Shumë administratorë të rrjetit shpesh përballen me probleme që mund të trajtohen duke analizuar trafikun e rrjetit. Dhe këtu ne përballemi me një koncept të tillë si një analizues trafiku. Pra, çfarë është ajo?
Analizuesit dhe Kolektorët NetFlow janë mjete që ju ndihmojnë të monitoroni dhe analizoni të dhënat e trafikut të rrjetit. Analizuesit e procesit të rrjetit ju ndihmojnë të identifikoni me saktësi pajisjet që po degradojnë gjerësinë e brezit. Ata dinë të gjejnë zonat problematike në sistemin tuaj dhe të përmirësojnë efikasitetin e përgjithshëm të rrjetit.
Termi " Rrjedha e rrjetit»I referohet një protokolli Cisco për mbledhjen e informacionit të trafikut IP dhe monitorimin e trafikut të rrjetit. NetFlow është miratuar si protokoll standard për teknologjitë e transmetimit.
Softueri NetFlow mbledh dhe analizon të dhënat e rrjedhës së gjeneruar nga ruterat dhe i paraqet ato në një format miqësor për përdoruesit.
Disa shitës të tjerë të pajisjeve të rrjetit kanë protokollet e tyre për monitorimin dhe mbledhjen e të dhënave. Për shembull, Juniper, një tjetër shitës shumë i respektuar i pajisjeve të rrjetit, e quan protokollin e tij " J-rrjedhje". HP dhe Fortinet përdorin termin " s-Rrjedha". Edhe pse protokollet janë emërtuar ndryshe, të gjithë funksionojnë në të njëjtën mënyrë. Në këtë artikull, ne do t'i hedhim një vështrim 10 Analizuesve Falas të Trafikut të Rrjetit dhe Mbledhësit NetFlow për Windows.
Analizuesi i trafikut NetFlow në kohë reale SolarWinds
Pa pagesë NetFlow Traffic Analyzer është një nga mjetet më të njohura të disponueshme për shkarkim falas. Kjo ju jep mundësinë për të renditur, etiketuar dhe shfaqur të dhënat tuaja në mënyra të ndryshme. Kjo ju lejon të vizualizoni dhe analizoni me lehtësi trafikun e rrjetit. Mjeti është i shkëlqyeshëm për monitorimin e trafikut të rrjetit sipas llojit dhe periudhës kohore. Dhe gjithashtu ekzekutimi i testeve për të përcaktuar se sa trafik konsumojnë aplikacione të ndryshme.
Ky mjet falas është i kufizuar në një ndërfaqe monitorimi NetFlow dhe ruan vetëm 60 minuta të dhëna. Ky analizues Netflow është një mjet i fuqishëm që ia vlen të përdoret.
Colasoft Capsa Falas
Ky analizues falas i trafikut LAN ju lejon të identifikoni dhe monitoroni mbi 300 protokolle rrjeti dhe ju lejon të krijoni raporte me porosi. Ai përfshin monitorimin e postës elektronike dhe diagramet e sekuencës Sinkronizimi i TCP, të gjitha bashkohen në një panel të personalizuar.
Karakteristika të tjera përfshijnë analizën e sigurisë së rrjetit. Për shembull, gjurmimi i sulmit DoS / DDoS, aktiviteti i krimbave dhe zbulimi i sulmit ARP. Si dhe deshifrimi i paketave dhe shfaqja e informacionit, statistikat për secilin host në rrjet, kontrolli i shkëmbimit të paketave dhe rindërtimi i transmetimit. Capsa Free mbështet të gjitha versionet 32-bit dhe 64-bit të Windows XP.
Kërkesat minimale të sistemit për instalim janë 2 GB RAM dhe një procesor 2,8 GHz. Ju gjithashtu duhet të keni një lidhje Ethernet në internet ( në përputhje me NDIS 3 ose më të lartë), Ethernet i shpejtë ose Gigabit me drejtues të modalitetit të përzier. Kjo ju lejon të kapni në mënyrë pasive të gjitha paketat e transmetuara përmes kabllos Ethernet.
Skaneri IP i zemëruar
Është një analizues i trafikut me burim të hapur Windows që është i shpejtë dhe i lehtë për t'u përdorur. Nuk kërkon instalim dhe mund të përdoret në Linux, Windows dhe Mac OSX. Ky mjet funksionon thjesht duke pinguar çdo adresë IP dhe mund të zbulojë adresat MAC, të skanojë portat, të sigurojë informacione NetBIOS, të identifikojë një përdorues të autorizuar në sistemet Windows, të zbulojë serverët e uebit dhe më shumë. Aftësitë e tij zgjerohen me shtojcat Java. Të dhënat e skanuara mund të ruhen në skedarë CSV, TXT, XML.
ManageEngine NetFlow Analyzer Professional
Versioni i plotë i paraqitur i softuerit NetFlow nga ManageEngines. Është një softuer i fuqishëm me një grup të plotë funksionesh për analiza dhe mbledhje të të dhënave: monitorim i gjerësisë së brezit në kohë reale dhe sinjalizime kur arrihen pragjet, duke ju lejuar të administroni shpejt proceset. Përveç kësaj, ai ofron një përmbledhje të të dhënave të përdorimit të burimeve, aplikacioneve dhe protokolleve të monitorimit dhe shumë më tepër.
Versioni falas i Linux Traffic Analyzer lejon përdorimin e pakufizuar të produktit për 30 ditë, pas së cilës mund të monitorohen vetëm dy ndërfaqe. Kërkesat e sistemit për NetFlow Analyzer ManageEngine varen nga norma. Kërkesat e rekomanduara për një shpejtësi minimale të transmetimit nga 0 në 3000 transmetime për sekondë: procesor me dy bërthama 2,4 GHz, 2 GB RAM dhe 250 GB hapësirë të lirë në hard disk. Me rritjen e shkallës së rrjedhës që monitorohet, rriten edhe kërkesat.
Tipi
Ky aplikacion është një monitor i njohur i rrjetit i zhvilluar nga MikroTik. Ai skanon automatikisht të gjitha pajisjet dhe rikrijon hartën e rrjetit. Dude monitoron serverët që funksionojnë në një sërë pajisjesh dhe paralajmëron nëse lindin probleme. Karakteristika të tjera përfshijnë zbulimin automatik dhe hartëzimin e pajisjeve të reja, aftësinë për të krijuar hartat tuaja, aksesin te mjetet për të kontrolluar pajisjet në distancë dhe më shumë. Punon në Windows, Linux Wine dhe macOS Darwine.
Analizuesi i rrjetit JDSU Ethernet i shpejtë
Ky program analizues i trafikut ju lejon të grumbulloni dhe shikoni shpejt të dhënat në rrjet. Mjeti ofron mundësinë për të parë përdoruesit e regjistruar, për të përcaktuar nivelin e përdorimit të gjerësisë së brezit të rrjetit nga pajisjet individuale dhe për të gjetur dhe rregulluar shpejt gabimet. Dhe gjithashtu kapni të dhënat në kohë reale dhe analizoni ato.
Aplikacioni mbështet krijimin e grafikëve dhe tabelave shumë të detajuara që u mundësojnë administratorëve të gjurmojnë anomalitë e trafikut, të filtrojnë të dhënat për të shoshitur sasi të mëdha të dhënash dhe më shumë. Për profesionistët e nivelit fillestar si dhe administratorët me përvojë, ky mjet ju lejon të merrni kontrollin e plotë të rrjetit tuaj.
Ekspertues plikser
Ky analizues i trafikut të rrjetit ju lejon të grumbulloni dhe analizoni në mënyrë gjithëpërfshirëse trafikun e rrjetit dhe të gjeni dhe rregulloni shpejt gabimet. Me Scrutinizer, ju mund t'i renditni të dhënat tuaja në mënyra të ndryshme, duke përfshirë sipas intervaleve kohore, hosteve, aplikacioneve, protokolleve dhe më shumë. Versioni falas ju lejon të kontrolloni një numër të pakufizuar ndërfaqesh dhe të ruani të dhëna për 24 orë aktivitet.
Wireshark
Wireshark është një analizues i fuqishëm i rrjetit që mund të funksionojë në Linux, Windows, MacOS X, Solaris dhe platforma të tjera. Wireshark ju lejon të shikoni të dhënat e kapura duke përdorur një ndërfaqe grafike ose të përdorni shërbimet e modalitetit TTY TSark. Funksionet e tij përfshijnë mbledhjen dhe analizimin e trafikut VoIP, shfaqjen në kohë reale të të dhënave Ethernet, IEEE 802.11, Bluetooth, USB, Frame Relay, daljen e të dhënave në XML, PostScript, CSV, mbështetje për deshifrimin dhe shumë më tepër.
Kërkesat e sistemit: Windows XP e lart, çdo procesor modern 64/32-bit, 400 Mb RAM dhe 300 Mb hapësirë të lirë në disk. Wireshark NetFlow Analyzer është një mjet i fuqishëm që mund të thjeshtojë shumë punën e çdo administratori të rrjetit.
Paessler PRTG
Ky analizues i trafikut u ofron përdoruesve shumë funksione të dobishme: mbështetje për monitorimin e LAN, WAN, VPN, aplikacionet, serverin virtual, QoS dhe mjedisin. Mbështetet gjithashtu monitorimi i shumë siteve. PRTG përdor SNMP, WMI, NetFlow, SFlow, JFlow dhe nuhatje të paketave, si dhe monitorimin e kohës / joproduktive dhe mbështetjen e IPv6.
Versioni falas ju lejon të përdorni një numër të pakufizuar sensorësh për 30 ditë, pas së cilës mund të përdorni vetëm deri në 100 sensorë falas.
nsondë
Është një aplikacion i gjurmimit dhe analizës NetFlow me burim të hapur me funksione të plota.
nProbe mbështet IPv4 dhe IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, analizën e trafikut VoIP, kampionimin e rrjedhës dhe paketave, gjenerimin e regjistrave, aktivitetin MySQL / Oracle dhe DNS, dhe shumë më tepër. Aplikacioni është falas nëse shkarkoni dhe përpiloni analizuesin e trafikut në Linux ose Windows. Ekzekutuesi i konfigurimit kufizon madhësinë e kapjes në 2000 paketa. nProbe është plotësisht falas për institucionet arsimore, si dhe organizatat jofitimprurëse dhe shkencore. Ky mjet do të funksionojë në versionet 64-bit të sistemeve operative Linux dhe Windows.
Kjo listë me 10 analizues trafiku falas dhe koleksionistë NetFlow do t'ju ndihmojë të filloni monitorimin dhe zgjidhjen e problemeve të një rrjeti të vogël zyrash ose një WAN të madh korporate me shumë faqe.
Çdo aplikacion i paraqitur në këtë artikull ofron mundësinë për të monitoruar dhe analizuar trafikun e rrjetit, për të zbuluar dështime të vogla dhe për të identifikuar anomalitë e gjerësisë së brezit që mund të tregojnë kërcënime sigurie. Dhe gjithashtu vizualizoni informacione rreth rrjetit, trafikut dhe shumë më tepër. Administratorët e rrjetit duhet patjetër të kenë mjete të tilla në arsenalin e tyre.
Ky botim është një përkthim i artikullit " Top 10 Analizuesit dhe Koleksionuesit më të mirë Netflow falas për Windows“Përgatitur nga ekipi miqësor i projektit
Mire keq
Çdo administrator herët a vonë merr udhëzime nga menaxhmenti: "llogaritni kush shkon në internet dhe sa shkarkon". Për ofruesit, ai plotësohet nga detyrat "leni kë të duhet, merrni pagesën, kufizoni aksesin". Çfarë duhet numëruar? Si? Ku? Ka shumë informacione fragmentare, ato nuk janë të strukturuara. Le ta shpëtojmë administratorin fillestar nga kërkimet e lodhshme, duke i ofruar atij njohuri të përgjithshme dhe lidhje të dobishme me materialin.
Në këtë artikull do të përpiqem të përshkruaj parimet e organizimit të mbledhjes, kontabilitetit dhe kontrollit të trafikut në rrjet. Ne do të shqyrtojmë problematikën e problemit dhe do të listojmë mënyrat e mundshme për të marrë informacion nga pajisjet e rrjetit.
Ky është artikulli i parë teorik në një seri artikujsh kushtuar mbledhjes, kontabilitetit, menaxhimit dhe faturimit të trafikut dhe burimeve të IT.
Struktura e aksesit në internet
Në përgjithësi, struktura e aksesit në rrjet është si më poshtë:- Burimet e jashtme - Interneti, me të gjitha faqet, serverët, adresat dhe gjërat e tjera që nuk i përkasin rrjetit që ju kontrolloni.
- Një pajisje aksesi është një ruter (i bazuar në harduer ose PC), ndërprerës, server VPN ose shpërndarës.
- Burimet e brendshme - një grup kompjuterash, nënrrjetash, pajtimtarësh, puna e të cilëve në rrjet duhet të merret parasysh ose të kontrollohet.
- Një server kontrolli ose kontabiliteti është një pajisje në të cilën funksionon softueri i specializuar. Mund të kombinohet funksionalisht me një ruter softuerësh.
Trafiku i rrjetit
Së pari, duhet të përcaktoni se çfarë nënkuptohet me "trafik në rrjet" dhe çfarë informacioni të dobishëm statistikor mund të nxirret nga rrjedha e të dhënave të përdoruesit.IP versioni 4 mbetet protokolli dominues për ndërveprim. Protokolli IP përputhet me shtresën e tretë të modelit OSI (L3). Informacioni (të dhënat) ndërmjet dërguesit dhe marrësit janë të paketuara në pako - me një kokë dhe një "payload". Kreu përcakton se nga vjen paketa dhe ku (adresat IP të burimit dhe destinacionit), madhësinë e paketës dhe llojin e ngarkesës. Pjesa më e madhe e trafikut të rrjetit përbëhet nga paketat e ngarkesës UDP dhe TCP - këto janë protokollet e Layer 4 (L4). Përveç adresave, kreu i këtyre dy protokolleve përmban numra portash që përcaktojnë llojin e shërbimit (aplikacionit) që transferon të dhënat.
Për të transmetuar një paketë IP me tela (ose radio), pajisjet e rrjetit detyrohen ta "mbështjellin" (kapsulojnë) atë në një paketë të protokollit të shtresës 2 (L2). Më i zakonshmi i këtij lloji është Ethernet. Transmetimi aktual "në tela" është në nivelin e 1-të. Zakonisht, pajisja e aksesit (ruteri) nuk analizon kokat e paketave në një nivel më të lartë se i 4-ti (me përjashtim të mureve të zjarrit inteligjentë).
Informacioni nga fushat e adresave, porteve, protokolleve dhe numëruesve të gjatësisë nga kokat L3 dhe L4 të paketave të të dhënave përbën "materialin burimor" që përdoret në kontabilitet dhe menaxhimin e trafikut. Sasia aktuale e informacionit të transmetuar gjendet në fushën Length të titullit IP (duke përfshirë gjatësinë e vetë kokës). Nga rruga, për shkak të fragmentimit të paketave për shkak të mekanizmit MTU, sasia totale e të dhënave të transmetuara është gjithmonë më e madhe se madhësia e ngarkesës.
Gjatësia totale e fushave IP dhe TCP / UDP të paketës me interes për ne në këtë kontekst është 2 ... 10% e gjatësisë totale të paketës. Nëse i përpunoni dhe ruani të gjitha këto informacione në grupe, nuk do të ketë burime të mjaftueshme. Për fat të mirë, pjesa dërrmuese e trafikut është e strukturuar në atë mënyrë që përbëhet nga një grup "bisedash" midis pajisjeve të rrjetit të jashtëm dhe të brendshëm, të ashtuquajturat "flukse". Për shembull, si pjesë e një operacioni të vetëm të përcjelljes së emailit (protokolli SMTP), hapet një seancë TCP midis klientit dhe serverit. Karakterizohet nga një grup i vazhdueshëm parametrash (IP-ja e burimit, porta e burimit TCP, porta e destinacionit TCP, porta e destinacionit TCP)... Në vend të përpunimit dhe ruajtjes së informacionit për paketë, është shumë më i përshtatshëm për të ruajtur parametrat e rrjedhës (adresat dhe portet), si dhe informacione shtesë - numri dhe shuma e gjatësisë së paketave të transmetuara në çdo drejtim, kohëzgjatja opsionale e seancës, ndërfaqja e ruterit. indekset, vlera e fushës ToS, e kështu me radhë. Kjo qasje është e dobishme për protokollet e orientuar drejt lidhjes (TCP), ku mund të përgjoni në mënyrë eksplicite kur përfundon sesioni. Sidoqoftë, edhe për protokollet jo të orientuara nga sesionet, është e mundur të kryhet grumbullimi dhe përfundimi logjik i regjistrimit të transmetimit, për shembull, me një afat kohor. Më poshtë është një fragment nga baza e të dhënave SQL e sistemit të tij të faturimit që regjistron informacione rreth flukseve të trafikut:
Duhet të theksohet rasti kur pajisja e aksesit kryen përkthimin e adresave (NAT, maskuar) për organizimin e aksesit në internet për kompjuterët në rrjetin lokal duke përdorur një adresë IP të jashtme publike. Në këtë rast, një mekanizëm i veçantë zëvendëson adresat IP dhe portat TCP / UDP të paketave të trafikut, duke zëvendësuar adresat e brendshme (të padrejtueshme në internet) sipas tabelës së tij dinamike të përkthimit. Në një konfigurim të tillë, duhet të mbahet mend se për llogaritjen e saktë të të dhënave në hostet e brendshëm të rrjetit, statistikat duhet të merren në një mënyrë dhe në vendin ku rezultati i përkthimit nuk i "depersonalizon" ende adresat e brendshme.
Metodat për mbledhjen e informacionit të trafikut / statistikave
Është e mundur të kapni dhe përpunoni informacionin rreth kalimit të trafikut drejtpërdrejt në vetë pajisjen e aksesit (ruter PC, server VPN), nga kjo pajisje që e transmeton atë në një server të veçantë (NetFlow, SNMP) ose "nga tela" (trokitje e lehtë , SPAN). Le të analizojmë të gjitha opsionet me radhë.Ruter PC
Le të shqyrtojmë rastin më të thjeshtë - një pajisje aksesi (ruter) i bazuar në një PC që funksionon Linux.Si të konfiguroni një server të tillë, përkthimin e adresave dhe rrugëzimin, shkruar shumë... Ne jemi të interesuar për hapin tjetër logjik - informacion se si të marrim informacione në lidhje me trafikun që kalon përmes një serveri të tillë. Ekzistojnë tre mënyra të zakonshme:
- përgjimi (kopjimi) i paketave që kalojnë përmes kartës së rrjetit të serverit duke përdorur bibliotekën libpcap
- përgjimi i paketave që kalojnë përmes murit të zjarrit të integruar
- duke përdorur mjete të palëve të treta për konvertimin e statistikave për paketë (të marra nga një nga dy metodat e mëparshme) në një rrjedhë të rrjedhës së informacionit të grumbulluar.
Libpcap
Në rastin e parë, një kopje e paketës që kalon përmes ndërfaqes, pas kalimit të filtrit (man pcap-filter), mund të kërkohet nga një program klient në server i shkruar duke përdorur këtë bibliotekë. Paketa vjen me një kokë të Layer 2 (Ethernet). Është e mundur të kufizohet gjatësia e informacionit të kapur (nëse na intereson vetëm informacioni nga titulli i tij). Shembuj të programeve të tilla janë tcpdump dhe Wireshark. Ekziston një zbatim libpcap për Windows. Në rastin e përdorimit të përkthimit të adresës në një ruter PC, një përgjim i tillë mund të kryhet vetëm në ndërfaqen e tij të brendshme të lidhur me përdoruesit lokalë. Në ndërfaqen e jashtme, pas përkthimit, paketat IP nuk përmbajnë informacion për hostet e brendshëm të rrjetit. Sidoqoftë, me këtë metodë, është e pamundur të merret parasysh trafiku i gjeneruar nga vetë serveri në internet (gjë që është e rëndësishme nëse një shërbim në internet ose postë po funksionon në të).
Libpcap kërkon mbështetje nga sistemi operativ, i cili aktualisht zbret në instalimin e një biblioteke të vetme. Në këtë rast, programi i aplikacionit (përdoruesi) që mbledh paketat duhet:
- hapni ndërfaqen e kërkuar
- specifikoni filtrin përmes të cilit kalojnë paketat e marra, madhësinë e pjesës së kapur (snaplen), madhësinë e buferit,
- vendosni parametrin promisc, i cili kalon ndërfaqen e rrjetit në mënyrën e kapjes së të gjitha paketave që kalojnë në përgjithësi, dhe jo vetëm atyre që i drejtohen adresës MAC të kësaj ndërfaqeje
- caktoni një funksion (callback) të thirrur për çdo paketë të marrë.
Kur një paketë transmetohet përmes ndërfaqes së zgjedhur, pasi kalon filtrin, ky funksion merr një buffer që përmban Ethernet, (VLAN), IP, etj. headers deri në snaplen. Meqenëse biblioteka libcap kopjon paketat, nuk është e mundur të bllokohen ato që të kalojnë nëpër të. Në këtë rast, programi për mbledhjen dhe përpunimin e trafikut do të duhet të përdorë metoda alternative, për shembull, duke thirrur një skript për të vendosur adresën IP të specifikuar në rregullin e bllokimit të trafikut.
Firewall
Kapja e të dhënave që kalojnë përmes murit të zjarrit ju lejon të merrni parasysh trafikun e vetë serverit dhe trafikun e përdoruesve të rrjetit, edhe kur përkthimi i adresës është duke u ekzekutuar. Gjëja kryesore në këtë rast është të formuloni saktë rregullin e kapjes dhe ta vendosni atë në vendin e duhur. Ky rregull aktivizon transferimin e paketës drejt bibliotekës së sistemit, nga ku mund ta marrë aplikacioni i kontabilitetit dhe kontrollit të trafikut. Për Linux OS, iptables përdoret si muri i zjarrit, dhe interceptorët janë ipq, netfliter_queue ose ulog. Për FreeBSD OC - ipfw me rregulla tee ose devijimi. Në çdo rast, mekanizmi i murit të zjarrit plotësohet nga aftësia për të punuar me një program përdoruesi në mënyrën e mëposhtme:
- Programi i përdoruesit - mbajtësi i trafikut regjistrohet në sistem duke përdorur një thirrje sistemi ose një bibliotekë.
- Një program përdoruesi ose skript i jashtëm instalon një rregull në murin e zjarrit që "mbështjell" trafikun e zgjedhur (sipas rregullit) brenda mbajtësit.
- Për çdo paketë që kalon, mbajtësi merr përmbajtjen e tij në formën e një buferi memorie (me kokë IP, etj. Pas përpunimit (kontabilitetit), programi duhet gjithashtu t'i tregojë kernelit të sistemit operativ se çfarë të bëjë më pas me një paketë të tillë - të hidhet ose transferojeni më tej.kaloni paketën e modifikuar në kernel.
Meqenëse paketa IP nuk kopjohet, por dërgohet në softuer për analizë, bëhet e mundur "hedhja" e saj dhe, rrjedhimisht, kufizimi plotësisht ose pjesërisht i trafikut të një lloji të caktuar (për shembull, te një pajtimtar i zgjedhur i lokalit rrjet). Sidoqoftë, nëse aplikacioni ndalon t'i përgjigjet kernelit në lidhje me vendimin e tij (varet, për shembull), trafiku përmes serverit thjesht bllokohet.
Duhet të theksohet se mekanizmat e përshkruar, me vëllime të konsiderueshme të trafikut të transmetuar, krijojnë një ngarkesë të tepërt në server, e cila shoqërohet me kopjimin e vazhdueshëm të të dhënave nga kerneli në programin e përdoruesit. Metoda e mbledhjes së statistikave në nivelin e kernelit OS, me lëshimin e statistikave të grumbulluara në programin e aplikacionit nëpërmjet protokollit NetFlow, nuk ka këtë pengesë.
Rrjedha e rrjetit
Ky protokoll u zhvillua nga Cisco Systems për të eksportuar informacionin e trafikut nga ruterët për llogaritjen dhe analizën e trafikut. Versioni më i popullarizuar 5 tani i siguron marrësit një rrjedhë të strukturuar të të dhënave në formën e paketave UDP që përmbajnë informacione rreth trafikut të kaluar në formën e të ashtuquajturave regjistrime të rrjedhës:
Sasia e informacionit në lidhje me trafikun është disa renditje më e vogël se vetë trafiku, gjë që është veçanërisht e rëndësishme në rrjetet e mëdha dhe të shpërndara. Sigurisht, është e pamundur të bllokohet transferimi i informacionit gjatë mbledhjes së statistikave mbi rrjedhën e rrjetit (përveç nëse përdoren mekanizma shtesë).
Aktualisht, zhvillimi i mëtejshëm i këtij protokolli po bëhet i njohur - versioni 9, bazuar në strukturën e shabllonit të regjistrimit të rrjedhës, zbatimi për pajisjet nga prodhuesit e tjerë (sFlow). Kohët e fundit, është miratuar standardi IPFIX, i cili lejon që statistikat të transmetohen përmes protokolleve të shtresave më të thella (për shembull, sipas llojit të aplikacionit).
Zbatimi i burimeve të rrjedhës së rrjetit (agjentë, sonda) është i disponueshëm për ruterat e PC, si në formën e shërbimeve që punojnë sipas mekanizmave të përshkruar më sipër (flowprobe, softflowd), ashtu edhe të integruara drejtpërdrejt në kernelin e OS (FreeBSD: ng_netgraph, Linux :) . Për ruterat e softuerit, rryma e statistikave të netflow mund të merret dhe përpunohet në nivel lokal në vetë ruterin, ose të dërgohet përmes rrjetit (protokolli i transmetimit - mbi UDP) në pajisjen marrëse (kolektor). 
Programi mbledhës mund të mbledhë informacion nga shumë burime në të njëjtën kohë, duke qenë në gjendje të dallojë trafikun e tyre edhe me hapësira adresash të mbivendosura. Me ndihmën e mjeteve shtesë, siç është nprobe, është gjithashtu e mundur të kryhet grumbullimi i të dhënave shtesë, transmetimet e ndarjes ose konvertimi i protokollit, gjë që është e rëndësishme kur menaxhoni një rrjet të madh dhe të shpërndarë me dhjetëra rutera.
Funksionet e eksportit netflow mbështeten nga Cisco Systems, Mikrotik dhe disa të tjerë. Funksionalitet i ngjashëm (me protokolle të tjera eksporti) mbështetet nga të gjithë prodhuesit kryesorë të pajisjeve të rrjetit. 
Libpcap "jashtë"
Le ta komplikojmë pak detyrën. Po sikur pajisja juaj e aksesit të jetë një ruter hardueri i palës së tretë? Për shembull, D-Link, ASUS, Trendnet, etj. Ka shumë të ngjarë të jetë e pamundur të instaloni softuer shtesë për marrjen e të dhënave në të. Përndryshe, ju keni një pajisje me akses inteligjent, por nuk është e mundur ta konfiguroni atë (nuk ka të drejta ose kontrollohet nga ofruesi juaj). Në këtë rast, është e mundur të mblidhen informacionet e trafikut direkt në ndërfaqen e pajisjes së aksesit me rrjetin e brendshëm, duke përdorur mjetet "hardware" të kopjimit të paketave. Në këtë rast, do t'ju duhet patjetër një server i pavarur me një kartë rrjeti të dedikuar për të marrë kopje të paketave Ethernet.Serveri duhet të përdorë mekanizmin për mbledhjen e paketave duke përdorur metodën libpcap të përshkruar më sipër, dhe detyra jonë është të dërgojmë një rrjedhë të dhënash në hyrjen e një karte rrjeti të dedikuar që është identike me atë që del nga serveri i aksesit. Për ta bërë këtë, mund të përdorni:
- Ethernet - shpërndarës: një pajisje që thjesht përcjell paketat midis të gjitha porteve të saj pa dallim. Në realitetet moderne, mund të gjendet diku në një depo me pluhur, dhe nuk rekomandohet përdorimi i kësaj metode: jo i besueshëm, me shpejtësi të ulët (nuk ka shpërndarës me 1 Gbit / s)
- Ethernet është një ndërprerës me aftësinë për të pasqyruar (pasqyrim, porte SPAN. Çelësat modernë inteligjentë (dhe të shtrenjtë) lejojnë kopjimin në një port të caktuar të gjithë trafikut (hyrës, dalës, të dyja) të një ndërfaqeje tjetër fizike, VLAN, duke përfshirë telekomandën (RSPAN)
- Një ndarës harduerësh, i cili mund të kërkojë instalim për të mbledhur dy karta rrjeti në vend të njërës - dhe kjo është përveç asaj kryesore, të sistemit.
Natyrisht, mund të konfiguroni portën SPAN në vetë pajisjen e hyrjes (ruter), nëse e lejon - Cisco Catalyst 6500, Cisco ASA. Këtu është një shembull i një konfigurimi të tillë për një ndërprerës Cisco:
monitoroni sesionin 1 burim vlan 100! ku i marrim paketat
monitoroni ndërfaqen e destinacionit të seancës 1 Gi6 / 3! ku nxjerrim paketat
SNMP
Po sikur të mos ketë asnjë ruter nën kontrollin tonë, të mos ketë dëshirë për të komunikuar me netflow, ne nuk jemi të interesuar për detajet e trafikut të përdoruesve tanë. Ata thjesht lidhen me rrjetin përmes një ndërprerësi të menaxhuar, dhe ne vetëm duhet të vlerësojmë përafërsisht sasinë e trafikut që shkon në secilën prej porteve të tij. Siç e dini, pajisjet e rrjetit të menaxhuara nga distanca mbështesin dhe mund të shfaqin numërimin e paketave (bajt) që kalojnë nëpër ndërfaqet e rrjetit. Për t'i anketuar ato, do të ishte e saktë të përdorej protokolli i standardizuar i menaxhimit në distancë SNMP. Duke përdorur atë, ju lehtë mund të merrni jo vetëm vlerat e numëruesve të specifikuar, por edhe parametra të tjerë, siç janë emri dhe përshkrimi i ndërfaqes, adresat MAC të dukshme përmes tij dhe informacione të tjera të dobishme. Kjo bëhet si me shërbimet e linjës së komandës (snmpwalk), shfletuesit grafikë SNMP dhe programet më të sofistikuara të monitorimit të rrjetit (rrdtools, kaktusët, zabbix, whats up gold, etj.). Sidoqoftë, kjo metodë ka dy disavantazhe të rëndësishme:- trafiku mund të bllokohet vetëm duke çaktivizuar plotësisht ndërfaqen, duke përdorur të njëjtin SNMP
- Numëruesit e trafikut SNMP i referohen shumës së gjatësisë së paketave Ethernet (unicast, transmetimi dhe multicast veçmas), ndërsa pjesa tjetër e mjeteve të përshkruara më parë japin vlera në lidhje me paketat IP. Kjo krijon një mospërputhje të dukshme (veçanërisht në paketat e shkurtra) për shkak të kostos së lartë të shkaktuar nga gjatësia e kokës së Ethernetit (megjithatë, kjo mund të trajtohet afërsisht: L3_bytes = L2_bytes - L2_paketat * 38).
VPN
Më vete, vlen të merret në konsideratë rasti i aksesit të përdoruesit në rrjet duke krijuar në mënyrë eksplicite një lidhje me serverin e aksesit. Një shembull klasik është dial-up-i i vjetër, analog i të cilit në botën moderne janë shërbimet e qasjes në distancë VPN (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)
Pajisja e aksesit jo vetëm që drejton trafikun IP të përdoruesit, por gjithashtu vepron si një server i dedikuar VPN dhe përfundon tunelet logjike (shpesh të koduar), brenda të cilëve transmetohet trafiku i përdoruesit.
Për të llogaritur një trafik të tillë, mund të përdorni të gjitha mjetet e përshkruara më sipër (dhe ato janë të përshtatshme për analiza të thella nga porti / protokolli), si dhe mekanizma shtesë që ofrojnë mjete të kontrollit të hyrjes VPN. Para së gjithash, ne do të fokusohemi në protokollin RADIUS. Puna e tij është një temë mjaft komplekse. Shkurtimisht do të përmendim se kontrolli (autorizimi) i aksesit në serverin VPN (klienti RADIUS) kontrollohet nga një aplikacion special (serveri RADIUS), i cili ka një bazë të dhënash (skedar teksti, SQL, Active Directory) të përdoruesve të vlefshëm me atributet e tyre ( kufizimet në shpejtësinë e lidhjes, adresat IP të caktuara). Përveç procesit të autorizimit, klienti transmeton periodikisht mesazhet e kontabilitetit në server, informacione në lidhje me statusin e çdo sesioni aktual VPN që funksionon, duke përfshirë numëruesit e bajteve dhe paketave të transmetuara.
konkluzioni
Le të përmbledhim të gjitha metodat e mësipërme të mbledhjes së informacionit të trafikut së bashku:
Le të përmbledhim pak. Në praktikë, ekziston një numër i madh metodash për lidhjen e rrjetit që menaxhoni (me klientët ose abonentët e zyrës) me infrastrukturën e rrjetit të jashtëm, duke përdorur një sërë mjetesh aksesi - ruterë softuerësh dhe harduerësh, ndërprerës, serverë VPN. Sidoqoftë, pothuajse në çdo rast, mund të krijoni një skemë kur informacioni në lidhje me trafikun e transmetuar përmes rrjetit mund të dërgohet në mjetin softuer ose harduerik për analizën dhe kontrollin e tij. Është gjithashtu e mundur që ky mjet të lejojë reagime në pajisjen e aksesit duke përdorur algoritme inteligjente për të kufizuar aksesin për klientët individualë, protokollet dhe të tjerët.
Kjo përfundon analizën e materialit. Nga temat pa përgjigje mbetën:
- si dhe ku shkojnë të dhënat e grumbulluara të trafikut
- softuer i kontabilitetit të trafikut
- cili është ndryshimi midis faturimit dhe një "dhomë numërimi" të thjeshtë
- si mund të vendosni kufizime në trafik
- kontabiliteti dhe kufizimi i faqeve të internetit të vizituara
Etiketa: Shto etiketa
Sporteli i trafikut gjë e dobishme. Sidomos nëse keni akses të kufizuar në rrjet për sa i përket kohës ose sasisë së megabajteve të përdorura. Jo të gjithë kanë të pakufizuar, apo jo? Shumë njerëz kanë shtëpi të pakufizuara, por për një laptop përdorin lidhje 3G ose internet celular jashtë shtëpisë, si unë, për shembull. Dhe ky lloj komunikimi zakonisht është i kufizuar. Është e nevojshme të monitorohet konsumi i trafikut në mënyrë që të mos paguheni kur shpenzoni tepër.
Unë sugjeroj përdorimin NetWorx - një program falas për llogaritjen e trafikut në internet dhe monitorimin e shpejtësisë së lidhjes në internet. Ky program i vogël, i domosdoshëm do t'ju ndihmojë të mbani gjurmët e shpejtësisë (policët e trafikut nuk po flenë!) e lëvizjes në rrjet, dhe gjithashtu do të tregojë se sa kilogramë interneti janë shkarkuar në një kohë të caktuar.
Duke përdorur NetWorx mund të vendosni një kufi kohor ose numrin e megabajt. Dhe kur të arrihet ky prag, në ekran do të shfaqet një njoftim se kënga juaj është kënduar dhe se është koha për të përfunduar. Dhe mund të vendosni një shkëputje automatike nga rrjeti ose nisjen e programeve të caktuara. I përshtatshëm, i dobishëm, i lehtë.
Shkarkoni dhe instaloni NetWorx: 1.7MB
Kur shtypni butonin e djathtë të miut në ikonën në tabaka, një menu e tillë do të shfaqet ...
Kompjuterët janë të lidhur me njëri-tjetrin duke përdorur rrjete të jashtme ose të brendshme. Falë kësaj, përdoruesit mund të ndajnë informacione me njëri-tjetrin, madje edhe nga kontinente të ndryshme.
Softueri i kontrollit të trafikut të zyrës
Me ndihmën e ICS, ju mund të kontrolloni lehtësisht llogaritjen e trafikut dhe shpërndarjen e tij midis përdoruesve, të ndikoni në aftësinë për t'u lidhur me burimet e Internetit sipas gjykimit tuaj dhe të siguroni sigurinë e rrjetit tuaj të brendshëm.
Softueri i kontrollit të trafikut të shkollës
ICS është një portë universale e internetit me mjete për mbrojtjen e rrjetit arsimor, kontabilitetin e trafikut, kontrollin e aksesit dhe vendosjen e serverëve të postës, proxy dhe skedarëve.
Softueri i kontrollit të trafikut në shtëpi
ICS Lite është një portë interneti falas që ofron të gjitha nevojat e punës me internetin në shtëpi. ICS Lite është një version plotësisht funksional i Serverit të Kontrollit të Internetit, i cili përfshin një licencë për 8 përdorues.
Llojet e rrjeteve
- Shtëpi - kombinoni kompjuterët në një apartament ose shtëpi.
- Korporata - lidhni makinat e punës të ndërmarrjes.
- Rrjetet lokale - shpesh kanë një infrastrukturë të mbyllur.
- Global - lidh rajone të tëra dhe mund të përfshijë rrjete lokale.
Përfitimet e një lidhjeje të tillë janë të mëdha: kursehet koha e specialistëve dhe zvogëlohen faturat për thirrjet telefonike. Dhe të gjitha këto përfitime mund të anulohen nëse nuk kujdeset për sigurinë në kohë.
Firmat që nuk janë të njohura me konceptin e "kontrollit të trafikut" pësojnë humbje kolosale ose kufizojnë plotësisht aksesin në informacion. Ekziston një mënyrë më e lehtë për të kursyer para në mënyrë të sigurt - një program për monitorimin e trafikut në rrjetin lokal.
Ne e transformojmë sasinë në cilësi!
Është e rëndësishme që një menaxher të dijë se për çfarë shpenzohen fondet e kompanisë. Prandaj, administratori i sistemit është i përfshirë edhe në kontrollin e trafikut të rrjetit në zyrë. Statistikat mblidhen jo vetëm nga vëllimi, por edhe nga përmbajtja e informacionit të transmetuar.
Pse keni nevojë për kontrollin e rrjetit lokal? Megjithëse përgjigja për këtë pyetje është e qartë, shumë administratorë të sistemit nuk mund të justifikojnë në mënyrë të arsyeshme nevojën për të kontrolluar konsumin e trafikut të Internetit.
Përfitimet për menaxherin
Softueri i kontrollit të trafikut:
- optimizon funksionimin e rrjetit - për shkak të kursimit të kohës së punës së specialistëve, produktiviteti i punës rritet;
- tregon shpërndarjen e trafikut nga përdoruesit - bën të mundur të zbuloni se kujt i duhen burimet e Internetit;
- tregon se për çfarë qëllimesh është shpenzuar trafiku - duke përjashtuar aksesin e papërshtatshëm.
Përfitimet e Administratorit të Sistemit
Monitorimi i trafikut në rrjetin lokal lejon:
- kufizoni aksesin e përdoruesve në informacionin e padëshiruar;
- merrni menjëherë të dhëna për vëllimin e trafikut - duke përjashtuar mbingarkesën e rrjetit;
- parandaloni hyrjen e viruseve në rrjet dhe identifikoni shkelësit e regjimit të sigurisë.
Kontrolloni opsionet e zbatimit
Kontrolli i trafikut të internetit në një rrjet të korporatës mund të organizohet në disa mënyra:
- Bleni një mur zjarri me aftësinë për të dalluar trafikun.
- Konfiguro serverët proxy me drejtues NAT me funksione të kontabilitetit të trafikut.
- Përdorni lloje të ndryshme shtesash.
Vetëm një zgjidhje gjithëpërfshirëse mund të sigurojë mbrojtje maksimale. Kontrolli i Internetit Serveri ofron kontroll të plotë të aksesit dhe ofron të gjithë funksionalitetin e nevojshëm. ICS është një ruter i bazuar në FreeBSD me një server proxy të integruar.
Përparësitë e ICS
- Studimet statistikore kanë zbuluar se punonjësit shpenzojnë 1/3 e kohës së tyre të punës në internet për qëllime personale. Një portë speciale e Internetit ICS do të ndihmojë në parandalimin e aksesit të papërshtatshëm.
- Sistemi i kontrollit të trafikut mban gjurmët e çdo sistemi operativ të përdoruesve.
- IKS ofron cilësime fleksibël.
- Krijon raporte të detajuara në një formë të përshtatshme.
Shkarko falas!
Filloni tani - shkarkoni versionin demo të programit për monitorimin e trafikut të Internetit nga faqja jonë e internetit. Ju mund të përdorni të gjitha funksionet e zgjidhjes sonë pa kufizime për 35 ditë! Pas përfundimit të periudhës së testimit, ju vetëm duhet të blini versionin e plotë duke bërë një porosi ose duke kontaktuar menaxherët tanë.
Ky artikull do të shqyrtojë zgjidhjet softuerike për t'ju ndihmuar të kontrolloni trafikun tuaj. Falë tyre, ju mund të shihni një përmbledhje të konsumit të lidhjes në internet nga një proces i veçantë dhe të kufizoni përparësinë e tij. Nuk është e nevojshme të shikoni raportet e regjistruara në një kompjuter me softuer special të instaluar - kjo mund të bëhet nga distanca. Nuk do të jetë problem të zbuloni koston e burimeve të konsumuara dhe shumë më tepër.
Softuer nga SoftPerfect Research që ju lejon të kontrolloni trafikun e konsumuar. Programi ofron cilësime shtesë që bëjnë të mundur shikimin e informacionit në lidhje me megabajt të konsumuar për një ditë ose javë të caktuar, orë piku dhe jashtë pikut. Ofron mundësinë për të parë treguesit e shpejtësisë hyrëse dhe dalëse, të dhënave të marra dhe të dërguara.
Mjeti do të jetë veçanërisht i dobishëm në ato raste kur përdorni 3G ose LTE të kufizuar dhe, në përputhje me rrethanat, keni nevojë për kufizime. Nëse keni më shumë se një llogari, do të shfaqen statistikat për çdo përdorues individual.
Metër DU
Aplikim për ndjekjen e konsumit të burimeve nga World Wide Web. Në zonën e punës, do të shihni si sinjalin hyrës ashtu edhe atë dalës. Duke u lidhur me llogarinë e shërbimit dumeter.net, e cila ofrohet nga zhvilluesi, mund të mbledhni statistika për përdorimin e rrjedhës së informacionit nga Interneti nga të gjithë kompjuterët. Cilësimet fleksibël do t'ju ndihmojnë të filtroni transmetimin dhe të dërgoni raporte në emailin tuaj.
Parametrat ju lejojnë të specifikoni kufizimet kur përdorni lidhjen me rrjetin botëror. Përveç kësaj, ju mund të specifikoni koston e paketës së shërbimeve të ofruara nga ofruesi juaj. Ekziston një manual përdorimi në të cilin do të gjeni udhëzime se si të punoni me funksionalitetin e disponueshëm të programit.
Monitorimi i trafikut në rrjet
Një mjet që shfaq raportet e përdorimit të rrjetit me një grup të thjeshtë mjetesh pa pasur nevojë për instalim paraprak. Dritarja kryesore shfaq statistikat dhe një përmbledhje të lidhjes që ka akses në internet. Aplikacioni mund të bllokojë dhe kufizojë rrjedhën, duke i lejuar përdoruesit të specifikojë vlerat e veta. Në cilësimet, mund të rivendosni historinë e regjistruar. Ekziston një dispozitë për regjistrimin e statistikave të disponueshme në një skedar log. Një arsenal i funksionalitetit të nevojshëm do t'ju ndihmojë të rregulloni shpejtësinë e shkarkimit dhe ngarkimit.
Trafik Monitor
Aplikacioni është një zgjidhje e shkëlqyer për numëruesin e rrjedhës së informacionit nga rrjeti. Ka shumë tregues që tregojnë sasinë e të dhënave të konsumuara, daljen, shpejtësinë, vlerat maksimale dhe mesatare. Cilësimet e softuerit ju lejojnë të përcaktoni koston e sasisë së informacionit të përdorur në kohën e tanishme.
Raportet e krijuara do të përmbajnë një listë veprimesh që lidhen me lidhjen. Grafiku shfaqet në një dritare të veçantë, dhe shkalla shfaqet në kohë reale, do ta shihni atë në krye të të gjitha programeve në të cilat punoni. Zgjidhja është falas dhe ka një ndërfaqe në gjuhën ruse.
NetLimiter
Programi ka një dizajn modern dhe funksionalitet të fuqishëm. E veçanta e tij është se ofron raporte në të cilat ka një përmbledhje të konsumit të trafikut nga secili proces që funksionon në një PC. Statistikat janë renditur në mënyrë të përkryer sipas periudhave të ndryshme, dhe për këtë arsye do të jetë shumë e lehtë të gjesh periudhën e kërkuar kohore.
Nëse NetLimiter është i instaluar në një kompjuter tjetër, atëherë mund të lidheni me të dhe të kontrolloni murin e tij të zjarrit dhe funksionet e tjera. Për të automatizuar proceset brenda aplikacionit, zbatohen rregulla, të hartuara nga vetë përdoruesi. Në planifikuesin, mund të krijoni kufijtë tuaj për përdorimin e shërbimeve të ofruesit, si dhe të bllokoni hyrjen në rrjetet globale dhe lokale.
DUTtraffic
E veçanta e këtij softueri është se shfaq statistika të avancuara. Ka informacione për lidhjen nga e cila përdoruesi ka hyrë në hapësirën globale, seancat dhe kohëzgjatja e tyre, si dhe kohëzgjatja e përdorimit dhe shumë më tepër. Të gjitha raportet shoqërohen me informacion në formën e një diagrami që nxjerr në pah kohëzgjatjen e konsumit të trafikut në kohë. Në parametrat, ju mund të personalizoni pothuajse çdo element të projektimit.
Grafiku që shfaqet në një zonë të caktuar përditësohet në baza për sekondë. Fatkeqësisht, programi nuk mbështetet nga zhvilluesi, por ka një gjuhë ruse të ndërfaqes dhe shpërndahet pa pagesë.
BWMeter
Programi monitoron shkarkimin / ngarkimin dhe shpejtësinë e lidhjes ekzistuese. Përdorimi i filtrave shfaq një alarm nëse proceset në OS konsumojnë burimet e rrjetit. Filtra të ndryshëm përdoren për të zgjidhur shumë probleme të ndryshme. Përdoruesi do të jetë në gjendje të personalizojë plotësisht grafikët e shfaqur sipas dëshirës.
Ndër të tjera, ndërfaqja tregon kohëzgjatjen e konsumit të trafikut, shpejtësinë e marrjes dhe ngarkimit, si dhe vlerat minimale dhe maksimale. Programi mund të konfigurohet për të shfaqur sinjalizime kur ndodhin ngjarje të tilla si numri i megabajtëve të ngarkuar dhe koha e lidhjes. Duke futur adresën e faqes në rreshtin e duhur, mund të kontrolloni ping-un e saj dhe rezultati shkruhet në skedarin e regjistrit.
BitMeter II
Një zgjidhje për të ofruar një përmbledhje të përdorimit të shërbimeve të një ofruesi. Ka të dhëna si në paraqitjen tabelare ashtu edhe në atë grafike. Në parametrat, njoftimet janë konfiguruar për ngjarjet që lidhen me shpejtësinë e lidhjes dhe rrjedhën e konsumuar. Për lehtësinë e punës, BitMeter II ju lejon të llogaritni se sa kohë duhet për të ngarkuar sasinë e të dhënave të futura prej tij në megabajt.
Funksionaliteti ju lejon të përcaktoni se sa nga vëllimi i disponueshëm i ofruar nga ofruesi mbetet dhe kur të arrihet kufiri, një mesazh në lidhje me këtë shfaqet në shiritin e detyrave. Për më tepër, shkarkimi mund të kufizohet në skedën e parametrave, si dhe të monitorojë statistikat nga distanca në modalitetin e shfletuesit.
Produktet softuerike të paraqitura do të jenë të domosdoshme në kontrollin e konsumit të burimeve të Internetit. Funksionaliteti i aplikacioneve do të ndihmojë në përpilimin e raporteve të detajuara dhe raportet e dërguara me e-mail janë të disponueshme për t'u parë në çdo kohë të përshtatshme.
