Como rastrear o tráfego em uma rede local. Princípios de organização da contabilidade do tráfego IP. NetWorx monitorará o tráfego

Como rastrear o tráfego em uma rede local. Princípios de organização da contabilidade do tráfego IP. NetWorx monitorará o tráfego
Como rastrear o tráfego em uma rede local. Princípios de organização da contabilidade do tráfego IP. NetWorx monitorará o tráfego
10.02.2022

Na seção “PID”, verificamos qual programa está consumindo recursos.

Além disso, se você clicar com o botão direito em um processo, um conjunto de funções aparecerá. Propriedades do Processo – propriedades do processo, Finalizar Processo – finalizar o processo, Copiar – copiar, Fechar Conexão – fechar a conexão, Whois – o que o sistema aconselha.

O terceiro método é usar componentes do sistema operacional Windows

Clique em “Iniciar”, “Painel de Controle”.

Para Windows XP. Abra o “Centro de Segurança”.

Clique em "Atualização automática".

Na nova janela, marque a caixa ao lado de “Desativar” e “OK”.

Para Windows 7. Abra “Windows Update”.

Clique em “Parâmetros de configurações”.

Marque a caixa de seleção “Não verificar atualizações”.

Programas e elementos do sistema não acessarão a rede. No entanto, para evitar que o serviço seja reativado, executamos as seguintes etapas (aceitáveis ​​para Windows XP Windows 7).

No “Painel de Controle” vá para a seção “Administração”.

Procuramos “Centro de Segurança” ou “Windows Update”. Clique em “Desativar serviço”.

O quarto método é controlar o programa antivírus

A Nova versão do Nod 32 tem uma função adicional - controle de tráfego. Inicie o ESET NOD32 Smart Security 5 ou superior. Vá para a seção “Utilitários” e selecione “Conexões de rede”.

Fechamos nossos navegadores e olhamos a lista de programas e elementos que consomem recursos da Internet. A velocidade de conexão e transferência de dados também será exibida ao lado do nome do software.

Para restringir o acesso de um programa à rede, clique com o botão direito no processo e selecione “Bloquear temporariamente a conexão de rede para um processo”.

A velocidade da sua conexão com a Internet aumentará.

Olá amigos! Escreva sobre como monitorar o tráfego Eu estava planejando fazer isso logo depois de escrever o artigo ““, mas de alguma forma esqueci. Agora me lembro e direi como rastrear quanto tráfego você gasta, e faremos isso usando um programa gratuito NetWorx.

Você sabe, quando você tem internet ilimitada conectada, basicamente não há necessidade de monitorar o tráfego, exceto por uma questão de interesse. Sim, agora todas as redes urbanas costumam ser ilimitadas, o que ainda não se pode dizer da Internet 3G, cujos tarifários costumam ser fora do comum.

Durante todo este verão tenho usado a Internet CDMA da Intertelecom e conheço em primeira mão todas essas nuances de tráfego e tarifas. Já escrevi sobre como configurar e melhorar a Internet da Intertelecom, li e. Portanto, sua tarifa “ilimitada” custa 150 hryvnia por mês. Como você pode ver, coloquei a palavra ilimitado entre aspas, por quê? Sim, porque lá tem limite de velocidade, embora só durante o dia, mas não há nada para ficar feliz, a velocidade lá é simplesmente terrível, é melhor usar GPRS.

A tarifa mais normal é de 5 hryvnia por dia na conexão, ou seja, se você não conectar hoje, não paga. Mas isso não é ilimitado, são 1000 megabytes por dia, até 12 horas da noite. Tenho esse tarifário agora, mas pelo menos a velocidade é decente, a velocidade média real é de 200 Kbps. Mas 1000 MB por dia não é muito nessa velocidade, então neste caso é simplesmente necessário controlar o tráfego. Além disso, depois de usar esses 1000 MB, o custo de um megabyte é de 10 copeques, o que não é pequeno.

Assim que me conectei à Internet, comecei a procurar um bom programa que controlasse meu tráfego de Internet e pudesse avisar quando o limite acabasse. E é claro que não descobri imediatamente, depois de tentar algumas coisas, me deparei com o programa NetWorx. Sobre o qual falaremos mais adiante.

NetWorx monitorará o tráfego

Agora direi onde conseguir o programa e como configurá-lo.

1. Seja qual for o programa que você está procurando, eu o carreguei em minha hospedagem, então .

2. Execute o arquivo baixado e instale o programa, não vou descrever o processo de instalação, escrevi sobre isso em.

3. Se após a instalação o programa não iniciar sozinho, execute-o com um atalho na área de trabalho ou no menu Iniciar.

4. É isso, o programa já conta o seu tráfego de Internet, ele se esconde na bandeja e funciona silenciosamente lá. A janela de trabalho do programa é assim:

Como você pode ver, o programa exibe o tráfego da Internet do dia atual e de todo o tempo, a partir do momento em que você instalou o programa, você pode ver quanto queimou :). Na verdade, o programa não precisa de nenhuma configuração. Vou apenas dizer como definir uma cota no NetWorx, ou seja, restrições de tráfego e como fazer com que o ícone da bandeja exiba a atividade do tráfego de entrada e saída da Internet.

5. Vamos agora garantir que a atividade do tráfego da Internet seja exibida na bandeja.

Clique com o botão direito no ícone do programa na bandeja e selecione “Configurações”

Na aba “Gráfico”, defina como na minha captura de tela, clique em “OK” e “Aplicar”. Agora o ícone da bandeja do programa NetWorx exibirá a atividade da conexão com a Internet.

6. E o último ponto na implementação deste programa será a definição de uma cota. Por exemplo, a Intertelecom só me dá 1000 MB por dia, então para não gastar mais que esse valor, configurei o programa para que quando eu usar 80% do meu tráfego ele me avise.

Clique com o botão direito no ícone do programa na bandeja e selecione “Cota”.

Veja bem, hoje esgotei meu limite em 53%, abaixo tem um campo onde você pode especificar em que porcentagem informar que o tráfego está acabando. Vamos clicar no botão “Configurações” e configurar a cota.

Tudo é muito simples aqui, primeiro definimos qual é a sua cota, por exemplo, tenho uma cota diária, depois definimos o tráfego selecionei todo o tráfego, ou seja, de entrada e de saída; Ajustamos o “Relógio” e "Unidades", eu tenho megabytes. E claro, não esqueça de indicar o tamanho da cota, tenho 1000 megabytes. Clique em “Ok” e pronto, nossa cota está configurada.

Pronto, o programa está totalmente configurado e pronto para contar seu tráfego. Ele será iniciado junto com o computador, e tudo o que você precisa fazer é ocasionalmente olhar e ver quanto tráfego você já queimou. Boa sorte!

Também no site:

NetWorx: como monitorar o tráfego da Internet atualizado: 17 de agosto de 2012 por: administrador

Nos últimos 10 a 15 anos, os custos da Internet foram adicionados às despesas habituais da empresa. Para orçamentar corretamente os custos do tráfego de Internet no orçamento de uma organização, é necessário conhecer o seu consumo mensal. A contabilidade de tráfego é uma das responsabilidades mais importantes de um administrador de sistema.
O chefe de uma empresa de qualquer porte deve estar atento à quantidade de recursos consumidos por sua organização, quanto dinheiro é gasto e onde, quanta energia elétrica é consumida, quais são os custos de telefonia, etc. Nos últimos 10-15 anos, foi acrescentado outro item de despesa: Internet. Para orçamentar corretamente os custos do tráfego de Internet no orçamento de uma empresa, é necessário saber com segurança qual é o seu consumo mensal na empresa. Portanto, a contabilização do tráfego http://www.10-strike.com/rus/bandwidth-monitor/- uma das responsabilidades mais importantes de um administrador de sistema, responsável por contar o tráfego e salvá-lo, que inclui o monitoramento contínuo para garantir que o volume de, por exemplo, tráfego semanal alocado a uma empresa não ultrapasse o limite estabelecido.

Para poupar dinheiro, cada vez mais organizações estão a mudar para pacotes de acesso ilimitado à Internet, mas isso não diminui a importância da contabilização do tráfego. Assim, por exemplo, na rede, pode haver uma queda periódica na velocidade da conexão à Internet, pelos quais podem haver vários motivos: desde um provedor sem escrúpulos ou um funcionário que baixa arquivos grandes durante o horário de trabalho, até a falha de um das interfaces de rede. E a baixa velocidade da Internet ou a sua ausência para os negócios modernos acarreta uma diminuição na qualidade dos serviços hoje e a perda de parceiros e clientes amanhã.

Dependendo da política de segurança, a contabilização do tráfego pode ser implementada das seguintes formas:


  1. Usando Protocolo SNMP(Protocolo de gerenciamento de rede simples). A vantagem deste método é que não há necessidade de instalar software adicional nos computadores dos usuários. Neste caso, o programa de contabilização de tráfego é instalado apenas no PC do administrador do sistema, e nos computadores remotos basta configurar corretamente o serviço SNMP, o que não é nada difícil para um especialista. Este protocolo permite levar em consideração o tráfego, em primeiro lugar, em computadores com Windows e Linux e, em segundo lugar, em impressoras de rede, switches e outros dispositivos de rede. Portanto, o administrador do sistema também tem a oportunidade de controlar o funcionamento dos equipamentos de rede ativos da empresa. Freqüentemente, por padrão, o protocolo SNMP está desabilitado no sistema operacional e precisa ser instalado e configurado adicionalmente.

  2. Usando Serviços WMI(Windows Management Instrumentation), que é uma alternativa ao SNMP. Este método de contabilização de tráfego, como o anterior, não requer a instalação de nenhum módulo adicional nos computadores controlados. No entanto, este método só é adequado para sistema operacional Windows.

  3. Se a política de segurança da empresa proibir o uso de serviços SNMP e WMI, o administrador do sistema poderá usar a contabilidade de tráfego usando instalações de agentes para computadores remotos, que geralmente estão incluídos no programa de contabilidade de tráfego. Se o agente for implementado como um serviço, ele lê todos os valores de tráfego despercebidos pelo usuário e sem carregar o computador.

  4. O próximo método é a contabilidade de tráfego usando Protocolo NetFlow, desenvolvido pela Cisco e projetado para coletar informações sobre o tráfego IP em uma rede. O princípio de seu funcionamento é acumular todas as estatísticas sobre os pacotes IP transmitidos em um buffer especial e depois processá-las. A vantagem mais importante deste método é a capacidade de acompanhar o tráfego em grandes empresas com uma rede complexa e distribuída geograficamente. No entanto, importa referir que este método de contabilização de tráfego só pode ser implementado em redes onde existam equipamentos que suportem o protocolo NetFlow, sendo, reconhecidamente, bastante caro.

  5. Outro método é contar pacotes de rede usando sniffer ou analisador de tráfego. Este método permite descobrir o endereço IP do remetente e do destinatário, o que significa que você pode ver onde os recursos da organização estão sendo gastos. É importante saber que em redes com grande volume de tráfego transmitido ou alta largura de banda, este tipo de contabilização de tráfego pode produzir alguns erros.
O uso de vários métodos de contabilidade de tráfego ao mesmo tempo ajuda a ter uma visão completa do trabalho da empresa e de seus funcionários. A contabilização do tráfego separadamente para cada protocolo, bem como a visualização automática de toda a informação recolhida em forma de tabelas e gráficos, permite calcular os colaboradores que utilizam mais ativamente a Internet, bem como saber para que fins é gasto: visualização fotos, baixar arquivos, enviar mensagens ou navegar por vídeos na Internet.

Alguns programas de contabilidade de tráfego (http://www.10-strike.com/rus/bandwidth-monitor/) permitem configurar sua reação a determinados eventos, por exemplo, exceder o limite definido de tráfego consumido ou a falha de uma rede interface. Graças a isso, o administrador do sistema pode responder rapidamente a esses eventos e solucionar problemas com perda mínima de tempo e esforço. Mas a tarefa mais importante do processo de contabilidade de tráfego é a capacidade de estar sempre atento às despesas correntes, com base nas quais você poderá planejar com mais cuidado seu orçamento no futuro, bem como tirar conclusões objetivas sobre o trabalho dos funcionários da organização. .

Qualquer administrador, mais cedo ou mais tarde, recebe instruções da administração: “conte quem fica online e quanto baixa”. Para os prestadores, é complementado pelas tarefas de “deixar entrar quem precisa, receber o pagamento, limitar o acesso”. O que contar? Como? Onde? Há muita informação fragmentada, não está estruturada. Salvaremos o administrador novato de pesquisas tediosas, fornecendo-lhe conhecimentos gerais e links úteis para hardware.
Neste artigo tentarei descrever os princípios de organização da coleta, contabilização e controle do tráfego na rede. Analisaremos o problema e listaremos possíveis maneiras de recuperar informações de dispositivos de rede.

Este é o primeiro artigo teórico de uma série de artigos dedicados à recolha, contabilização, gestão e faturação de tráfego e recursos informáticos.

Estrutura de acesso à Internet

Em geral, a estrutura de acesso à rede é assim:
  • Recursos externos - a Internet, com todos os sites, servidores, endereços e outras coisas que não pertencem à rede que você controla.
  • Dispositivo de acesso – roteador (hardware ou baseado em PC), switch, servidor VPN ou concentrador.
  • Os recursos internos são um conjunto de computadores, sub-redes, assinantes cujo funcionamento na rede deve ser levado em consideração ou controlado.
  • Um servidor de gerenciamento ou contabilidade é um dispositivo no qual é executado software especializado. Pode ser combinado funcionalmente com um roteador de software.
Nessa estrutura, o tráfego de rede passa dos recursos externos para os internos e vice-versa, através do dispositivo de acesso. Ele transmite informações de tráfego para o servidor de gerenciamento. O servidor de controle processa essas informações, armazena-as no banco de dados, exibe-as e emite comandos de bloqueio. Contudo, nem todas as combinações de dispositivos (métodos) de acesso e métodos de recolha e controlo são compatíveis. As várias opções serão discutidas abaixo.

Tráfego de rede

Primeiro, você precisa definir o que significa “tráfego de rede” e quais informações estatísticas úteis podem ser extraídas do fluxo de dados do usuário.
O protocolo de interligação de redes dominante ainda é o IP versão 4. O protocolo IP corresponde à camada 3 do modelo OSI (L3). As informações (dados) entre o remetente e o destinatário são empacotadas em pacotes - tendo um cabeçalho e uma “carga útil”. O cabeçalho determina de onde o pacote vem e para (endereços IP do remetente e do destinatário), tamanho do pacote e tipo de carga útil. A maior parte do tráfego de rede consiste em pacotes com cargas úteis UDP e TCP - estes são protocolos da Camada 4 (L4). Além dos endereços, o cabeçalho desses dois protocolos contém números de porta, que determinam o tipo de serviço (aplicação) que transmite os dados.

Para transmitir um pacote IP através de fios (ou rádio), os dispositivos de rede são forçados a “envolvê-lo” (encapsulá-lo) em um pacote de protocolo de Camada 2 (L2). O protocolo mais comum desse tipo é Ethernet. A transmissão propriamente dita “para o fio” ocorre no 1º nível. Normalmente, o dispositivo de acesso (roteador) não analisa cabeçalhos de pacotes em níveis superiores ao nível 4 (com exceção de firewalls inteligentes).
As informações dos campos de endereços, portas, protocolos e contadores de comprimento dos cabeçalhos L3 e L4 dos pacotes de dados constituem a “matéria-prima” utilizada na contabilidade e gerenciamento do tráfego. A quantidade real de informações transmitidas é encontrada no campo Comprimento do cabeçalho IP (incluindo o comprimento do próprio cabeçalho). A propósito, devido à fragmentação dos pacotes devido ao mecanismo MTU, o volume total de dados transmitidos é sempre maior que o tamanho da carga útil.

O comprimento total dos campos IP e TCP/UDP do pacote que nos interessam neste contexto é de 2...10% do comprimento total do pacote. Se você processar e armazenar todas essas informações lote por lote, não haverá recursos suficientes. Felizmente, a grande maioria do tráfego é estruturada para consistir em uma série de “conversas” entre dispositivos de rede externos e internos, chamadas “fluxos”. Por exemplo, como parte de uma operação de envio de e-mail (protocolo SMTP), uma sessão TCP é aberta entre o cliente e o servidor. É caracterizado por um conjunto constante de parâmetros (endereço IP de origem, porta TCP de origem, endereço IP de destino, porta TCP de destino). Em vez de processar e armazenar informações pacote por pacote, é muito mais conveniente armazenar parâmetros de fluxo (endereços e portas), bem como informações adicionais - o número e a soma dos comprimentos dos pacotes transmitidos em cada direção, opcionalmente duração da sessão, interface do roteador índices, valor do campo ToS, etc. Esta abordagem é benéfica para protocolos orientados a conexão (TCP), onde é possível interceptar explicitamente o encerramento de uma sessão. Entretanto, mesmo para protocolos não orientados a sessão, é possível realizar agregação e conclusão lógica de um registro de fluxo com base, por exemplo, em um tempo limite. Abaixo está um trecho do banco de dados SQL do nosso próprio sistema de cobrança, que registra informações sobre fluxos de tráfego:

É necessário observar o caso em que o dispositivo de acesso realiza tradução de endereços (NAT, mascaramento) para organizar o acesso à Internet para computadores da rede local usando um endereço IP público externo. Neste caso, um mecanismo especial substitui os endereços IP e as portas TCP/UDP dos pacotes de tráfego, substituindo os endereços internos (não roteáveis ​​na Internet) de acordo com sua tabela de tradução dinâmica. Nesta configuração, é necessário lembrar que para registrar corretamente os dados dos hosts da rede interna, as estatísticas devem ser coletadas de forma e em local onde o resultado da tradução ainda não “anonimize” os endereços internos.

Métodos para coletar informações de tráfego/estatísticas

Você pode capturar e processar informações sobre a passagem do tráfego diretamente no próprio dispositivo de acesso (roteador de PC, servidor VPN), transferindo-o deste dispositivo para um servidor separado (NetFlow, SNMP) ou “do fio” (tap, SPAN). Vejamos todas as opções em ordem.
Roteador de PC
Consideremos o caso mais simples - um dispositivo de acesso (roteador) baseado em um PC rodando Linux.

Como configurar esse servidor, tradução de endereços e roteamento, muito foi escrito. Estamos interessados ​​​​na próxima etapa lógica - informações sobre como obter informações sobre o tráfego que passa por esse servidor. Existem três métodos comuns:

  • interceptar (copiar) pacotes que passam pela placa de rede do servidor usando a biblioteca libpcap
  • interceptando pacotes que passam pelo firewall integrado
  • usando ferramentas de terceiros para converter estatísticas pacote por pacote (obtidas por um dos dois métodos anteriores) em um fluxo de informações agregadas netflow
Libcap


No primeiro caso, uma cópia do pacote que passa pela interface, após passar pelo filtro (man pcap-filter), pode ser solicitada por um programa cliente no servidor escrito a partir desta biblioteca. O pacote chega com um cabeçalho de camada 2 (Ethernet). É possível limitar o comprimento da informação capturada (se estivermos interessados ​​apenas na informação do seu cabeçalho). Exemplos de tais programas são tcpdump e Wireshark. Existe uma implementação do libpcap para Windows. Se a tradução de endereços for utilizada em um roteador de PC, tal interceptação só poderá ser realizada em sua interface interna conectada a usuários locais. Na interface externa, após a tradução, os pacotes IP não contêm informações sobre os hosts internos da rede. Porém, com este método é impossível levar em consideração o tráfego gerado pelo próprio servidor na Internet (o que é importante se ele executa um serviço web ou de e-mail).

libpcap requer suporte do sistema operacional, o que atualmente equivale à instalação de uma única biblioteca. Neste caso, o programa aplicativo (usuário) que coleta os pacotes deve:

  • abra a interface necessária
  • especifique o filtro através do qual passar os pacotes recebidos, o tamanho da parte capturada (snaplen), o tamanho do buffer,
  • defina o parâmetro promisc, que coloca a interface de rede no modo de captura para todos os pacotes que passam, e não apenas aqueles endereçados ao endereço MAC desta interface
  • defina uma função (callback) a ser chamada em cada pacote recebido.

Quando um pacote é transmitido pela interface selecionada, após passar pelo filtro, esta função recebe um buffer contendo Ethernet, (VLAN), IP, etc. cabeçalhos, tamanho total até snaplen. Como a biblioteca libcap copia pacotes, ela não pode ser usada para bloquear sua passagem. Neste caso, o programa de coleta e processamento de tráfego terá que utilizar métodos alternativos, como chamar um script para colocar um determinado endereço IP em uma regra de bloqueio de tráfego.

Firewall


A captura de dados que passam pelo firewall permite levar em consideração tanto o tráfego do próprio servidor quanto o tráfego dos usuários da rede, mesmo quando a tradução de endereços está em execução. O principal neste caso é formular corretamente a regra de captura e colocá-la no lugar certo. Esta regra ativa a transferência do pacote para a biblioteca do sistema, de onde a aplicação de contabilidade e gerenciamento de tráfego pode recebê-lo. Para o sistema operacional Linux, o iptables é usado como firewall e as ferramentas de interceptação são ipq, netfliter_queue ou ulog. Para OC FreeBSD – ipfw com regras como tee ou divert. Em qualquer caso, o mecanismo de firewall é complementado pela capacidade de trabalhar com o programa do usuário da seguinte forma:
  • Um programa de usuário - um manipulador de tráfego - registra-se no sistema usando uma chamada de sistema ou uma biblioteca.
  • Um programa de usuário ou script externo instala uma regra no firewall, “envolvendo” o tráfego selecionado (de acordo com a regra) dentro do manipulador.
  • Para cada pacote que passa, o manipulador recebe seu conteúdo na forma de um buffer de memória (com cabeçalhos IP, etc. Após o processamento (contabilidade), o programa também deve informar ao kernel do sistema operacional o que fazer a seguir com tal pacote - descartá-lo ou passá-lo adiante. Alternativamente, é possível passar o pacote modificado para o kernel.

Como o pacote IP não é copiado, mas enviado ao software para análise, torna-se possível “ejetá-lo” e, portanto, restringir total ou parcialmente o tráfego de um determinado tipo (por exemplo, para um assinante de rede local selecionado). No entanto, se o programa aplicativo parar de responder ao kernel sobre sua decisão (travado, por exemplo), o tráfego através do servidor será simplesmente bloqueado.
Ressalta-se que os mecanismos descritos, com volumes significativos de tráfego transmitido, criam carga excessiva no servidor, que está associada à cópia constante de dados do kernel para o programa do usuário. O método de coleta de estatísticas no nível do kernel do sistema operacional, com a saída de estatísticas agregadas para o programa aplicativo por meio do protocolo NetFlow, não apresenta essa desvantagem.

Fluxo de rede
Este protocolo foi desenvolvido pela Cisco Systems para exportar informações de tráfego de roteadores para fins de contabilidade e análise de tráfego. A versão 5 mais popular agora fornece ao destinatário um fluxo de dados estruturados na forma de pacotes UDP contendo informações sobre o tráfego passado na forma dos chamados registros de fluxo:

A quantidade de informações sobre o tráfego é várias ordens de grandeza menor que o próprio tráfego, o que é especialmente importante em redes grandes e distribuídas. Obviamente, é impossível bloquear a transferência de informações durante a coleta de estatísticas via netflow (a menos que sejam utilizados mecanismos adicionais).
Atualmente, um desenvolvimento adicional deste protocolo está se tornando popular - versão 9, baseada na estrutura de registro de fluxo de modelo, implementação para dispositivos de outros fabricantes (sFlow). Recentemente, foi adotado o padrão IPFIX, que permite a transmissão de estatísticas via protocolos em níveis mais profundos (por exemplo, por tipo de aplicação).
A implementação de fontes netflow (agentes, sondas) está disponível para roteadores de PC, tanto na forma de utilitários que funcionam de acordo com os mecanismos descritos acima (flowprobe, softflowd), quanto diretamente integrados ao kernel do sistema operacional (FreeBSD: ng_netgraph, Linux :) . Para roteadores de software, o fluxo de estatísticas do netflow pode ser recebido e processado localmente no próprio roteador ou enviado pela rede (protocolo de transferência - via UDP) para o dispositivo receptor (coletor).


O programa coletor pode coletar informações de muitas fontes ao mesmo tempo, sendo capaz de distinguir seu tráfego mesmo com espaços de endereço sobrepostos. Usando ferramentas adicionais como o nprobe, também é possível realizar agregação adicional de dados, bifurcação de fluxo ou conversão de protocolo, o que é importante ao gerenciar uma rede grande e distribuída com dezenas de roteadores.

As funções de exportação do Netflow suportam roteadores da Cisco Systems, Mikrotik e alguns outros. Funcionalidades semelhantes (com outros protocolos de exportação) são suportadas por todos os principais fabricantes de equipamentos de rede.

Libpcap “fora”
Vamos complicar um pouco a tarefa. E se o seu dispositivo de acesso for um roteador de hardware de outro fabricante? Por exemplo, D-Link, ASUS, Trendnet, etc. Provavelmente é impossível instalar software adicional de aquisição de dados nele. Alternativamente, você possui um dispositivo de acesso inteligente, mas não é possível configurá-lo (você não tem direitos ou é controlado pelo seu provedor). Neste caso, você pode coletar informações sobre o tráfego diretamente no ponto onde o dispositivo de acesso encontra a rede interna, utilizando ferramentas de cópia de pacotes de “hardware”. Nesse caso, você definitivamente precisará de um servidor separado com uma placa de rede dedicada para receber cópias de pacotes Ethernet.
O servidor deve utilizar o mecanismo de coleta de pacotes utilizando o método libpcap descrito acima, e nossa tarefa é enviar um fluxo de dados idêntico ao proveniente do servidor de acesso para a entrada da placa de rede dedicada para esse fim. Para isso você pode usar:
  • Ethernet - hub: dispositivo que simplesmente encaminha pacotes entre todas as suas portas indiscriminadamente. Na realidade moderna, ele pode ser encontrado em algum lugar em um armazém empoeirado, e usar este método não é recomendado: não confiável, baixa velocidade (não há hubs com velocidade de 1 Gbit/s)
  • Ethernet - um switch com capacidade de espelhamento (espelhamento, portas SPAN. Switches inteligentes modernos (e caros) permitem copiar todo o tráfego (entrada, saída, ambos) de outra interface física, VLAN, incluindo remoto (RSPAN) para um determinado porta
  • Divisor de hardware, que pode exigir a instalação de duas placas de rede em vez de uma para montagem - e isso é um acréscimo à placa principal do sistema.


Naturalmente, você pode configurar uma porta SPAN no próprio dispositivo de acesso (roteador), se permitir - Cisco Catalyst 6500, Cisco ASA. Aqui está um exemplo de tal configuração para um switch Cisco:
monitore a sessão 1 fonte vlan 100! de onde tiramos os pacotes?
monitorar sessão 1 interface de destino Gi6/3! onde emitimos pacotes?

SNMP
E se não tivermos um roteador sob nosso controle, não quisermos entrar em contato com o netflow, não estivermos interessados ​​nos detalhes do tráfego de nossos usuários. Eles são simplesmente conectados à rede por meio de um switch gerenciado, e só precisamos estimar aproximadamente a quantidade de tráfego que vai para cada uma de suas portas. Como você sabe, dispositivos de rede com controle remoto suportam e podem exibir contadores de pacotes (bytes) que passam pelas interfaces de rede. Para pesquisá-los, seria correto usar o protocolo padronizado de gerenciamento remoto SNMP. Com ele, você pode obter facilmente não apenas os valores dos contadores especificados, mas também outros parâmetros, como nome e descrição da interface, endereços MAC visíveis através dela e outras informações úteis. Isso é feito por utilitários de linha de comando (snmpwalk), navegadores gráficos SNMP e programas de monitoramento de rede mais complexos (rrdtools, cacti, zabbix, whats up gold, etc.). No entanto, este método tem duas desvantagens significativas:
  • O bloqueio de tráfego só pode ser feito desabilitando completamente a interface, utilizando o mesmo SNMP
  • os contadores de tráfego obtidos via SNMP referem-se à soma dos comprimentos dos pacotes Ethernet (unicast, broadcast e multicast separadamente), enquanto o restante das ferramentas descritas anteriormente fornecem valores relativos aos pacotes IP. Isso cria uma discrepância perceptível (especialmente em pacotes curtos) devido à sobrecarga causada pelo comprimento do cabeçalho Ethernet (no entanto, isso pode ser combatido aproximadamente: L3_byte = L2_byte - L2_packets * 38).
VPN
Separadamente, vale a pena considerar o caso de acesso do usuário à rede estabelecendo explicitamente uma conexão com o servidor de acesso. Um exemplo clássico é o bom e velho dial-up, cujo análogo no mundo moderno são os serviços de acesso remoto VPN (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


O dispositivo de acesso não apenas roteia o tráfego IP do usuário, mas também atua como um servidor VPN especializado e encerra túneis lógicos (geralmente criptografados) dentro dos quais o tráfego do usuário é transmitido.
Para contabilizar esse tráfego, você pode usar todas as ferramentas descritas acima (e elas são adequadas para análises profundas por portas/protocolos), bem como mecanismos adicionais que fornecem ferramentas de controle de acesso VPN. Em primeiro lugar falaremos sobre o protocolo RADIUS. Seu trabalho é um tema bastante complexo. Mencionaremos brevemente que o controle (autorização) de acesso ao servidor VPN (cliente RADIUS) é controlado por uma aplicação especial (servidor RADIUS), que possui um banco de dados (arquivo de texto, SQL, Active Directory) de usuários permitidos com seus atributos (restrições de velocidade de conexão, endereços IP atribuídos). Além do processo de autorização, o cliente transmite periodicamente ao servidor mensagens de contabilidade, informações sobre o estado de cada sessão VPN atualmente em execução, incluindo contadores de bytes e pacotes transmitidos.

Conclusão

Vamos reunir todos os métodos de coleta de informações de tráfego descritos acima:

Vamos resumir. Na prática, há um grande número de métodos para conectar a rede que você gerencia (com clientes ou assinantes de escritório) a uma infraestrutura de rede externa, usando uma série de ferramentas de acesso - roteadores de software e hardware, switches, servidores VPN. No entanto, em quase todos os casos, é possível criar um esquema onde as informações sobre o tráfego transmitido pela rede possam ser enviadas a uma ferramenta de software ou hardware para sua análise e gerenciamento. Também é possível que esta ferramenta permita feedback ao dispositivo de acesso, utilizando algoritmos inteligentes de restrição de acesso para clientes individuais, protocolos e outras coisas.
É aqui que terminarei a análise do material. Os restantes tópicos sem resposta são:

  • como e para onde vão os dados de tráfego coletados
  • software de contabilidade de tráfego
  • Qual a diferença entre faturamento e um simples “contador”
  • Como você pode impor restrições de tráfego?
  • contabilidade e restrição de sites visitados

Tags: Adicionar tags