session 1 cél interfész Gi6/3! hova szállítjuk a csomagokat?

SNMP
Mi van akkor, ha nincs az irányításunk alatt álló router, nincs kedvünk felvenni a kapcsolatot a netflow-val, nem vagyunk kíváncsiak felhasználóink ​​forgalmának részleteire. Egyszerűen egy felügyelt kapcsolón keresztül csatlakoznak a hálózathoz, és csak hozzávetőlegesen meg kell becsülnünk az egyes portokra eső forgalom mennyiségét. Mint ismeretes, a távolról felügyelt hálózati eszközök támogatják és képesek megjeleníteni a hálózati interfészeken áthaladó csomagok (bájtok) számlálóit. Lekérdezésükhöz helyes lenne a szabványos SNMP távfelügyeleti protokollt használni. Használatával nem csak a megadott számlálók értékeit kaphatja meg, hanem egyéb paramétereket is, például az interfész nevét és leírását, a rajta keresztül látható MAC-címeket és egyéb hasznos információkat. Ezt mind a parancssori segédprogramok (snmpwalk), mind a grafikus SNMP-böngészők, mind a kifinomultabb hálózatfelügyeleti programok (rrdtools , cacti , zabbix , whats up gold stb.) teszik meg. Ennek a módszernek azonban két jelentős hátránya van:
  • A forgalom blokkolása csak az interfész teljes letiltásával, ugyanazon SNMP használatával történhet
  • Az SNMP-n keresztül vett forgalomszámlálók az Ethernet-csomagok hosszának összegére vonatkoznak (egyedi, broadcast és multicast külön-külön), míg a többi korábban ismertetett eszköz az IP-csomagokhoz viszonyított értékeket ad. Ez észrevehető eltérést okoz (főleg a rövid csomagoknál) az Ethernet fejléc hossza miatti többletterhelés miatt (ez azonban megközelítőleg kezelhető: L3_bytes = L2_bytes - L2_packets*38).
VPN
Külön érdemes megfontolni a felhasználói hálózathoz való hozzáférés esetét, kifejezetten a hozzáférési szerverrel való kapcsolat létrehozásával. Klasszikus példa erre a jó öreg dial-up, amelynek analógja a modern világban a távoli elérésű VPN szolgáltatások (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


A hozzáférési eszköz nemcsak a felhasználói IP-forgalmat irányítja, hanem speciális VPN-kiszolgálóként is működik, és lezárja azokat a (gyakran titkosított) logikai alagutakat, amelyeken belül a felhasználói forgalom továbbítódik.
Az ilyen forgalom figyelembevételéhez használhatja a fent leírt összes eszközt (és ezek kiválóan alkalmasak a portok / protokollok mélyreható elemzésére), valamint a VPN hozzáférés-vezérlő eszközöket biztosító további mechanizmusokat. Először is a RADIUS protokollról fogunk beszélni. Munkája meglehetősen összetett téma. Röviden megemlítjük, hogy a VPN-kiszolgálóhoz (RADIUS-kliens) való hozzáférés vezérlését (engedélyezését) egy speciális alkalmazás (RADIUS-szerver) vezérli, amely rendelkezik egy adatbázissal (szövegfájl, SQL, Active Directory) az érvényes felhasználók attribútumaival ( a kapcsolat sebességére vonatkozó korlátozások, a hozzárendelt IP-címek). Az engedélyezési folyamaton kívül a kliens időszakonként elszámolási üzeneteket küld a szervernek, információkat minden aktuálisan futó VPN-munkamenet állapotáról, beleértve a továbbított bájtok és csomagok számlálóit.

Következtetés

Foglaljuk össze együtt a forgalmi információk gyűjtésének fent leírt módszereit:

Összegezzük egy kicsit. A gyakorlatban számos módszer létezik az Ön által kezelt hálózat (kliensekkel vagy irodai előfizetőkkel) összekapcsolására egy külső hálózati infrastruktúrával, számos hozzáférési eszköz – szoftveres és hardveres útválasztók, switchek, VPN szerverek – segítségével. Azonban szinte minden esetben ki lehet találni egy olyan sémát, amikor a hálózaton keresztül továbbított forgalomról szóló információ egy szoftver- vagy hardvereszközhöz irányítható annak elemzésére és vezérlésére. Az is lehetséges, hogy ez az eszköz visszajelzést ad a hozzáférési eszköznek, intelligens hozzáférés-korlátozási algoritmusokat alkalmazva az egyes kliensekhez, protokollokhoz stb.
Ezzel az anyagelemzés véget ért. A megoldatlan témák közül:

  • hogyan és hová kerülnek az összegyűjtött forgalmi adatok
  • forgalom könyvelő szoftver
  • mi a különbség a számlázás és az egyszerű „számláló” között?
  • hogyan korlátozzuk a forgalmat
  • a látogatott webhelyek rögzítése és korlátozása

Címkék: Címkék hozzáadása