เมนู
ฟรี
การลงทะเบียน
บ้าน  /  บริการออนไลน์/ ตรวจสอบการรับส่งข้อมูลบนเครือข่ายท้องถิ่น วิธีควบคุมการจราจร

ตรวจสอบการรับส่งข้อมูลบนเครือข่ายท้องถิ่น วิธีควบคุมการจราจร

ผู้ดูแลระบบทุกคนไม่ช้าก็เร็วจะได้รับคำแนะนำจากผู้บริหาร: "คำนวณว่าใครไปที่เครือข่ายและดาวน์โหลดมากแค่ไหน" สำหรับผู้ให้บริการ จะเสริมด้วยงาน "ให้ใครก็ตามเข้ามา รับการชำระเงิน การจำกัดการเข้าถึง" จะนับอะไร? ยังไง? ที่ไหน? มีข้อมูลที่ไม่เป็นชิ้นเป็นอันจำนวนมาก ไม่มีโครงสร้าง เราจะช่วยผู้ดูแลระบบสามเณรจากการค้นหาที่น่าเบื่อโดยให้ความรู้ทั่วไปแก่เขาและ ลิงค์ที่มีประโยชน์สำหรับวัสดุ
ในบทความนี้ ฉันจะพยายามอธิบายหลักการของการรวบรวม การบัญชี และการควบคุมการรับส่งข้อมูลบนเครือข่าย เราจะพิจารณาปัญหาของปัญหาและรายการ วิธีที่เป็นไปได้การดึงข้อมูลจากอุปกรณ์เครือข่าย

นี่เป็นบทความเชิงทฤษฎีชุดแรกในชุดบทความเกี่ยวกับการรวบรวม การบัญชี การจัดการ และการเรียกเก็บเงินของทราฟฟิกและทรัพยากรไอที

โครงสร้างการเข้าถึงอินเทอร์เน็ต

โดยทั่วไป โครงสร้างการเข้าถึงเครือข่ายมีลักษณะดังนี้:
  • แหล่งข้อมูลภายนอก - อินเทอร์เน็ตที่มีไซต์ เซิร์ฟเวอร์ ที่อยู่ และสิ่งอื่น ๆ ที่ไม่ใช่ของเครือข่ายที่คุณควบคุม
  • อุปกรณ์เข้าถึงคือเราเตอร์ (ฮาร์ดแวร์หรือพีซี) สวิตช์ เซิร์ฟเวอร์ VPN หรือฮับ
  • ทรัพยากรภายใน - ชุดคอมพิวเตอร์ ซับเน็ต สมาชิก ซึ่งงานในเครือข่ายต้องนำมาพิจารณาหรือควบคุม
  • เซิร์ฟเวอร์การจัดการหรือบัญชี - อุปกรณ์ที่ผู้เชี่ยวชาญ ซอฟต์แวร์. สามารถใช้งานร่วมกับซอฟต์แวร์เราเตอร์ได้
ในโครงสร้างนี้ การรับส่งข้อมูลเครือข่ายจะไหลจากทรัพยากรภายนอกไปยังภายใน และในทางกลับกัน ผ่านอุปกรณ์เข้าถึง มันส่งข้อมูลการจราจรไปยังเซิร์ฟเวอร์การจัดการ เซิร์ฟเวอร์ควบคุมจะประมวลผลข้อมูลนี้ เก็บไว้ในฐานข้อมูล แสดงข้อมูล ออกคำสั่งล็อค อย่างไรก็ตาม ไม่สามารถรวมอุปกรณ์การเข้าถึง (วิธีการ) และวิธีการรวบรวมและการจัดการร่วมกันได้ทั้งหมด ตัวเลือกต่างๆ จะกล่าวถึงด้านล่าง

ปริมาณการใช้เครือข่าย

ก่อนอื่น คุณต้องกำหนดความหมายของ "การรับส่งข้อมูลเครือข่าย" และข้อมูลทางสถิติที่เป็นประโยชน์ใดบ้างที่สามารถดึงออกมาจากสตรีมข้อมูลผู้ใช้
IP เวอร์ชัน 4 ยังคงเป็นโปรโตคอลการเชื่อมต่ออินเทอร์เน็ตที่โดดเด่นจนถึงตอนนี้ โปรโตคอล IP สอดคล้องกับเลเยอร์ที่ 3 ของโมเดล OSI (L3) ข้อมูล (ข้อมูล) ระหว่างผู้ส่งและผู้รับถูกบรรจุเป็นแพ็กเก็ต - มีส่วนหัวและ "เพย์โหลด" ส่วนหัวกำหนดที่มาของแพ็กเก็ตและตำแหน่ง (ที่อยู่ IP ผู้ส่งและปลายทาง) ขนาดแพ็กเก็ต ประเภทเพย์โหลด ปริมาณการใช้เครือข่ายจำนวนมากประกอบด้วยแพ็กเก็ตที่มี UDP และ TCP payloads ซึ่งเป็นโปรโตคอลเลเยอร์ 4 (L4) นอกจากที่อยู่ ส่วนหัวของโปรโตคอลทั้งสองนี้ยังมีหมายเลขพอร์ตที่กำหนดประเภทของบริการ (แอปพลิเคชัน) ที่ส่งข้อมูล

ในการส่งแพ็กเก็ต IP ผ่านสาย (หรือวิทยุ) อุปกรณ์เครือข่ายจะถูกบังคับให้ "ห่อ" (ห่อหุ้ม) ลงในแพ็กเก็ตโปรโตคอล Layer 2 (L2) โปรโตคอลทั่วไปของประเภทนี้คืออีเทอร์เน็ต การโอนจริง "การโอนเงิน" อยู่ที่ระดับที่ 1 โดยปกติ อุปกรณ์การเข้าถึง (เราเตอร์) จะไม่แยกวิเคราะห์ส่วนหัวของแพ็กเก็ตที่ระดับที่สูงกว่า 4 (ข้อยกเว้นคือไฟร์วอลล์อัจฉริยะ)
ข้อมูลจากช่องที่อยู่ พอร์ต โปรโตคอล และตัวนับความยาวจากส่วนหัว L3 และ L4 ของแพ็กเก็ตข้อมูลและประกอบขึ้นเป็น " วัตถุดิบ” ซึ่งใช้สำหรับการบัญชีและการจัดการจราจร จำนวนข้อมูลจริงที่จะโอนอยู่ในฟิลด์ ความยาว ของส่วนหัว IP (รวมถึงความยาวของส่วนหัวด้วย) อย่างไรก็ตาม เนื่องจากแพ็กเก็ตกระจายตัวเนื่องจากกลไก MTU จำนวนข้อมูลที่ส่งมากกว่าขนาดเพย์โหลดเสมอ

ความยาวรวมของฟิลด์ IP และ TCP/UDP ของแพ็กเก็ตที่เราสนใจในบริบทนี้คือ 2...10% ของความยาวแพ็กเก็ตทั้งหมด หากคุณประมวลผลและจัดเก็บข้อมูลทั้งหมดนี้ทีละชุด ทรัพยากรจะมีไม่เพียงพอ โชคดีที่การรับส่งข้อมูลส่วนใหญ่มีโครงสร้างในลักษณะที่ประกอบด้วยชุดของ "บทสนทนา" ระหว่างอุปกรณ์เครือข่ายภายนอกและภายใน ซึ่งเรียกว่า "โฟลว์" ตัวอย่างเช่น ภายในการดำเนินการส่งต่ออีเมลเดียว (โปรโตคอล SMTP) เซสชัน TCP จะเปิดขึ้นระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ มีลักษณะเฉพาะด้วยชุดพารามิเตอร์คงที่ (ที่อยู่ IP ต้นทาง พอร์ต TCP ต้นทาง ที่อยู่ IP ปลายทาง พอร์ต TCP ปลายทาง). แทนที่จะประมวลผลและจัดเก็บข้อมูลต่อแพ็กเก็ต จะสะดวกกว่ามากในการจัดเก็บพารามิเตอร์โฟลว์ (ที่อยู่และพอร์ต) รวมทั้ง ข้อมูลเพิ่มเติม– จำนวนและผลรวมของความยาวของแพ็กเก็ตที่ส่งในแต่ละทิศทาง ระยะเวลาเซสชันทางเลือก ดัชนีอินเทอร์เฟซของเราเตอร์ ค่าฟิลด์ ToS เป็นต้น วิธีนี้มีประโยชน์สำหรับโปรโตคอลที่เน้นการเชื่อมต่อ (TCP) ซึ่งเป็นไปได้ที่จะสกัดกั้นช่วงเวลาที่เซสชันสิ้นสุดลงอย่างชัดเจน อย่างไรก็ตาม แม้กระทั่งสำหรับโปรโตคอลที่ไม่ใช่เซสชัน ก็สามารถรวมและทำให้เร็กคอร์ดสตรีมสมบูรณ์ตามตรรกะได้ ตัวอย่างเช่น การหมดเวลา ด้านล่างนี้เป็นข้อความที่ตัดตอนมาจากฐานข้อมูล SQL ของระบบการเรียกเก็บเงินของเราซึ่งบันทึกข้อมูลเกี่ยวกับกระแสการรับส่งข้อมูล:

จำเป็นต้องสังเกตกรณีที่อุปกรณ์เข้าถึงทำการแปลที่อยู่ (NAT, การปลอมแปลง) เพื่อจัดระเบียบการเข้าถึงอินเทอร์เน็ตของคอมพิวเตอร์ เครือข่ายท้องถิ่นโดยใช้ที่อยู่ IP สาธารณะภายนอกเดียว ในกรณีนี้ กลไกพิเศษจะทำการแทนที่ที่อยู่ IP และพอร์ต TCP / UDP ของแพ็กเก็ตการรับส่งข้อมูล โดยจะแทนที่ที่อยู่ภายใน (ไม่สามารถกำหนดเส้นทางได้บนอินเทอร์เน็ต) ตามตารางการแปลแบบไดนามิก ในการกำหนดค่านี้ ต้องจำไว้ว่าเพื่อให้บันทึกข้อมูลบนโฮสต์เครือข่ายภายในได้อย่างถูกต้อง สถิติจะต้องถูกรวบรวมในลักษณะและในสถานที่ที่ผลการแปลยังไม่ได้ "ปกปิด" ที่อยู่ภายใน

วิธีการรวบรวมข้อมูลเกี่ยวกับการจราจร / สถิติ

คุณสามารถจับภาพและประมวลผลข้อมูลเกี่ยวกับการส่งทราฟฟิกได้โดยตรงบนอุปกรณ์เข้าถึง (เราเตอร์ PC, เซิร์ฟเวอร์ VPN) โดยโอนจากอุปกรณ์นี้ไปยังเซิร์ฟเวอร์แยกต่างหาก (NetFlow, SNMP) หรือ "จากสาย" (แตะ SPAN) มาวิเคราะห์ตัวเลือกทั้งหมดตามลำดับ
เราเตอร์พีซี
พิจารณากรณีที่ง่ายที่สุด - อุปกรณ์เข้าถึง (เราเตอร์) ที่ใช้พีซีที่มีระบบปฏิบัติการ Linux

วิธีการตั้งค่าเซิร์ฟเวอร์ดังกล่าว การแปลที่อยู่และการกำหนดเส้นทาง มีเขียนไว้มากมาย. เราสนใจในขั้นตอนต่อไป - ข้อมูลเกี่ยวกับวิธีการรับข้อมูลเกี่ยวกับการรับส่งข้อมูลที่ผ่านเซิร์ฟเวอร์ดังกล่าว มีสามวิธีทั่วไป:

  • การสกัดกั้น (การคัดลอก) ของแพ็กเก็ตที่ส่งผ่านการ์ดเครือข่ายเซิร์ฟเวอร์โดยใช้ไลบรารี libpcap
  • การสกัดกั้นของแพ็กเก็ตที่ส่งผ่านไฟร์วอลล์ในตัว
  • การใช้เครื่องมือของบุคคลที่สามในการแปลงสถิติต่อแพ็คเก็ต (ได้มาจากหนึ่งในสองวิธีก่อนหน้านี้) เป็นสตรีมของข้อมูลรวมของเน็ตโฟลว์
libpcap


ในกรณีแรก สำเนาของแพ็กเก็ตที่ส่งผ่านอินเทอร์เฟซ หลังจากผ่านตัวกรอง (man pcap-filter) สามารถขอได้โดยโปรแกรมไคลเอนต์บนเซิร์ฟเวอร์ที่เขียนโดยใช้ไลบรารีนี้ แพ็กเก็ตมาพร้อมกับส่วนหัวของเลเยอร์ 2 (อีเธอร์เน็ต) เป็นไปได้ที่จะจำกัดความยาวของข้อมูลที่จับได้ (หากเราสนใจเฉพาะข้อมูลจากส่วนหัวเท่านั้น) ตัวอย่างของโปรแกรมดังกล่าว ได้แก่ tcpdump และ Wireshark มีการใช้งาน libpcap ของ Windows ในกรณีของการใช้การแปลที่อยู่ในเราเตอร์ PC การสกัดกั้นสามารถทำได้บนอินเทอร์เฟซภายในที่เชื่อมต่อกับผู้ใช้ในพื้นที่เท่านั้น บนอินเทอร์เฟซภายนอก หลังจากการแปล แพ็กเก็ต IP ไม่มีข้อมูลเกี่ยวกับโฮสต์ภายในของเครือข่าย อย่างไรก็ตาม ด้วยวิธีนี้ เป็นไปไม่ได้ที่จะคำนึงถึงการรับส่งข้อมูลที่สร้างโดยเซิร์ฟเวอร์เองบนอินเทอร์เน็ต (ซึ่งเป็นสิ่งสำคัญหากบริการเว็บหรือเมลทำงานอยู่)

การทำงานของ libpcap ต้องการการสนับสนุนจากระบบปฏิบัติการ ซึ่งปัจจุบันเป็นการติดตั้งไลบรารีเดียว ในกรณีนี้ แอปพลิเคชัน (ผู้ใช้) โปรแกรมที่รวบรวมแพ็คเกจจะต้อง:

  • เปิดอินเทอร์เฟซที่จำเป็น
  • ระบุตัวกรองที่จะส่งผ่านแพ็กเก็ตที่ได้รับ ขนาดของชิ้นส่วนที่จับได้ (สแนปเลน) ขนาดของบัฟเฟอร์
  • ตั้งค่าพารามิเตอร์ promisc ซึ่งทำให้อินเทอร์เฟซเครือข่ายเข้าสู่โหมดจับภาพสำหรับแพ็กเก็ตทั้งหมดที่ส่งผ่านโดยทั่วไป ไม่ใช่แค่แพ็กเก็ตที่ส่งไปยังที่อยู่ MAC ของอินเทอร์เฟซนี้
  • ตั้งค่าฟังก์ชัน (เรียกกลับ) ที่จะเรียกในแต่ละแพ็กเก็ตที่ได้รับ

เมื่อส่งแพ็กเก็ตผ่านอินเทอร์เฟซที่เลือก หลังจากผ่านตัวกรอง ฟังก์ชันนี้จะได้รับบัฟเฟอร์ที่มีอีเทอร์เน็ต (VLAN) IP ฯลฯ ส่วนหัวขนาดรวมได้ถึง snaplen เนื่องจากไลบรารี libcap คัดลอกแพ็คเกจ จึงเป็นไปไม่ได้ที่จะบล็อกข้อความของพวกเขา ในกรณีนี้ โปรแกรมรวบรวมและประมวลผลการรับส่งข้อมูลจะต้องใช้วิธีอื่น เช่น การเรียกสคริปต์เพื่อวางที่อยู่ IP ที่ระบุในกฎการบล็อกการรับส่งข้อมูล

ไฟร์วอลล์


การจับข้อมูลที่ส่งผ่านไฟร์วอลล์ทำให้คุณสามารถพิจารณาทั้งการรับส่งข้อมูลของเซิร์ฟเวอร์เองและการรับส่งข้อมูลของผู้ใช้เครือข่าย แม้ว่าการแปลที่อยู่จะทำงานอยู่ก็ตาม สิ่งสำคัญในกรณีนี้คือการกำหนดกฎการจับภาพให้ถูกต้องและวางไว้ในตำแหน่งที่ถูกต้อง กฎนี้เปิดใช้งานการส่งแพ็กเก็ตไปยังไลบรารีระบบ จากตำแหน่งที่แอปพลิเคชันการบัญชีและการจัดการการรับส่งข้อมูลสามารถรับได้ สำหรับระบบปฏิบัติการ Linux iptables ถูกใช้เป็นไฟร์วอลล์ และเครื่องมือสกัดกั้นคือ ipq, netfliter_queue หรือ ulog สำหรับ OC FreeBSD - ipfw พร้อมกฎเช่น tee หรือ divert ไม่ว่าในกรณีใดกลไกไฟร์วอลล์จะเสริมด้วยความสามารถในการทำงานกับโปรแกรมผู้ใช้ด้วยวิธีต่อไปนี้:
  • โปรแกรมผู้ใช้ - ตัวจัดการการรับส่งข้อมูลลงทะเบียนตัวเองในระบบโดยใช้การเรียกระบบหรือไลบรารี
  • โปรแกรมผู้ใช้หรือสคริปต์ภายนอกตั้งค่ากฎในไฟร์วอลล์ "ตัด" การรับส่งข้อมูลที่เลือก (ตามกฎ) ภายในตัวจัดการ
  • สำหรับแต่ละแพ็กเก็ตที่ส่งผ่าน ตัวจัดการจะได้รับเนื้อหาในรูปแบบของบัฟเฟอร์หน่วยความจำ (พร้อมส่วนหัว IP ฯลฯ หลังจากประมวลผล (การบัญชี) โปรแกรมจะต้องบอกเคอร์เนลระบบปฏิบัติการด้วยว่าจะทำอย่างไรต่อไปกับแพ็กเก็ตดังกล่าว - ทิ้งหรือ ส่งต่อ อีกวิธีหนึ่งคือสามารถส่งแพ็กเก็ตที่แก้ไขไปยังเคอร์เนลได้

เนื่องจากแพ็กเก็ต IP ไม่ได้ถูกคัดลอก แต่ส่งไปยังซอฟต์แวร์การวิเคราะห์ จึงเป็นไปได้ที่จะ "ดีด" แพ็กเก็ตดังกล่าว ดังนั้นจึงจำกัดการรับส่งข้อมูลบางประเภททั้งหมดหรือบางส่วน (เช่น ไปยังสมาชิกเครือข่ายท้องถิ่นที่เลือก) อย่างไรก็ตาม หากแอปพลิเคชันหยุดตอบสนองต่อการตัดสินใจของเคอร์เนล (เช่น แฮงค์) การรับส่งข้อมูลผ่านเซิร์ฟเวอร์จะถูกบล็อก
ควรสังเกตว่ากลไกที่อธิบายไว้ซึ่งมีปริมาณการรับส่งข้อมูลจำนวนมากสร้างภาระที่มากเกินไปบนเซิร์ฟเวอร์ซึ่งเกี่ยวข้องกับการคัดลอกข้อมูลจากเคอร์เนลไปยังโปรแกรมผู้ใช้อย่างต่อเนื่อง วิธีการรวบรวมสถิติที่ระดับเคอร์เนลของ OS นั้นไม่มีข้อบกพร่องนี้ ด้วยการออกสถิติแบบรวมไปยังโปรแกรมแอปพลิเคชันโดยใช้โปรโตคอล NetFlow

เน็ตโฟลว์
โปรโตคอลนี้ได้รับการพัฒนาโดย Cisco Systems เพื่อส่งออกข้อมูลการรับส่งข้อมูลจากเราเตอร์เพื่อวัตถุประสงค์ในการบัญชีและการวิเคราะห์การรับส่งข้อมูล เวอร์ชัน 5 ที่ได้รับความนิยมสูงสุดในขณะนี้ให้สตรีมข้อมูลที่มีโครงสร้างแก่ผู้รับในรูปแบบของแพ็กเก็ต UDP ที่มีข้อมูลเกี่ยวกับการรับส่งข้อมูลที่ผ่านมาในรูปแบบของบันทึกโฟลว์ที่เรียกว่า:

ปริมาณข้อมูลเกี่ยวกับการรับส่งข้อมูลมีขนาดเล็กกว่าปริมาณการรับส่งข้อมูลหลายขนาด ซึ่งมีความสำคัญอย่างยิ่งในเครือข่ายขนาดใหญ่และแบบกระจาย แน่นอน เป็นไปไม่ได้ที่จะบล็อกการถ่ายโอนข้อมูลเมื่อรวบรวมสถิติใน netflow (หากคุณไม่ได้ใช้กลไกเพิ่มเติม)
ในปัจจุบัน การพัฒนาเพิ่มเติมของโปรโตคอลนี้กำลังเป็นที่นิยม - เวอร์ชัน 9 ตามโครงสร้างเทมเพลตเรคคอร์ดโฟลว์ การใช้งานสำหรับอุปกรณ์จากผู้ผลิตรายอื่น (sFlow) เมื่อเร็วๆ นี้ มาตรฐาน IPFIX ได้ถูกนำมาใช้ ซึ่งช่วยให้สามารถส่งสถิติผ่านโปรโตคอลในระดับที่ลึกกว่า (เช่น ตามประเภทแอปพลิเคชัน)
การนำต้นทางของ netflow (เอเจนต์, โพรบ) ไปใช้นั้นมีให้สำหรับเราเตอร์พีซี ทั้งในรูปแบบของยูทิลิตี้ที่ทำงานตามกลไกที่อธิบายไว้ข้างต้น (flowprobe, softflowd) และสร้างขึ้นโดยตรงในเคอร์เนล OS (FreeBSD: , Linux: ) สำหรับซอฟต์แวร์เราเตอร์ สามารถรับและประมวลผลสถิติสตรีมเน็ตโฟลว์ได้ภายในเราเตอร์เอง หรือส่งผ่านเครือข่าย (โปรโตคอลการส่ง - ผ่าน UDP) ไปยังอุปกรณ์รับ (ตัวรวบรวม)


โปรแกรมตัวรวบรวมสามารถรวบรวมข้อมูลจากแหล่งต่าง ๆ ได้ในคราวเดียว โดยสามารถแยกแยะระหว่างการรับส่งข้อมูลของพวกเขาได้ แม้จะมีช่องว่างที่อยู่ที่ทับซ้อนกัน ด้วยความช่วยเหลือ เงินทุนเพิ่มเติมเช่น nprobe ยังสามารถดำเนินการรวมข้อมูลเพิ่มเติม แยกสตรีมหรือแปลงโปรโตคอลได้ ซึ่งเป็นสิ่งสำคัญเมื่อต้องจัดการข้อมูลขนาดใหญ่และ เครือข่ายแบบกระจายกับเราเตอร์หลายสิบตัว

ฟังก์ชันการส่งออก netflow รองรับเราเตอร์จาก Cisco Systems, Mikrotik และอื่นๆ ฟังก์ชันการทำงานที่คล้ายคลึงกัน (กับโปรโตคอลการส่งออกอื่นๆ) ได้รับการสนับสนุนโดยผู้ผลิตอุปกรณ์เครือข่ายรายใหญ่ทั้งหมด

libpcap "ภายนอก"
มาทำให้งานซับซ้อนขึ้นเล็กน้อย จะเกิดอะไรขึ้นหากอุปกรณ์การเข้าถึงของคุณเป็นเราเตอร์ฮาร์ดแวร์ของบริษัทอื่น ตัวอย่างเช่น D-Link, ASUS, Trendnet เป็นต้น เป็นไปได้มากว่าเป็นไปไม่ได้ที่จะเพิ่ม เครื่องมือซอฟต์แวร์การจับข้อมูล. อีกทางหนึ่ง คุณมีอุปกรณ์การเข้าถึงอัจฉริยะ แต่ไม่สามารถกำหนดค่าได้ (ไม่มีสิทธิ์หรือถูกควบคุมโดยผู้ให้บริการของคุณ) ในกรณีนี้ เป็นไปได้ที่จะรวบรวมข้อมูลเกี่ยวกับการรับส่งข้อมูลโดยตรงที่จุดเชื่อมต่อของอุปกรณ์การเข้าถึงที่มีเครือข่ายภายใน โดยใช้วิธีการ "ฮาร์ดแวร์" ในการคัดลอกแพ็กเก็ต ในกรณีนี้ คุณจะต้องมีเซิร์ฟเวอร์แยกต่างหากพร้อมการ์ดเครือข่ายเฉพาะเพื่อรับสำเนาของแพ็กเก็ตอีเทอร์เน็ต
เซิร์ฟเวอร์ต้องใช้กลไกการรวบรวมแพ็กเก็ตตามวิธี libpcap ที่อธิบายข้างต้น และงานของเราคือการส่งสตรีมข้อมูลที่เหมือนกันกับเอาต์พุตจากเซิร์ฟเวอร์การเข้าถึงไปยังอินพุตของการ์ดเครือข่ายที่จัดสรรไว้สำหรับสิ่งนี้ คุณสามารถใช้:
  • ฮับอีเทอร์เน็ต: อุปกรณ์ที่ส่งต่อแพ็กเก็ตระหว่างพอร์ตทั้งหมดโดยไม่เลือกปฏิบัติ ในความเป็นจริงสมัยใหม่สามารถพบได้ที่ไหนสักแห่งในโกดังที่เต็มไปด้วยฝุ่นและไม่แนะนำวิธีนี้: ไม่น่าเชื่อถือ ความเร็วต่ำ(ไม่มีฮับที่ความเร็ว 1 Gbps)
  • อีเธอร์เน็ต - สวิตช์ที่มีความสามารถในการมิเรอร์ (มิเรอร์ พอร์ต SPAN สวิตช์อัจฉริยะที่ทันสมัย ​​(และมีราคาแพง) ช่วยให้คุณคัดลอกการรับส่งข้อมูลทั้งหมด (ขาเข้า ขาออก ทั้งสองอย่าง) ไปยังพอร์ตที่ระบุของอินเทอร์เฟซทางกายภาพอื่น VLAN รวมถึงระยะไกล (RSPAN) )
  • ตัวแยกสัญญาณฮาร์ดแวร์ ซึ่งอาจต้องมีการติดตั้งเพื่อรวบรวมการ์ดเครือข่ายสองใบแทนที่จะเป็นหนึ่งการ์ด และนี่คือส่วนเพิ่มเติมจากระบบหลักที่หนึ่ง


โดยปกติคุณสามารถกำหนดค่าพอร์ต SPAN บนอุปกรณ์เข้าถึงได้ (เราเตอร์) หากอนุญาต - Cisco Catalyst 6500, Cisco ASA ต่อไปนี้คือตัวอย่างการกำหนดค่าดังกล่าวสำหรับสวิตช์ของ Cisco:
ตรวจสอบเซสชัน 1 แหล่งที่มา vlan 100 ! เราจะได้แพ็คเกจจากที่ไหน
มอนิเตอร์เซสชัน 1 อินเทอร์เฟซปลายทาง Gi6/3! เราจัดส่งพัสดุภัณฑ์ที่ไหน?

SNMP
จะเป็นอย่างไรถ้าไม่มีเราเตอร์อยู่ภายใต้การควบคุมของเรา ไม่มีความปรารถนาที่จะติดต่อ netflow เราไม่สนใจรายละเอียดของการรับส่งข้อมูลของผู้ใช้ของเรา พวกมันเชื่อมต่อกับเครือข่ายอย่างง่ายดายผ่านสวิตช์ที่มีการจัดการ และเราเพียงแค่ต้องประมาณปริมาณการรับส่งข้อมูลโดยประมาณที่แต่ละพอร์ตของมัน ดังที่คุณทราบ อุปกรณ์เครือข่ายที่มีความสามารถ รีโมทรองรับและสามารถแสดงตัวนับแพ็คเก็ต (ไบต์) ที่ส่งผ่านอินเทอร์เฟซเครือข่าย หากต้องการสำรวจความคิดเห็น การใช้โปรโตคอลการจัดการระยะไกล SNMP ที่ได้มาตรฐานถือเป็นเรื่องที่ถูกต้อง เมื่อใช้มัน คุณสามารถรับไม่เพียงแต่ค่าของตัวนับที่ระบุเท่านั้น แต่ยังรวมถึงพารามิเตอร์อื่น ๆ เช่นชื่อและคำอธิบายของอินเทอร์เฟซ ที่อยู่ MAC ที่มองเห็นได้ผ่านมันและอื่น ๆ ข้อมูลที่เป็นประโยชน์. สิ่งนี้ทำได้ทั้งโดยยูทิลิตี้บรรทัดคำสั่ง (snmpwalk) เบราว์เซอร์ SNMP แบบกราฟิก และโปรแกรมตรวจสอบเครือข่ายที่ซับซ้อนยิ่งขึ้น (rrdtools , cacti , zabbix , whats up gold ฯลฯ ) อย่างไรก็ตาม วิธีการนี้มีข้อเสียที่สำคัญสองประการ:
  • การบล็อกการรับส่งข้อมูลสามารถทำได้โดยปิดการใช้งานอินเทอร์เฟซอย่างสมบูรณ์โดยใช้SNMP .เดียวกัน
  • ตัวนับการรับส่งข้อมูลที่ถ่ายผ่าน SNMP หมายถึงผลรวมของความยาวของแพ็กเก็ตอีเทอร์เน็ต (โดยมี unicast, Broadcast และ multicast แยกจากกัน) ในขณะที่เครื่องมือที่เหลือที่อธิบายไว้ก่อนหน้านี้ให้ค่าที่สัมพันธ์กับแพ็กเก็ต IP สิ่งนี้สร้างความคลาดเคลื่อนที่เห็นได้ชัดเจน (โดยเฉพาะในแพ็กเก็ตแบบสั้น) เนื่องจากโอเวอร์เฮดที่เกิดจากความยาวของส่วนหัวของอีเทอร์เน็ต (อย่างไรก็ตาม สามารถจัดการกับสิ่งนี้ได้โดยประมาณ: L3_bytes = L2_bytes - L2_packets*38)
VPN
แยกจากกัน ควรพิจารณากรณีของการเข้าถึงเครือข่ายของผู้ใช้โดยการสร้างการเชื่อมต่อกับเซิร์ฟเวอร์การเข้าถึงอย่างชัดเจน ตัวอย่างคลาสสิกคือ dial-up แบบเก่าที่ดีซึ่งมีอะนาล็อกใน โลกสมัยใหม่เป็นบริการการเข้าถึงระยะไกล VPN (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


อุปกรณ์เข้าถึงไม่เพียงกำหนดเส้นทางการรับส่งข้อมูล IP ของผู้ใช้ แต่ยังทำหน้าที่เป็นเซิร์ฟเวอร์ VPN เฉพาะและยุติอุโมงค์ลอจิคัล (มักจะเข้ารหัส) ซึ่งทราฟฟิกผู้ใช้จะถูกส่งไป
เพื่อพิจารณาการรับส่งข้อมูลดังกล่าว คุณสามารถใช้ทั้งเครื่องมือทั้งหมดที่อธิบายไว้ข้างต้น (และเหมาะสำหรับการวิเคราะห์เชิงลึกโดยพอร์ต/โปรโตคอล) รวมถึงกลไกเพิ่มเติมที่มีเครื่องมือควบคุมการเข้าถึง VPN ก่อนอื่น เราจะพูดถึงโปรโตคอล RADIUS งานของเขาค่อนข้างซับซ้อน เราจะพูดถึงสั้น ๆ ว่าการควบคุม (การอนุญาต) ของการเข้าถึงเซิร์ฟเวอร์ VPN (ไคลเอนต์ RADIUS) ถูกควบคุมโดยแอปพลิเคชันพิเศษ (เซิร์ฟเวอร์ RADIUS) ซึ่งมีฐานข้อมูล (ไฟล์ข้อความ, SQL, Active Directory) ของผู้ใช้ที่ถูกต้องพร้อมแอตทริบิวต์ ( การจำกัดความเร็วการเชื่อมต่อ ที่อยู่ IP ที่กำหนด) นอกเหนือจากกระบวนการอนุญาตแล้ว ไคลเอนต์จะส่งข้อความทางบัญชีไปยังเซิร์ฟเวอร์เป็นระยะ ข้อมูลเกี่ยวกับสถานะของแต่ละเซสชัน VPN ที่รันอยู่ในปัจจุบัน รวมถึงตัวนับจำนวนไบต์และแพ็คเก็ตที่ส่ง

บทสรุป

มาสรุปวิธีการทั้งหมดในการรวบรวมข้อมูลการจราจรที่อธิบายไว้ข้างต้นด้วยกัน:

มาสรุปกันสักหน่อย ในทางปฏิบัติ มีวิธีการมากมายในการเชื่อมต่อเครือข่ายที่คุณจัดการ (กับลูกค้าหรือสมาชิกในสำนักงาน) กับโครงสร้างพื้นฐานเครือข่ายภายนอกโดยใช้เครื่องมือการเข้าถึงต่างๆ - เราเตอร์ซอฟต์แวร์และฮาร์ดแวร์ สวิตช์ เซิร์ฟเวอร์ VPN อย่างไรก็ตาม ในเกือบทุกกรณี คุณสามารถสร้างโครงร่างเมื่อข้อมูลเกี่ยวกับการรับส่งข้อมูลที่ส่งผ่านเครือข่ายไปยังซอฟต์แวร์หรือเครื่องมือฮาร์ดแวร์สำหรับการวิเคราะห์และการควบคุมได้ นอกจากนี้ยังเป็นไปได้ที่เครื่องมือนี้จะอนุญาตให้มีการตอบกลับไปยังอุปกรณ์การเข้าถึง การใช้อัลกอริธึมการจำกัดการเข้าถึงอัจฉริยะสำหรับไคลเอนต์แต่ละราย โปรโตคอล และอื่นๆ
สรุปการวิเคราะห์วัสดุ จากหัวข้อที่ยังไม่ได้แก้ไขยังคงอยู่:

  • ข้อมูลการจราจรที่เก็บรวบรวมจะไปที่ใดและอย่างไร
  • โปรแกรมบัญชีจราจร
  • อะไรคือความแตกต่างระหว่างการเรียกเก็บเงินกับ "เคาน์เตอร์" ธรรมดา
  • วิธีจำกัดการจราจร
  • การบันทึกและจำกัดการเข้าเยี่ยมชมเว็บไซต์

คำแนะนำ

ตามกฎแล้ว ข้อมูลจะได้รับในสองวิธี: โดยการเชื่อมต่อโดยตรงกับคอมพิวเตอร์ระยะไกล ซึ่งแฮ็กเกอร์สามารถเรียกดูโฟลเดอร์ของคอมพิวเตอร์และคัดลอกข้อมูลที่ต้องการได้โดยใช้โทรจัน การค้นหางานของโทรจันที่เขียนอย่างมืออาชีพนั้นยากมาก แต่มีโปรแกรมดังกล่าวไม่มากนัก ดังนั้นในกรณีส่วนใหญ่ผู้ใช้สังเกตเห็นสิ่งแปลก ๆ ในการทำงานของคอมพิวเตอร์ซึ่งบ่งชี้ว่าติดไวรัส ตัวอย่างเช่น พยายามเชื่อมต่อกับเครือข่าย กิจกรรมเครือข่ายแปลก ๆ เมื่อคุณไม่เปิดหน้าใด ๆ เป็นต้น เป็นต้น

ในทุกสถานการณ์ดังกล่าว มีความจำเป็นต้องควบคุมการจราจร สำหรับสิ่งนี้ คุณสามารถใช้ the เครื่องมือ Windows. เปิดพรอมต์คำสั่ง: "Start" - "All Programs" - "Accessories" - "Command Prompt" คุณยังสามารถเปิดได้ดังนี้: "Start" - "Run" จากนั้นพิมพ์ cmd แล้วกด Enter หน้าต่างสีดำจะเปิดขึ้น นี่คือบรรทัดคำสั่ง (คอนโซล)

พิมพ์ netstat –aon ที่พรอมต์คำสั่งแล้วกด Enter รายการการเชื่อมต่อจะปรากฏขึ้นโดยแสดงที่อยู่ IP ที่คอมพิวเตอร์ของคุณเชื่อมต่อ ในคอลัมน์ "สถานะ" คุณสามารถดูสถานะการเชื่อมต่อได้ ตัวอย่างเช่น บรรทัด ESTABLISHED ระบุว่าการเชื่อมต่อนี้มีการใช้งานอยู่ กล่าวคือ มีอยู่ใน ช่วงเวลานี้. คอลัมน์ "ที่อยู่ภายนอก" มีที่อยู่ IP ของคอมพิวเตอร์ระยะไกล ในคอลัมน์ "Local address" คุณจะพบข้อมูลเกี่ยวกับพอร์ตที่เปิดบนคอมพิวเตอร์ของคุณที่ทำการเชื่อมต่อ

ให้ความสนใจกับคอลัมน์สุดท้าย - PID ประกอบด้วยตัวระบุที่กำหนดโดยระบบ กระบวนการปัจจุบัน. มีประโยชน์มากในการค้นหาแอปพลิเคชันที่รับผิดชอบสำหรับการเชื่อมต่อที่คุณสนใจ ตัวอย่างเช่น คุณเห็นว่าคุณมีการเชื่อมต่อผ่านพอร์ตบางพอร์ต จำ PID จากนั้นในหน้าต่างบรรทัดคำสั่งเดียวกัน ให้พิมพ์ tasklist แล้วกด Enter รายการกระบวนการจะปรากฏขึ้น ในคอลัมน์ที่สอง ตัวระบุจะถูกระบุ ด้วยการค้นหาตัวระบุที่คุ้นเคย คุณสามารถระบุได้อย่างง่ายดายว่าแอปพลิเคชันใดสร้างการเชื่อมต่อนี้ หากชื่อของกระบวนการไม่คุ้นเคยกับคุณ ให้ป้อนลงในเครื่องมือค้นหา คุณจะได้รับข้อมูลที่จำเป็นทั้งหมดเกี่ยวกับมันทันที

ในการควบคุมการรับส่งข้อมูล คุณสามารถใช้โปรแกรมพิเศษ เช่น BWMeter ยูทิลิตีนี้มีประโยชน์เนื่องจากสามารถควบคุมการรับส่งข้อมูลได้อย่างสมบูรณ์ ซึ่งบ่งชี้ว่าคอมพิวเตอร์ของคุณเชื่อมต่อกับที่อยู่ที่อยู่ที่ใด จำไว้ว่าเมื่อ การตั้งค่าที่ถูกต้องไม่ควรออนไลน์เมื่อคุณไม่ได้ใช้งานอินเทอร์เน็ต แม้ว่าเบราว์เซอร์จะทำงานอยู่ก็ตาม ในสถานการณ์ที่ตัวบ่งชี้การเชื่อมต่อในถาดในขณะนี้แล้วส่งสัญญาณกิจกรรมเครือข่าย คุณต้องค้นหาแอปพลิเคชันที่รับผิดชอบในการเชื่อมต่อ

มีโปรแกรมมากมายสำหรับการรับส่งข้อมูลทางบัญชีในเครือข่ายท้องถิ่น: ทั้งแบบชำระเงินและแบบฟรีซึ่งมีฟังก์ชันการทำงานต่างกันมาก หนึ่งในโปรแกรมโอเพ่นซอร์สที่ได้รับความนิยมมากที่สุดคือ SAMS มันทำงานบนแพลตฟอร์ม Linux ร่วมกับ Squid

SAMS ต้องการ PHP5 เราจะใช้ Ubuntu Server 14.04 เราต้องการแพ็คเกจ Squid, Apache2, PHP5 พร้อมโมดูล

การบัญชีปริมาณการใช้อินเทอร์เน็ตในเครือข่ายท้องถิ่นของลินุกซ์

ลองคิดดูว่ามันทำงานอย่างไร

Squid แจกจ่ายอินเทอร์เน็ตโดยรับคำขอที่พอร์ต 3128 ในขณะเดียวกันก็เขียน access.log โดยละเอียด การจัดการทั้งหมดทำได้ผ่านไฟล์ squid.conf Squid มีความสามารถในการควบคุมการเข้าถึงอินเทอร์เน็ตได้หลากหลาย: การควบคุมการเข้าถึงตามที่อยู่ การควบคุมแบนด์วิดท์สำหรับที่อยู่เฉพาะ กลุ่มของที่อยู่และเครือข่าย

SAMS ทำงานโดยอิงจากการวิเคราะห์บันทึกจากพร็อกซีเซิร์ฟเวอร์ Squid ระบบบัญชีทราฟฟิกในเครือข่ายท้องถิ่นตรวจสอบสถิติของพร็อกซีเซิร์ฟเวอร์และตัดสินใจบล็อก ปลดบล็อกหรือจำกัดความเร็วสำหรับไคลเอ็นต์ Squid ตามนโยบายที่กำหนด

การติดตั้ง SAMS

การติดตั้งแพ็คเกจ

apt-get ติดตั้ง apache2 php5 php5-mysql mysql-server php5-gd squid3

ดาวน์โหลดและติดตั้ง SAMS

wget https://github.com/inhab-magnus/sams2-deb/archive/master.zip

เปิดเครื่องรูด master.zip

cd sams2-deb-master/

dpkg -i sams2_2.0.0-1.1_amd64.deb

การติดตั้งเว็บอินเตอร์เฟส

dpkg -i apache2/sams2-web_2.0.0-1.1_all.deb

เราทำการเปลี่ยนแปลงไฟล์ /etc/sams2.conf

DB_PASSWORD=/รหัสผ่าน MySql/

เปิดตัว SAMS

เริ่มบริการ sams2

การตั้งค่าปลาหมึก

การเปลี่ยนแปลงไฟล์ /etc/squid3/squid.conf

http_port 192.168.0.110:3128
cache_dir ufs /var/spool/squid3 2048 16 256

เราเปิดใช้งานการบันทึกและหมุนเวียนบันทึกด้วยการจัดเก็บเป็นเวลา 31 วัน

access_log daemon:/var/log/squid3/access.log squid

logfile_rotate 31

หยุด Squid สร้างแคช

บริการปลาหมึก3หยุด

บริการ squid3 start

เพื่อความบริสุทธิ์ของการทดลอง เรากำหนดค่าเบราว์เซอร์ตัวใดตัวหนึ่งให้ทำงานกับพร็อกซี 192.168.0.110 ผ่านพอร์ต 3128 เมื่อพยายามเชื่อมต่อ เราพบว่าการเชื่อมต่อล้มเหลว - Squid ไม่มีสิทธิ์เข้าถึงพร็อกซีที่กำหนดค่าไว้

การตั้งค่าเริ่มต้นของ SAMS

ในเบราว์เซอร์อื่น เปิดที่อยู่ (192.168.0.110 - ที่อยู่เซิร์ฟเวอร์)

http://192.168.0.110/sams2

เขาจะบอกเราว่าเขาไม่สามารถเชื่อมต่อกับฐานข้อมูลและจะเสนอให้ติดตั้ง

ระบุเซิร์ฟเวอร์ฐานข้อมูล (127.0.0.1) ล็อกอินและรหัสผ่านจาก MySql

การกำหนดค่าเริ่มต้นของระบบบัญชีจราจรเสร็จสมบูรณ์ มันยังคงอยู่เพียงเพื่อกำหนดค่าโปรแกรม

ตรวจสอบการรับส่งข้อมูลในเครือข่ายท้องถิ่น

เข้าสู่ระบบในฐานะผู้ดูแลระบบ (admin/qwerty)

เป็นเรื่องที่ควรพูดทันทีเกี่ยวกับการให้สิทธิ์ผู้ใช้

ในสาขา Squid เปิดพร็อกซีเซิร์ฟเวอร์และคลิกปุ่ม "การตั้งค่าพร็อกซีเซิร์ฟเวอร์" ด้านล่าง

สิ่งสำคัญที่สุดคือการระบุที่อยู่ IP ของคุณในที่อยู่ของโฟลเดอร์และไฟล์ หากจำเป็น มิฉะนั้น พร็อกซีเซิร์ฟเวอร์จะไม่เริ่มทำงาน

สาระสำคัญของการเปลี่ยนแปลงทั้งหมดในการตั้งค่า SAMS คือการเปลี่ยนแปลงเหล่านั้นจะเขียนไปที่ squid.conf sams2deamon ทำงานในพื้นหลัง ซึ่งจะตรวจสอบการเปลี่ยนแปลงในการตั้งค่าที่ต้องทำกับไฟล์การกำหนดค่า (คุณสามารถกำหนดช่วงเวลาการติดตามได้ที่นั่น)

กรอกข้อมูลในช่อง "ผู้ใช้" และ "ที่อยู่ IP" ในฐานะชื่อผู้ใช้ ให้ใช้ IP เดียวกัน (IP ของคอมพิวเตอร์ ไม่ใช่เซิร์ฟเวอร์!) ในช่อง "อนุญาตการรับส่งข้อมูล" ให้ป้อน "0" นั่นคือไม่มีข้อจำกัด ช่องอื่นๆ ทั้งหมดจะถูกละเว้น

จะมีการเพิ่ม acl ใหม่สำหรับที่อยู่ IP นี้และการอนุญาตให้ทำงานผ่าน Squid หากการกำหนดค่าไม่เปลี่ยนแปลงโดยอัตโนมัติ ให้ไปที่สาขาพร็อกซีแล้วคลิกปุ่ม "กำหนดค่า Squid ใหม่" การเปลี่ยนแปลงการกำหนดค่าจะทำด้วยตนเอง

เราพยายามเปิด URL ใด ๆ ในเบราว์เซอร์ เราตรวจสอบ access.log และดูคำขอที่ประมวลผลโดยพร็อกซี่ หากต้องการตรวจสอบการทำงานของ SAMS ให้เปิดหน้า "ผู้ใช้" คลิกปุ่ม "คำนวณการรับส่งข้อมูลของผู้ใช้ใหม่" ด้านล่าง

เมื่อใช้ปุ่มด้านล่างเพื่อจัดการสถิติ คุณจะได้รับข้อมูลโดยละเอียดเกี่ยวกับสถิติการเข้าชมหน้าเว็บของผู้ใช้

หัวหน้าบริษัททุกขนาดจะต้องตระหนักถึงปริมาณทรัพยากรที่องค์กรใช้ไป มากน้อยเพียงใด และจะไปที่ไหน เงินกินไฟเท่าไหร่ ค่าโทรศัพท์เท่าไหร่ ฯลฯ ในช่วง 10-15 ปีที่ผ่านมา มีการเพิ่มรายจ่ายอีกรายการหนึ่ง นั่นคือ อินเทอร์เน็ต ให้ถูกต้องตามงบประมาณของบริษัท ค่าใช้จ่ายในการรับส่งข้อมูลทางอินเทอร์เน็ตจำเป็นต้องรู้อย่างน่าเชื่อถือว่าการบริโภครายเดือนในบริษัทเป็นอย่างไร ดังนั้น การบัญชีจราจร- หนึ่งใน ความรับผิดชอบที่สำคัญผู้ดูแลระบบที่รับผิดชอบการนับปริมาณการใช้ข้อมูล การประหยัด ซึ่งรวมถึงการควบคุมอย่างต่อเนื่องเหนือข้อเท็จจริงที่ว่าปริมาณการรับส่งข้อมูลที่จัดสรรให้กับบริษัท เช่น ปริมาณการใช้ข้อมูลรายสัปดาห์ไม่เกินขีดจำกัดที่กำหนดไว้

เพื่อประหยัดเงิน องค์กรต่างๆ เปลี่ยนไปใช้ . มากขึ้นเรื่อยๆ แพ็คเกจไม่จำกัดการเข้าถึงอินเทอร์เน็ต แต่ความสำคัญของการบัญชีปริมาณการใช้ไม่ลดลงจากนี้ ตัวอย่างเช่น ในเครือข่าย ความเร็วของการเชื่อมต่ออินเทอร์เน็ตลดลงเป็นระยะ ซึ่งอาจมีสาเหตุหลายประการ: จากผู้ให้บริการที่ไร้ยางอายหรือการดาวน์โหลดของพนักงาน เวลางานไฟล์ขนาดใหญ่ก่อนที่อินเทอร์เฟซเครือข่ายจะขัดข้อง และความเร็วต่ำของอินเทอร์เน็ตหรือการขาดหายไปสำหรับธุรกิจสมัยใหม่นั้นเต็มไปด้วยคุณภาพการบริการที่ลดลงในปัจจุบันและการสูญเสียคู่ค้าและลูกค้าในวันพรุ่งนี้

ขึ้นอยู่กับนโยบายความปลอดภัย การบัญชีการรับส่งข้อมูลสามารถดำเนินการได้ด้วยวิธีต่อไปนี้:

1. การใช้ โปรโตคอล SNMP (โปรโตคอลการจัดการเครือข่ายอย่างง่าย). ข้อดีของวิธีนี้คือไม่ต้องติดตั้งซอฟต์แวร์เพิ่มเติมในคอมพิวเตอร์ของผู้ใช้ ในกรณีนี้โปรแกรมบัญชีจราจรจะถูกติดตั้งบนพีซีของผู้ดูแลระบบเท่านั้นและบนคอมพิวเตอร์ระยะไกลจำเป็นต้องกำหนดค่าบริการ SNMP อย่างถูกต้องเท่านั้นซึ่งไม่ยากเลยสำหรับผู้เชี่ยวชาญ โปรโตคอลนี้ช่วยให้คุณบัญชีสำหรับการรับส่งข้อมูล ประการแรก บนคอมพิวเตอร์ที่ใช้ Windows และ Linux และประการที่สอง บนเครื่องพิมพ์เครือข่าย สวิตช์ และอุปกรณ์เครือข่ายอื่นๆ ดังนั้นผู้ดูแลระบบจึงมีโอกาสควบคุมการทำงานของอุปกรณ์เครือข่ายที่ใช้งานของบริษัทได้ โดยค่าเริ่มต้น โปรโตคอล SNMP จะถูกปิดใช้งานในระบบปฏิบัติการ และจำเป็นต้องติดตั้งและกำหนดค่า

2. การใช้ บริการ WMI (Windows Management Instrumentation)ซึ่งเป็นทางเลือกแทน SNMP วิธีการบัญชีการรับส่งข้อมูลเช่นเดียวกับวิธีก่อนหน้านี้ ไม่ต้องการการติดตั้งโมดูลเพิ่มเติมใดๆ บนคอมพิวเตอร์ที่มีการควบคุม อย่างไรก็ตาม วิธีนี้เหมาะสำหรับระบบปฏิบัติการ Windows เท่านั้น

3. หากนโยบายความปลอดภัยของบริษัทห้ามไม่ให้ใช้บริการ SNMP และ WMI ผู้ดูแลระบบสามารถใช้การบัญชีทราฟฟิกผ่าน การติดตั้งตัวแทนไปยังคอมพิวเตอร์ระยะไกลซึ่งมักจะแนบมากับโปรแกรมบัญชีจราจร หากใช้เอเจนต์เป็นบริการก็จะอ่านค่าทราฟฟิกทั้งหมดสำหรับผู้ใช้และไม่ต้องโหลดคอมพิวเตอร์

4. วิธีต่อไปคือการบัญชีสำหรับการจราจรโดยใช้ โปรโตคอล NetFlowซึ่งพัฒนาโดย Cisco และออกแบบมาเพื่อรวบรวมข้อมูลเกี่ยวกับการรับส่งข้อมูล IP ภายในเครือข่าย หลักการทำงานของมันคือการรวบรวมสถิติทั้งหมดเกี่ยวกับแพ็กเก็ต IP ที่ส่งในบัฟเฟอร์พิเศษแล้วประมวลผล ข้อได้เปรียบหลักของวิธีนี้คือความสามารถในการติดตามการจราจรใน บริษัทขนาดใหญ่ด้วยเครือข่ายที่ซับซ้อนและกระจายตัวตามภูมิศาสตร์ จริงอยู่ ควรสังเกตว่าวิธีการบัญชีการรับส่งข้อมูลนี้สามารถนำไปใช้ในเครือข่ายที่มีอุปกรณ์ที่รองรับโปรโตคอล NetFlow เท่านั้นและต้องยอมรับว่าค่อนข้างแพง

5. อีกวิธีหนึ่งคือการนับแพ็กเก็ตเครือข่ายโดยใช้ ดมกลิ่นหรือวิเคราะห์การจราจร. วิธีนี้ช่วยให้คุณค้นหาที่อยู่ IP ของทั้งผู้ส่งและผู้รับ ซึ่งหมายความว่าคุณสามารถดูทรัพยากรขององค์กรที่ใช้ไป สิ่งสำคัญคือต้องรู้ว่าในเครือข่ายที่มีการรับส่งข้อมูลจำนวนมากหรือมีแบนด์วิดท์สูง สายพันธุ์นี้การบัญชีจราจรอาจให้ข้อผิดพลาดบางอย่าง

การใช้วิธีการบัญชีการรับส่งข้อมูลหลายวิธีพร้อมกันช่วยให้ได้ภาพที่สมบูรณ์ของงานขององค์กรและพนักงาน การบัญชีสำหรับทราฟฟิกแยกกันสำหรับแต่ละโปรโตคอล เช่นเดียวกับการแสดงข้อมูลที่รวบรวมทั้งหมดในรูปแบบของตารางและกราฟโดยอัตโนมัติ ช่วยให้คุณคำนวณพนักงานที่ใช้อินเทอร์เน็ตอย่างกระตือรือร้นที่สุด รวมถึงค้นหาว่ามีการใช้ไปเพื่อวัตถุประสงค์ใด: ดูรูปภาพ ดาวน์โหลดไฟล์ ส่งข้อความ หรือเรียกดูวิดีโอบนอินเทอร์เน็ต

โปรแกรมบัญชีการรับส่งข้อมูลบางโปรแกรมช่วยให้คุณสามารถกำหนดค่าการตอบสนองต่อเหตุการณ์บางอย่างได้ ตัวอย่างเช่น เพื่อให้เกินขีดจำกัดของการรับส่งข้อมูลที่ใช้ไป หรือเพื่อวางอินเทอร์เฟซเครือข่าย ด้วยเหตุนี้ ผู้ดูแลระบบจึงตอบสนองต่อเหตุการณ์เหล่านี้ได้รวดเร็วยิ่งขึ้น และแก้ไขปัญหาโดยเสียเวลาและความพยายามเพียงเล็กน้อย แต่งานที่สำคัญที่สุดของกระบวนการบัญชีปริมาณการใช้ข้อมูลคือความสามารถในการรับรู้ค่าใช้จ่ายในปัจจุบันอยู่เสมอ ซึ่งคุณสามารถวางแผนงบประมาณของคุณในอนาคตอย่างรอบคอบ ตลอดจนสรุปผลอย่างเป็นรูปธรรมเกี่ยวกับงานของพนักงานขององค์กร

ข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมบัญชีจราจรสามารถพบได้ที่นี่ http://www.10-strike.com/rus/bandwidth-monitor/

05/23/16 45.3K

ผู้ดูแลระบบเครือข่ายหลายคนมักประสบปัญหาที่การวิเคราะห์ปริมาณการใช้เครือข่ายสามารถช่วยแก้ไขได้ และที่นี่เรากำลังเผชิญกับแนวคิดเช่นตัววิเคราะห์การเข้าชม แล้วมันคืออะไร?


ตัววิเคราะห์และตัวรวบรวม NetFlow เป็นเครื่องมือที่ช่วยคุณตรวจสอบและวิเคราะห์ข้อมูลการรับส่งข้อมูลเครือข่าย ตัววิเคราะห์กระบวนการเครือข่ายช่วยให้คุณสามารถระบุอุปกรณ์ที่ทำให้แบนด์วิดท์ลดลง พวกเขารู้วิธีค้นหาพื้นที่ที่มีปัญหาในระบบของคุณ และปรับปรุงประสิทธิภาพโดยรวมของเครือข่าย

คำว่า " NetFlow" หมายถึงโปรโตคอลของ Cisco ที่ออกแบบมาเพื่อรวบรวมข้อมูลเกี่ยวกับการรับส่งข้อมูลผ่าน IP และตรวจสอบการรับส่งข้อมูลเครือข่าย NetFlow ถูกนำมาใช้เป็นโปรโตคอลมาตรฐานสำหรับเทคโนโลยีการสตรีม

ซอฟต์แวร์ NetFlow รวบรวมและวิเคราะห์ข้อมูลการไหลที่สร้างโดยเราเตอร์และนำเสนอในรูปแบบที่ใช้งานง่าย

ผู้จำหน่ายอุปกรณ์เครือข่ายรายอื่นๆ หลายรายมีโปรโตคอลการตรวจสอบและการรวบรวมข้อมูลของตนเอง ตัวอย่างเช่น Juniper ผู้จำหน่ายอุปกรณ์เครือข่ายอีกรายที่ได้รับการยอมรับอย่างสูง เรียกโปรโตคอล " j-flow". HP และ Fortinet ใช้คำว่า " s-Flow". แม้ว่าโปรโตคอลจะตั้งชื่อต่างกัน แต่ก็ทำงานในลักษณะเดียวกัน ในบทความนี้ เราจะมาดู 10 เครื่องมือวิเคราะห์การรับส่งข้อมูลเครือข่ายฟรีและตัวรวบรวม NetFlow สำหรับ Windows

SolarWinds Real-Time NetFlow Traffic Analyzer


ฟรี NetFlow Traffic Analyzer เป็นหนึ่งในเครื่องมือยอดนิยมที่มีให้ดาวน์โหลดฟรี ช่วยให้คุณสามารถจัดเรียง ติดป้ายกำกับ และแสดงข้อมูลได้หลากหลายวิธี ซึ่งช่วยให้คุณเห็นภาพและวิเคราะห์การรับส่งข้อมูลในเครือข่ายได้อย่างสะดวก เครื่องมือนี้ยอดเยี่ยมสำหรับการตรวจสอบปริมาณการใช้เครือข่ายตามประเภทและช่วงเวลา เช่นเดียวกับการทำการทดสอบเพื่อกำหนดปริมาณการใช้แอพพลิเคชั่นที่แตกต่างกัน

เครื่องมือฟรีนี้จำกัดอินเทอร์เฟซการตรวจสอบ NetFlow หนึ่งอินเทอร์เฟซและบันทึกข้อมูลได้ 60 นาทีเท่านั้น Netflow Analyzer นี้เป็นเครื่องมือที่ทรงพลังและคุ้มค่าที่จะใช้

Colasoft Capsa ฟรี


เครื่องมือวิเคราะห์ทราฟฟิก LAN ฟรีนี้ให้คุณระบุและตรวจสอบโปรโตคอลเครือข่ายมากกว่า 300 รายการ และให้คุณสร้างรายงานที่ปรับแต่งได้ ประกอบด้วยการตรวจสอบอีเมลและไดอะแกรมลำดับ การซิงค์ TCPทั้งหมดรวบรวมไว้ในแผงที่ปรับแต่งได้เพียงแผงเดียว

คุณสมบัติอื่นๆ ได้แก่ การวิเคราะห์ความปลอดภัยเครือข่าย ตัวอย่างเช่น การติดตามการโจมตี DoS / DDoS กิจกรรมของเวิร์ม และการตรวจจับการโจมตี ARP เช่นเดียวกับการถอดรหัสแพ็กเก็ตและการแสดงข้อมูล สถิติเกี่ยวกับแต่ละโฮสต์บนเครือข่าย การควบคุมการแลกเปลี่ยนแพ็กเก็ต และการสร้างสตรีมใหม่ Capsa Free รองรับ Windows XP รุ่น 32 บิตและ 64 บิตทั้งหมด

ข้อกำหนดขั้นต่ำของระบบสำหรับการติดตั้ง: RAM 2 GB และโปรเซสเซอร์ 2.8 GHz คุณต้องมีการเชื่อมต่ออีเธอร์เน็ตกับอินเทอร์เน็ต ( เข้ากันได้กับ NDIS 3 หรือสูงกว่า), Fast Ethernet หรือ Gigabit พร้อมไดรเวอร์โหมดผสม ช่วยให้คุณสามารถจับภาพแพ็กเก็ตทั้งหมดที่ส่งผ่านสายเคเบิลอีเทอร์เน็ตได้

สแกนเนอร์ IP โกรธ


เป็นเครื่องมือวิเคราะห์การรับส่งข้อมูลของ Windows แบบโอเพ่นซอร์สที่รวดเร็วและใช้งานง่าย ไม่จำเป็นต้องติดตั้งและสามารถใช้ได้บน Linux , Windows และ Mac OSX เครื่องมือนี้ทำงานผ่านการ ping อย่างง่ายของที่อยู่ IP แต่ละรายการ และสามารถกำหนดที่อยู่ MAC สแกนพอร์ต ให้ข้อมูล NetBIOS กำหนดผู้ใช้ที่ได้รับอนุญาตบนระบบ Windows ค้นหาเว็บเซิร์ฟเวอร์ และอื่นๆ อีกมากมาย ความสามารถของมันถูกขยายด้วยปลั๊กอิน Java ข้อมูลการสแกนสามารถบันทึกเป็นไฟล์รูปแบบ CSV, TXT, XML

ManageEngine NetFlow Analyzer Professional


ซอฟต์แวร์ NetFlow เวอร์ชันที่ทำงานได้อย่างสมบูรณ์จาก ManageEngines เป็นซอฟต์แวร์ที่ทรงพลังพร้อมชุดฟังก์ชันเต็มรูปแบบสำหรับการวิเคราะห์และการรวบรวมข้อมูล: การตรวจสอบแบนด์วิดท์ของช่องสัญญาณแบบเรียลไทม์และการแจ้งเตือนเมื่อถึงขีดจำกัด ซึ่งช่วยให้คุณจัดการกระบวนการได้อย่างรวดเร็ว นอกจากนี้ยังให้ผลลัพธ์ของข้อมูลสรุปเกี่ยวกับการใช้ทรัพยากร การตรวจสอบแอปพลิเคชันและโปรโตคอล และอื่นๆ อีกมากมาย

ตัววิเคราะห์ปริมาณการใช้งาน Linux เวอร์ชันฟรีช่วยให้คุณใช้ผลิตภัณฑ์ได้ไม่จำกัดเป็นเวลา 30 วัน หลังจากนั้นคุณสามารถตรวจสอบอินเทอร์เฟซได้เพียงสองอินเทอร์เฟซเท่านั้น ข้อกำหนดของระบบสำหรับ NetFlow Analyzer ManageEngine จะแตกต่างกันไปตามอัตราการไหล ข้อกำหนดที่แนะนำสำหรับอัตราการไหลขั้นต่ำ 0 ถึง 3000 เธรดต่อวินาที: โปรเซสเซอร์ดูอัลคอร์ 2.4 GHz, RAM 2 GB และพื้นที่ว่างบนฮาร์ดดิสก์ 250 GB เมื่ออัตราการไหลที่ต้องติดตามเพิ่มขึ้น ข้อกำหนดก็เพิ่มขึ้นเช่นกัน

The Dude


แอปพลิเคชั่นนี้เป็นตัวตรวจสอบเครือข่ายยอดนิยมที่พัฒนาโดย MikroTik โดยจะสแกนอุปกรณ์ทั้งหมดโดยอัตโนมัติและสร้างแผนที่เครือข่ายขึ้นใหม่ The Dude ตรวจสอบเซิร์ฟเวอร์ที่ทำงานบนอุปกรณ์ต่างๆ และแจ้งเตือนคุณหากเกิดปัญหาขึ้น คุณสมบัติอื่นๆ ได้แก่ การค้นหาและแสดงอุปกรณ์ใหม่โดยอัตโนมัติ ความสามารถในการสร้างแผนที่ที่กำหนดเอง การเข้าถึงเครื่องมือการจัดการอุปกรณ์ระยะไกล และอื่นๆ มันทำงานบน Windows, Linux Wine และ MacOS Darwine

JDSU Network Analyzer Fast Ethernet


โปรแกรมวิเคราะห์การรับส่งข้อมูลนี้ช่วยให้คุณสามารถรวบรวมและดูข้อมูลผ่านเครือข่ายได้อย่างรวดเร็ว เครื่องมือนี้ให้ความสามารถในการดูผู้ใช้ที่ลงทะเบียน กำหนดระดับการใช้แบนด์วิดท์เครือข่ายตามแต่ละอุปกรณ์ และค้นหาและแก้ไขข้อผิดพลาดได้อย่างรวดเร็ว พร้อมทั้งบันทึกข้อมูลแบบเรียลไทม์และวิเคราะห์

แอปพลิเคชันสนับสนุนการสร้างกราฟและตารางที่มีรายละเอียดสูง ซึ่งช่วยให้ผู้ดูแลระบบสามารถตรวจสอบความผิดปกติของการรับส่งข้อมูล กรองข้อมูลเพื่อกรองข้อมูลจำนวนมาก และอื่นๆ เครื่องมือนี้สำหรับมืออาชีพระดับเริ่มต้น เช่นเดียวกับผู้ดูแลระบบที่มีประสบการณ์ ช่วยให้คุณควบคุมเครือข่ายได้อย่างสมบูรณ์

Plixer Scrutinizer


เครื่องมือวิเคราะห์การรับส่งข้อมูลเครือข่ายนี้ช่วยให้คุณสามารถรวบรวมและวิเคราะห์การรับส่งข้อมูลเครือข่ายอย่างครอบคลุม ตลอดจนค้นหาและแก้ไขข้อผิดพลาดได้อย่างรวดเร็ว ด้วย Scrutinizer คุณสามารถจัดเรียงข้อมูลได้หลายวิธี รวมถึงช่วงเวลา โฮสต์ แอปพลิเคชัน โปรโตคอล และอื่นๆ เวอร์ชันฟรีช่วยให้คุณควบคุมอินเทอร์เฟซได้ไม่จำกัดและจัดเก็บข้อมูลได้ตลอด 24 ชั่วโมง

Wireshark


Wireshark เป็นเครื่องมือวิเคราะห์เครือข่ายที่ทรงพลังที่สามารถทำงานบน Linux, Windows, MacOS X, Solaris และแพลตฟอร์มอื่นๆ Wireshark ให้คุณดูข้อมูลที่บันทึกไว้โดยใช้อินเทอร์เฟซแบบกราฟิก หรือใช้ยูทิลิตี้ TShark ในโหมด TTY ฟีเจอร์ต่างๆ ได้แก่ การรวบรวมและวิเคราะห์ทราฟฟิก VoIP การแสดงข้อมูลอีเธอร์เน็ตแบบเรียลไทม์ IEEE 802.11, Bluetooth, USB, Frame Relay, เอาต์พุตข้อมูลไปยัง XML, PostScript, CSV, รองรับการถอดรหัส และอื่นๆ

ความต้องการของระบบ: Windows XP ขึ้นไป โปรเซสเซอร์ 64/32 บิตที่ทันสมัย ​​RAM 400 Mb และพื้นที่ว่างในดิสก์ 300 Mb Wireshark NetFlow Analyzer เป็นเครื่องมืออันทรงพลังที่ช่วยลดความยุ่งยากในการทำงานของผู้ดูแลระบบเครือข่าย

Paessler PRTG


เครื่องมือวิเคราะห์การรับส่งข้อมูลนี้ให้คุณสมบัติที่มีประโยชน์มากมายแก่ผู้ใช้: รองรับการตรวจสอบ LAN, WAN, VPN, แอปพลิเคชัน, เซิร์ฟเวอร์เสมือน, QoS และสภาพแวดล้อม รองรับการตรวจสอบหลายไซต์ PRTG ใช้ SNMP , WMI , NetFlow , SFlow , JFlow และการดมกลิ่นแพ็คเก็ต ตลอดจนการตรวจสอบเวลาทำงาน/หยุดทำงาน และรองรับ IPv6

เวอร์ชันฟรีอนุญาตให้คุณใช้เซ็นเซอร์ได้ไม่จำกัดจำนวนเป็นเวลา 30 วัน หลังจากนั้นคุณสามารถใช้ฟรีได้สูงสุด 100 ตัวเท่านั้น

nProbe


เป็นแอปพลิเคชั่นติดตามและวิเคราะห์ NetFlow โอเพ่นซอร์สที่มีคุณสมบัติครบถ้วน

nProbe รองรับ IPv4 และ IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, การวิเคราะห์การรับส่งข้อมูล VoIP, การสุ่มตัวอย่างสตรีมและแพ็กเก็ต, การบันทึก, กิจกรรม MySQL/Oracle และ DNS และอื่นๆ อีกมากมาย แอปพลิเคชั่นนี้ฟรีหากคุณดาวน์โหลดและคอมไพล์ Traffic Analyzer บน Linux หรือ Windows ไฟล์ปฏิบัติการติดตั้งจะจำกัดจำนวนการดักจับไว้ที่ 2,000 แพ็คเกจ nProbe เป็นบริการฟรีสำหรับ สถาบันการศึกษาเช่นเดียวกับที่ไม่ใช่เชิงพาณิชย์และ องค์กรวิทยาศาสตร์. เครื่องมือนี้จะทำงานบนระบบปฏิบัติการ Linux และ Windows รุ่น 64 บิต

รายชื่อ 10 ตัววิเคราะห์และตัวรวบรวมปริมาณการใช้งาน NetFlow ฟรีนี้จะช่วยให้คุณเริ่มต้นการตรวจสอบและแก้ไขปัญหาเครือข่ายสำนักงานขนาดเล็กหรือ WAN ขององค์กรขนาดใหญ่ที่มีหลายไซต์

แอปพลิเคชันแต่ละรายการที่นำเสนอในบทความนี้ทำให้สามารถตรวจสอบและวิเคราะห์การรับส่งข้อมูลเครือข่าย ตรวจหาความล้มเหลวเล็กน้อย ระบุความผิดปกติของแบนด์วิดท์ที่อาจบ่งบอกถึงภัยคุกคามด้านความปลอดภัย ตลอดจนแสดงภาพข้อมูลเกี่ยวกับเครือข่าย การรับส่งข้อมูล และอื่นๆ ผู้ดูแลระบบเครือข่ายควรมีเครื่องมือดังกล่าวในคลังแสงของตนอย่างแน่นอน

สิ่งพิมพ์นี้เป็นคำแปลของบทความ " ตัววิเคราะห์และตัวรวบรวม Netflow ที่ดีที่สุด 10 อันดับแรกสำหรับ Windows» จัดทำโดยทีมงานโครงการที่เป็นมิตร

ดีไม่ดี