Выбор читателей
Популярные статьи
Любой администратор рано или поздно получает инструкцию от руководства: «посчитать, кто ходит в сеть, и сколько качает». Для провайдеров она дополняется задачами «пустить кого надо, взять оплату, ограничить доступ». Что считать? Как? Где? Отрывочных сведений много, они не структурированы. Избавим начинающего админа от утомительных поисков, снабдив его общими знаниями, и полезными ссылками на матчасть.
В данной статье я постараюсь описать принципы организации сбора, учёта и контроля трафика в сети. Мы рассмотрим проблематику вопроса, и перечислим возможные способы съема информации с сетевых устройств.
Это первая теоретическая статья из цикла статей, посвящённого сбору, учёту, управлению и биллингу трафика и IT-ресурсов.
Для передачи IP-пакета по проводам (или радио) сетевые устройства вынуждены «оборачивать» (инкапсулировать) его в пакет протокола 2го уровня (L2). Самым распространенным протоколом такого типа является Ethernet . Фактическая передача «в провод» идет на 1м уровне. Обычно, устройство доступа (маршрутизатор) не занимается анализом заголовков пакетов на уровне, выше 4го (исключение – интеллектуальные межсетевые экраны).
Информация из полей адресов, портов, протоколов и счетчики длин из L3 и L4 заголовков пакетов данных и составляет тот «исходный материал», который используется при учёте и управлении трафиком. Собственно объем передаваемой информации находится в поле Length («Длина пакета») заголовка IP (включая длину самого заголовка). Кстати, из-за фрагментации пакетов вследствие механизма MTU общий объем передаваемых данных всегда больше размера полезной нагрузки.
Суммарная длина интересных нам в данном контексте IP- и TCP/UDP- полей пакета составляет 2...10% общей длины пакета. Если обрабатывать и хранить всю эту информацию попакетно, не хватит никаких ресурсов. К счастью, подавляющий объем трафика структурирован так, что состоит из набора «диалогов» между внешними и внутренними сетевыми устройствами, так называемых «потоков». Например, в рамках одной операции пересылки электронного письма (протокол SMTP) открывается TCP-сессия между клиентом и сервером. Она характеризуется постоянным набором параметров {IP-адрес источника, TCP-порт источника, IP-адрес получателя TCP-порт получателя} . Вместо того, чтобы обрабатывать и хранить информацию попакетно, гораздо удобнее хранить параметры потока (адреса и порты), а также дополнительную информацию – число и сумму длин переданных пакетов в каждую сторону, опционально длительность сессии, индексы интерфейсов маршрутизатора, значение поля ToS и прочее. Такой подход выгоден для ориентированных на соединение протоколов (TCP), где можно явно перехватить момент завершения сессии. Однако и для не ориентированных на сессии протоколов можно проводить агрегацию и логическое завершение записи о потоке по, например, таймауту. Ниже приведена выдержка из SQL-базы собственной системы биллинга , осуществляющей протоколирование информации о потоках трафика:
Необходимо отметить случай, когда устройство доступа осуществляет трансляцию адресов (NAT , маскарадинг) для организации доступа в Интернет компьютеров локальной сети, используя один, внешний, публичный IP-адрес. В этом случае специальный механизм осуществляет подмену IP-адресов и TCP/UDP портов пакетов трафика, заменяя внутренние (не маршрутизируемые в Интернете) адреса согласно своей динамической таблице трансляции. В такой конфигурации необходимо помнить, что для корректного учета данных по внутренним хостам сети съём статистики должен производиться способом и в том месте, где результат трансляции ещё не «обезличивает» внутренние адреса.
О том, как настроить такой сервер, трансляцию адресов и маршрутизацию, написано много . Нас же интересует следующий логический шаг – сведения о том, как получить информацию о проходящем через такой сервер трафике. Существует три распространенных способа:
Работа libpcap требует поддержки со стороны операционной системы, что в настоящее время сводится к установке единственной бибилиотеки. При этом прикладная (пользовательская) программа, осуществляющая сбор пакетов, должна:
При передаче пакета через выбранный интерфейс, после прохождения фильтра эта функция получает буфер, содержащий Ethernet, (VLAN), IP и т.д. заголовки, общим размером до snaplen. Поскольку библиотека libcap копирует пакеты, заблокировать их прохождение при ее помощи невозможно. В таком случае программе сбора и обработки трафика придется использовать альтернативные методы, например вызов скрипта для помещения заданного IP-адреса в правило блокировки трафика.
Поскольку IP-пакет не копируется, а пересылается в программное обеспечение для анализа, становится возможным его «выброс», а следовательно, полное или частичное ограничение трафика определенного типа (например, до выбранного абонента локальной сети). Однако в случае, если прикладная программа перестала отвечать ядру о своем решении (зависла, к примеру), трафик через сервер просто блокируется.
Необходимо отметить, что описанные механизмы при существенных объемах передаваемого трафика создают избыточную нагрузку на сервер, что связано с постоянным копированием данных из ядра в пользовательскую программу. Этого недостатка лишен метод сбора статистики на уровне ядра ОС, с выдачей в прикладную программу агрегированной статистики по протоколу NetFlow .
Объем информации о трафике меньше самого трафика на несколько порядков, что особенно актуально в больших и распределенных сетях. Конечно же, блокировать передачу информации при сборе статистики по netflow невозможно (если не использовать дополнительные механизмы).
В настоящее время становится популярным дальнейшее развитие этого протокола – версия 9, основанная на шаблонной структуре flow record, реализации для устройств других производителей (sFlow). Недавно был принят стандарт IPFIX, который позволяет передавать статистику и по протоколам более глубоких уровней (например, по типу приложения).
Реализация netflow-источников (агентов, probe) доступна для ПК-маршрутизаторов, как в виде работающих по описанных выше механизмам утилит (flowprobe, softflowd), так и непосредственно встроенных в ядро ОС (FreeBSD: , Linux: ). Для программных маршрутизаторов поток статистики netflow можно принимать и обрабатывать локально на самом маршрутизаторе, или отправлять по сети (протокол передачи – поверх UDP) на принимающее устройство (коллектор).
Программа - коллектор может собирать сведения от многих источников сразу, имея возможность различать их трафик даже при пересекающихся адресных пространствах. При помощи дополнительных средств, таких как nprobe возможно также проводить дополнительную агрегацию данных, раздвоение потоков или конвертацию протоколов, что актуально при управлении большой и распределенной сетью с десятками маршрутизаторов.
Функции экспорта netflow поддерживают маршрутизаторы Cisco Systems, Mikrotik, и некоторые другие. Аналогичный функционал (с другими протоколами экспорта) поддерживается всеми крупными производителями сетевого оборудования.
Естественно, вы можете настроить SPAN-порт и на самом устройстве доступа (маршрутизаторе), если оно это позволяет – Cisco Catalyst 6500, Cisco ASA. Вот пример такой конфигурации для коммутатора Cisco:
monitor session 1 source vlan 100 ! откуда берем пакеты
monitor session 1 destination interface Gi6/3! куда выдаем пакеты
Подведем небольшой итог. На практике существует большое количество методов присоединения управляемой вами сети (с клиентами или офисными абонентами) к внешней сетевой инфраструктуре, с использованием ряда средств доступа – программных и аппаратных маршрутизаторов, коммутаторов, VPN-серверов. Однако практически в любом случае можно придумать схему, когда информация о переданном по сети трафике может быть направлена на программное или аппаратное средство его анализа и управления. Возможно также, что это средство позволит осуществлять обратную связь с устройством доступа, применяя интеллектуальные алгоритмы ограничения доступа для отдельных клиентов, протоколов и прочего.
На этом закончу разбор матчасти. Из неразобранных тем остались:
Руководитель компании любого масштаба должен быть в курсе количества потребляемых его организацией ресурсов, сколько и куда уходит денежных средств, сколько потребляется электроэнергии, каковы расходы на телефонию и т.д. В последние 10-15 лет добавился еще один пункт расходов: на Интернет. Чтобы правильно заложить в бюджете компании расходы на интернет-трафик , необходимо достоверно знать, каково его ежемесячное потребление в компании. Поэтому учет трафика - одна из важнейших обязанностей системного администратора, на плечи которого и ложится подсчет трафика, его экономия, куда входит непрерывный контроль над тем, чтобы объем выделенного на компанию, например, недельного трафика не превышал установленного лимита.
Для экономии средств все больше организаций переходит на использование безлимитных пакетов доступа в Интернет, но важность учета трафика от этого не уменьшается. Так, например, в сети возможно периодическое падение скорости соединения с Интернетом, причин которому может быть много: от недобросовестного провайдера или работника, скачивающего в рабочее время большие файлы, до падения какого-либо из сетевых интерфейсов. А низкая скорость интернета или вовсе его отсутствие для современного бизнеса чревато понижением качества услуг сегодня и потерей партнеров и клиентов завтра.
В зависимости от политики безопасности учет трафика может быть реализован следующими способами:
1. С использованием SNMP-протокола (Simple Network Management Protocol) . Плюсом данного метода является отсутствие необходимости устанавливать дополнительное ПО на компьютеры пользователей. В данном случае программа учета трафика устанавливается только на ПК системного администратора, а на удаленных компьютерах необходимо лишь правильно настроить работу службы SNMP, что для специалиста совсем не трудно. Данный протокол позволяет учитывать трафик, во-первых, на компьютерах под ОС Windows и Linux, а во-вторых, на сетевых принтерах, на коммутаторах и других сетевых устройствах. Поэтому у системного администратора появляется возможность также контролировать работу активного сетевого оборудования компании. Зачастую, по умолчанию протокол SNMP отключен в ОС и его необходимо доустановить и настроить.
2. С помощью службы WMI (Windows Management Instrumentation) , являющейся альтернативой SNMP. Данный метод учета трафика, также как и предыдущий, не требует установки никаких дополнительных модулей на подконтрольные компьютеры. Однако, этот способ подходит только для ОС Windows.
3. Если политика безопасности компании запрещает использование служб SNMP и WMI, то системный администратор может воспользоваться учетом трафика посредством установки агентов на удаленные компьютеры, которые обычно прилагаются к программе учета трафика. Если агент реализован в виде службы, то он считывает все значения трафика незаметно для пользователя и без нагрузки на компьютер.
4. Следующий способ - учет трафика посредством протокола NetFlow , который был разработан компанией Cisco и предназначен для сбора информации об IP-трафике внутри сети. Принцип его работы заключается в накапливании в специальном буфере всей статистики о передаваемых IP-пакетах, а затем в ее обработке. Самым главным плюсом данного способа является возможность вести учет трафика в крупных компаниях со сложной и территориально распределенной сетью. Правда, нужно отметить, что данный метод учета трафика можно реализовать лишь в сетях, где есть оборудование, поддерживающего протокол NetFlow, а оно, надо признать, стоит довольно дорого.
5. Еще один метод - подсчет сетевых пакетов с помощью сниффера или анализатора трафика . Данный способ позволяет узнать IP-адрес как отправителя, так и получателя, а значит, увидеть, на что тратятся ресурсы организации. Важно знать, что в сетях с большим объемом передаваемого трафика или большой пропускной способностью данный вид учета трафика может давать некоторые погрешности.
Использование сразу несколько методов учета трафика помогает получить полное представление о работе предприятия и его сотрудников. Учет трафика отдельно по каждому протоколу, а также автоматическое отображение всей собранной информации в виде таблиц и графиков позволяет вычислить сотрудников, наиболее активно использующих интернет, а также узнать, на какие именно цели он тратится: на просмотр фотографий, скачивание файлов, обмен сообщениями или просмотр видеороликов в интернете.
Некоторые программы для учета трафика позволяют настроить их реакцию на определенные события, например, на превышение установленного лимита потребленного трафика или падение какого-либо сетевого интерфейса. Благодаря этому системный администратор быстрей реагирует на эти события и устраняет неполадки с минимальными потерями времени и сил. Но самая главная задача процесса учета трафика - это возможность всегда быть в курсе текущих расходов, на основе чего можно тщательней планировать бюджет в будущем, а также делать объективные выводы о работе сотрудников организации.
Подробней о программе учета трафика можно узнать тут http://www.10-strike.com/rus/bandwidth-monitor/
Потреблением трафика интересуются в первую очередь пользователи, которые лишены возможности подключить безлимитный интернет. Трафик контролируют специальными программами или используя возможности Windows.
Windows 8 позволяет контролировать трафик без использования дополнительных программ. Чтобы активировать счетчик трафика, найдите значок сетевого подключения на панели задач. После щелчка по значку у вас откроется окно “Сети”. Выберете активное подключение и нажмите правой кнопкой мышки. В появившемся окне в первой строчке вы увидите “Отображать сведения о предполагаемом использовании”. Активируйте этот пункт и и в дальнейшем, когда вы откроете окно “Сети”, вам будет видна статистика использованных объемов. В более ранних продуктах Windows – 7 или ХР процесс проверки трафика выполняется немного иначе. После подключения к интернету так же кликните левой кнопкой на значок подключения и выберите активную сеть. С помощью правой кнопки перейдите в “Состояние”. Здесь вы увидите объем входящего и исходящего трафика, который показывается в байтах.Контроль над потреблением трафика поможет избежать лишних расходов. Даже если вы пользуетесь безлимитным интернетом, периодически проверяйте свою сетевую активность. Резко возросшее потребление трафика говорит о том, что в системе обосновался вирус или троян.
Когда интернет-соединение оплачивается по трафику, очень полезно знать и контролировать объём полученных или переданных данных. К сожалению, не все пользователи понимают, что просмотр фильмов онлайн, или видеозвонок по скайпу будет стоить гораздо дороже простой переписки по электронной почте, и что многие программы, работая в фоновом режиме, всё-таки потребляют некоторый объём трафика. В этом случае поможет бесплатная программа для мониторинга интернет трафика на компьютере — Networx .
Установка проходит быстро, и ничего важного выбирать не нужно.
Программа Networx обладает различными инструментами, такими, как пингование, трассировка, измерение скорости, но мы рассмотрим только те инструменты, которые нужны для контроля трафика данных.
Чтобы открыть окно статистики, нужно кликнуть по значку Networx правой кнопкой мыши и выбрать пункт меню «Статистика».
Открывается окно, в котором можно увидеть трафик общий, по дням, по неделям и по месяцам. Так же можно посмотреть статистику по пользователям, или сделать выборочный отчёт.
Пункт меню «Показать трафик» открывает окно с текущим графиком. Здесь можно осуществлять мониторинг интернет трафика онлайн.
Если есть некий рубеж по трафику, после превышения которого стоимость станет намного выше, то необходимо автоматически отслеживать текущий объём. Для этого в программе Networx есть «Квота». Очень важно, что программа ведёт автоматический учёт трафика.
Этот инструмент позволяет получать уведомление после превышения какого-либо объёма трафика в процентном выражении; установить дневную, недельную, месячную и суточную квоту; контролировать отдельно входящий, исходящий или общий трафик.
Тут всё понятно – измерение скорости с возможностью записи. Данным инструментом можно отследить измерение скорости при определённых действиях, или запуске программ.
Меню «Настройки» позволяет установить или изменить все основные настройки работы программы, например: запуск при старте Windows, автоматическое обновление, единицы измерения, действия по кликам, настройку графиков и прочее.
(Visited 6 811 times, 1 visits today)
Инструкция
Как правило, данных происходит двумя путями: непосредственным подключением к удаленному компьютеру, в результате которого хакер получает возможность просматривать папки компьютера и копировать нужную ему информацию, и с использованием троянских программ. Обнаружить работу профессионально написанной троянской программы очень сложно. Но таких программ не так уж много, поэтому в большинстве случаев пользователь замечает в работе компьютера некоторые странности, свидетельствующие о его заражении. Например, попытки подключиться к сети, непонятная сетевая активность, когда вы не открываете никаких страниц, и т.д. и т.п.
Во всех подобных ситуациях необходимо проконтролировать трафик, для этого вы можете воспользоваться штатными средствами Windows. Откройте командную строку: «Пуск» - «Все программы» - «Стандартные» - «Командная строка». Ее можно открыть и так: «Пуск» - «Выполнить», потом введите команду cmd и нажмите Enter. Откроется черное окно, это и есть командная строка (консоль).
Введите в командной строке команду netstat –aon и нажмите Enter. Появится список подключений с указанием ip-адресов, с которыми соединяется ваш компьютер. В графе «Состояние» вы можете посмотреть статус соединения – например, строка ESTABLISHED говорит о том, что данное соединение активно, то есть присутствует в данный момент. В графе «Внешний адрес» указан ip-адрес удаленного компьютера. В графе «Локальный адрес» вы найдете информацию об открытых на вашем компьютере портах, через которые осуществляются соединения.
Обратите внимание на последнюю графу – PID. В ней указаны идентификаторы, присвоенные системой текущим процессам. Они очень полезны при поиске приложения, ответственного за интересующие вас соединения. Например, вы видите, что через какой-то порт у вас установлено соединение. Запомните PID-идентификатор, потом в том же окне командной строки наберите tasklist и нажмите Enter. Появится список процессов, в его второй колонке указаны идентификаторы. Найдя уже знакомый идентификатор, вы легко определите, какое приложение установило данное соединение. Если название процесса вам незнакомо, введите его в поисковик, вы тут же получите о нем всю необходимую информацию.
Для контроля трафика можно использовать и специальные программы – например, BWMeter. Утилита полезна тем, что может полностью контролировать трафик, указывая, с какими адресами соединяется ваш компьютер. Помните, что при правильной настройке он не должен лезть в сеть, когда вы не пользуетесь интернетом – даже в том случае, если браузер запущен. В ситуации, когда индикатор подключения в трее то и дело сигнализирует о сетевой активности, необходимо отыскать ответственное за подключение приложение.
Статьи по теме: | |
Очень интересный тест зигмунда фрейда Психологический тест фрейда 8 вопросов
Женщины умеют хранить тайны, если они - свои, а не чужие, но иногда... Как строить схемы предложения с причастным оборотом
Ещё М.В. Ломоносов отмечал книжный характер причастных оборотов . Они... Что значит в нумерологии?
Мистические свойства чисел были известны еще нашим предкам. Они... |