Ein Programm zur Verfolgung des Internetverkehrsverbrauchs durch Anwendungen. Überwachung des lokalen Netzwerkverkehrs

Abschnitte der Website

Die Wahl des Herausgebers:

NetFlow-Analysatoren und -Sammler sind Tools, die Ihnen bei der Überwachung und Analyse von Netzwerkverkehrsdaten helfen. Mit Netzwerkprozessanalysatoren können Sie Geräte genau identifizieren, die den Kanaldurchsatz verringern. Sie wissen, wie Sie Problembereiche in Ihrem System finden und die Gesamteffizienz des Netzwerks verbessern.

Der Begriff " NetFlow„bezieht sich auf ein Cisco-Protokoll, das zum Sammeln von IP-Verkehrsinformationen und zum Überwachen des Netzwerkverkehrs entwickelt wurde. NetFlow wurde als Standardprotokoll für Streaming-Technologien übernommen.

Die NetFlow-Software sammelt und analysiert die von Routern generierten Flussdaten und präsentiert sie in einem benutzerfreundlichen Format.

Mehrere andere Anbieter von Netzwerkgeräten verfügen über eigene Protokolle zur Überwachung und Datenerfassung. Beispielsweise nennt Juniper, ein weiterer hoch angesehener Anbieter von Netzwerkgeräten, sein Protokoll „ J-Flow". HP und Fortinet verwenden den Begriff „ s-Flow". Obwohl die Protokolle unterschiedlich heißen, funktionieren sie alle auf ähnliche Weise. In diesem Artikel werfen wir einen Blick auf 10 kostenlose Netzwerkverkehrsanalysatoren und NetFlow-Collectors für Windows.

SolarWinds Echtzeit-NetFlow-Verkehrsanalysator

Der kostenlose NetFlow Traffic Analyzer ist eines der beliebtesten Tools, die kostenlos heruntergeladen werden können. Es bietet Ihnen die Möglichkeit, Daten auf vielfältige Weise zu sortieren, zu kennzeichnen und anzuzeigen. Dadurch können Sie den Netzwerkverkehr komfortabel visualisieren und analysieren. Das Tool eignet sich hervorragend zur Überwachung des Netzwerkverkehrs nach Typ und Zeitraum. Außerdem werden Tests durchgeführt, um festzustellen, wie viel Datenverkehr verschiedene Anwendungen verbrauchen.

Dieses kostenlose Tool ist auf eine NetFlow-Überwachungsschnittstelle beschränkt und speichert nur 60 Minuten Daten. Dieser Netflow-Analysator ist ein leistungsstarkes Tool, dessen Verwendung sich lohnt.

Colasoft Capsa kostenlos

Dieser kostenlose LAN-Verkehrsanalysator identifiziert und überwacht über 300 Netzwerkprotokolle und ermöglicht Ihnen die Erstellung benutzerdefinierter Berichte. Es umfasst E-Mail-Überwachung und Sequenzdiagramme TCP-Synchronisation All dies ist in einem anpassbaren Panel zusammengefasst.

Zu den weiteren Funktionen gehört die Analyse der Netzwerksicherheit. Zum Beispiel die Verfolgung von DoS/DDoS-Angriffen, der Wurmaktivität und der Erkennung von ARP-Angriffen. Außerdem Paketdekodierung und Informationsanzeige, statistische Daten über jeden Host im Netzwerk, Paketaustauschsteuerung und Flussrekonstruktion. Capsa Free unterstützt alle 32-Bit- und 64-Bit-Versionen von Windows XP.

Mindestsystemvoraussetzungen für die Installation: 2 GB RAM und ein 2,8-GHz-Prozessor. Sie müssen außerdem über eine Ethernet-Verbindung zum Internet verfügen ( NDIS 3-kompatibel oder höher), Fast Ethernet oder Gigabit mit Mixed-Mode-Treiber. Es ermöglicht Ihnen, alle über ein Ethernet-Kabel übertragenen Pakete passiv zu erfassen.

Wütender IP-Scanner

Es handelt sich um einen Open-Source-Windows-Verkehrsanalysator, der schnell und einfach zu verwenden ist. Es erfordert keine Installation und kann unter Linux, Windows und Mac OSX verwendet werden. Dieses Tool funktioniert durch einfaches Pingen jeder IP-Adresse und kann MAC-Adressen ermitteln, Ports scannen, NetBIOS-Informationen bereitstellen, den autorisierten Benutzer auf Windows-Systemen ermitteln, Webserver erkennen und vieles mehr. Seine Fähigkeiten werden durch Java-Plugins erweitert. Scandaten können in CSV-, TXT- und XML-Dateien gespeichert werden.

ManageEngine NetFlow Analyzer Professional

Eine voll funktionsfähige Version der NetFlow-Software von ManageEngines. Hierbei handelt es sich um eine leistungsstarke Software mit umfassenden Funktionen zur Analyse und Datenerfassung: Überwachung des Kanaldurchsatzes in Echtzeit und Benachrichtigung bei Erreichen von Schwellenwerten, wodurch Sie Prozesse schnell verwalten können. Darüber hinaus bietet es zusammenfassende Daten zur Ressourcennutzung, Überwachung von Anwendungen und Protokollen und vieles mehr.

Die kostenlose Version des Linux-Verkehrsanalysators ermöglicht die unbegrenzte Nutzung des Produkts für 30 Tage, danach können Sie nur noch zwei Schnittstellen überwachen. Die Systemanforderungen für NetFlow Analyzer ManageEngine hängen von der Durchflussrate ab. Empfohlene Anforderungen für eine Mindestflussrate von 0 bis 3000 Threads pro Sekunde sind ein 2,4-GHz-Dual-Core-Prozessor, 2 GB RAM und 250 GB verfügbarer Festplattenspeicher. Mit zunehmender Geschwindigkeit der zu überwachenden Strömung steigen auch die Anforderungen.

Der Typ

Diese Anwendung ist ein beliebter Netzwerkmonitor, der von MikroTik entwickelt wurde. Es scannt automatisch alle Geräte und erstellt eine Netzwerkkarte neu. The Dude überwacht Server, die auf verschiedenen Geräten laufen, und warnt Sie, wenn Probleme auftreten. Zu den weiteren Funktionen gehören die automatische Erkennung und Anzeige neuer Geräte, die Möglichkeit, benutzerdefinierte Karten zu erstellen, Zugriff auf Tools für die Remote-Geräteverwaltung und mehr. Es läuft unter Windows, Linux Wine und MacOS Darwine.

JDSU Netzwerkanalysator Fast Ethernet

Mit diesem Verkehrsanalyseprogramm können Sie Netzwerkdaten schnell erfassen und anzeigen. Das Tool bietet die Möglichkeit, registrierte Benutzer anzuzeigen, den Grad der Netzwerkbandbreitennutzung durch einzelne Geräte zu ermitteln und Fehler schnell zu finden und zu beheben. Und auch Daten in Echtzeit erfassen und analysieren.

Die Anwendung unterstützt die Erstellung hochdetaillierter Diagramme und Tabellen, die es Administratoren ermöglichen, Verkehrsanomalien zu überwachen, Daten zu filtern, um große Datenmengen zu durchsuchen, und vieles mehr. Dieses Tool für Einsteiger und erfahrene Administratoren ermöglicht Ihnen die vollständige Kontrolle über Ihr Netzwerk.

Plixer-Prüfer

Mit diesem Netzwerkverkehrsanalysator können Sie den Netzwerkverkehr erfassen und umfassend analysieren sowie Fehler schnell finden und beheben. Mit Scrutinizer können Sie Ihre Daten auf verschiedene Arten sortieren, unter anderem nach Zeitintervall, Host, Anwendung, Protokoll und mehr. Mit der kostenlosen Version können Sie eine unbegrenzte Anzahl von Schnittstellen steuern und Daten für 24 Stunden Aktivität speichern.

Wireshark

Wireshark ist ein leistungsstarker Netzwerkanalysator, der auf Linux, Windows, MacOS X, Solaris und anderen Plattformen ausgeführt werden kann. Mit Wireshark können Sie erfasste Daten über eine GUI anzeigen oder die TShark-Dienstprogramme im TTY-Modus verwenden. Zu seinen Funktionen gehören die Erfassung und Analyse des VoIP-Verkehrs, die Echtzeitanzeige von Ethernet, IEEE 802.11, Bluetooth, USB, Frame Relay-Daten, XML, PostScript, CSV-Datenausgabe, Entschlüsselungsunterstützung und mehr.

Systemanforderungen: Windows XP und höher, jeder moderne 64/32-Bit-Prozessor, 400 MB RAM und 300 MB freier Festplattenspeicher. Wireshark NetFlow Analyzer ist ein leistungsstarkes Tool, das die Arbeit jedes Netzwerkadministrators erheblich vereinfachen kann.

Paessler PRTG

Dieser Verkehrsanalysator bietet Benutzern viele nützliche Funktionen: Unterstützung für die Überwachung von LAN, WAN, VPN, Anwendungen, virtuellen Servern, QoS und Umgebung. Auch die Überwachung mehrerer Standorte wird unterstützt. PRTG nutzt SNMP, WMI, NetFlow, SFlow, JFlow und Paketanalyse sowie Uptime-/Downtime-Überwachung und IPv6-Unterstützung.

Mit der kostenlosen Version können Sie 30 Tage lang eine unbegrenzte Anzahl von Sensoren nutzen, danach können Sie nur noch bis zu 100 kostenlos nutzen.

nProbe

Es handelt sich um eine Open-Source-NetFlow-Tracking- und Analyseanwendung mit vollem Funktionsumfang.

nProbe unterstützt IPv4 und IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, enthält Funktionen für VoIP-Verkehrsanalyse, Flow- und Paket-Sampling, Protokollerstellung, MySQL/Oracle- und DNS-Aktivität und vieles mehr. Die Anwendung ist kostenlos, wenn Sie den Verkehrsanalysator unter Linux oder Windows herunterladen und kompilieren. Die ausführbare Installationsdatei begrenzt die Erfassungsgröße auf 2000 Pakete. nProbe ist für Bildungseinrichtungen sowie gemeinnützige und wissenschaftliche Organisationen völlig kostenlos. Dieses Tool funktioniert auf 64-Bit-Versionen von Linux- und Windows-Betriebssystemen.

Diese Liste mit 10 kostenlosen NetFlow-Verkehrsanalysatoren und -Sammlern hilft Ihnen beim Einstieg in die Überwachung und Fehlerbehebung eines kleinen Büronetzwerks oder eines großen Unternehmens-WAN mit mehreren Standorten.

Jede in diesem Artikel vorgestellte Anwendung ermöglicht die Überwachung und Analyse des Netzwerkverkehrs, die Erkennung kleinerer Ausfälle und die Identifizierung von Bandbreitenanomalien, die auf Sicherheitsbedrohungen hinweisen können. Und visualisieren Sie außerdem Informationen über das Netzwerk, den Verkehr und vieles mehr. Netzwerkadministratoren müssen solche Tools in ihrem Arsenal haben.

Diese Veröffentlichung ist eine Übersetzung des Artikels „ Top 10 der besten kostenlosen Netflow-Analysatoren und -Sammler für Windows", erstellt vom freundlichen Projektteam

Gut schlecht

Jeder Administrator erhält früher oder später Anweisungen vom Management: „Zählen Sie, wer online geht und wie viel er herunterlädt.“ Für die Anbieter kommen noch die Aufgaben hinzu: „Einlassen, wer es braucht, Bezahlung entgegennehmen, Zutritt beschränken.“ Was ist zu zählen? Wie? Wo? Es gibt viele fragmentarische Informationen, sie sind nicht strukturiert. Wir ersparen dem unerfahrenen Administrator mühsames Suchen, indem wir ihm allgemeines Wissen und nützliche Links zu Hardware vermitteln.
In diesem Artikel werde ich versuchen, die Prinzipien der Organisation der Erfassung, Abrechnung und Kontrolle des Datenverkehrs im Netzwerk zu beschreiben. Wir werden uns mit dem Problem befassen und mögliche Möglichkeiten zum Abrufen von Informationen von Netzwerkgeräten auflisten.

Dies ist der erste theoretische Artikel in einer Reihe von Artikeln, die sich mit der Erfassung, Abrechnung, Verwaltung und Abrechnung von Datenverkehr und IT-Ressourcen befassen.

Struktur des Internetzugangs

Im Allgemeinen sieht die Netzwerkzugangsstruktur wie folgt aus:

Externe Ressourcen – das Internet mit allen Sites, Servern, Adressen und anderen Dingen, die nicht zu dem von Ihnen kontrollierten Netzwerk gehören.
Zugriffsgerät – Router (Hardware oder PC-basiert), Switch, VPN-Server oder Konzentrator.
Interne Ressourcen sind eine Reihe von Computern, Subnetzen und Teilnehmern, deren Betrieb im Netzwerk berücksichtigt oder gesteuert werden muss.
Ein Verwaltungs- oder Buchhaltungsserver ist ein Gerät, auf dem spezielle Software ausgeführt wird. Funktionell kombinierbar mit einem Software-Router.

In dieser Struktur wird der Netzwerkverkehr von externen Ressourcen zu internen Ressourcen und zurück über das Zugriffsgerät geleitet. Es übermittelt Verkehrsinformationen an den Verwaltungsserver. Der Kontrollserver verarbeitet diese Informationen, speichert sie in der Datenbank, zeigt sie an und gibt Sperrbefehle aus. Allerdings sind nicht alle Kombinationen von Zugriffsgeräten (Methoden) und Erfassungs- und Kontrollmethoden kompatibel. Die verschiedenen Möglichkeiten werden im Folgenden besprochen.

Netzwerktraffic

Zunächst müssen Sie definieren, was unter „Netzwerkverkehr“ zu verstehen ist und welche nützlichen statistischen Informationen aus dem Benutzerdatenstrom extrahiert werden können.
Das vorherrschende Internetworking-Protokoll ist immer noch IP Version 4. Das IP-Protokoll entspricht Schicht 3 des OSI-Modells (L3). Informationen (Daten) zwischen Sender und Empfänger werden in Pakete verpackt – mit einem Header und einer „Nutzlast“. Der Header bestimmt, woher und wohin das Paket kommt (IP-Adressen des Absenders und Empfängers), die Paketgröße und den Nutzlasttyp. Der Großteil des Netzwerkverkehrs besteht aus Paketen mit UDP- und TCP-Nutzlasten – dabei handelt es sich um Layer 4 (L4)-Protokolle. Zusätzlich zu den Adressen enthält der Header dieser beiden Protokolle Portnummern, die die Art des Dienstes (Anwendung) bestimmen, der Daten überträgt.

Um ein IP-Paket über Kabel (oder Funk) zu übertragen, müssen Netzwerkgeräte es in ein Layer-2-Protokollpaket (L2) „einpacken“. Das gebräuchlichste Protokoll dieser Art ist Ethernet. Auf der 1. Ebene erfolgt die eigentliche Übertragung „bis zur Leitung“. Normalerweise analysiert das Zugriffsgerät (Router) keine Paketheader auf Ebenen über Ebene 4 (mit Ausnahme intelligenter Firewalls).
Informationen aus den Bereichen Adressen, Ports, Protokolle und Längenzähler aus den L3- und L4-Headern von Datenpaketen bilden das „Rohmaterial“, das für die Verkehrsabrechnung und -verwaltung verwendet wird. Die tatsächlich übertragene Informationsmenge ist im Feld „Länge“ des IP-Headers zu finden (einschließlich der Länge des Headers selbst). Aufgrund der Paketfragmentierung aufgrund des MTU-Mechanismus ist das Gesamtvolumen der übertragenen Daten übrigens immer größer als die Nutzlastgröße.

Die Gesamtlänge der für uns in diesem Zusammenhang interessanten IP- und TCP/UDP-Felder des Pakets beträgt 2...10 % der Gesamtlänge des Pakets. Wenn Sie alle diese Informationen stapelweise verarbeiten und speichern, sind nicht genügend Ressourcen vorhanden. Glücklicherweise ist der Großteil des Datenverkehrs so strukturiert, dass er aus einer Reihe von „Gesprächen“ zwischen externen und internen Netzwerkgeräten besteht, die als „Flows“ bezeichnet werden. Beispielsweise wird im Rahmen eines E-Mail-Versandvorgangs (SMTP-Protokoll) eine TCP-Sitzung zwischen dem Client und dem Server geöffnet. Es zeichnet sich durch einen konstanten Parametersatz aus (Quell-IP-Adresse, Quell-TCP-Port, Ziel-IP-Adresse, Ziel-TCP-Port). Anstatt Informationen Paket für Paket zu verarbeiten und zu speichern, ist es viel bequemer, Flussparameter (Adressen und Ports) sowie zusätzliche Informationen zu speichern – die Anzahl und Summe der Längen der in jede Richtung übertragenen Pakete, optional Sitzungsdauer, Router-Schnittstelle Indizes, ToS-Feldwert usw. Dieser Ansatz ist für verbindungsorientierte Protokolle (TCP) von Vorteil, bei denen es möglich ist, die Beendigung einer Sitzung explizit abzufangen. Allerdings ist es auch bei nicht sitzungsorientierten Protokollen möglich, eine Aggregation und logische Vervollständigung eines Flussdatensatzes beispielsweise auf der Grundlage einer Zeitüberschreitung durchzuführen. Nachfolgend ein Auszug aus der SQL-Datenbank unseres eigenen Abrechnungssystems, die Informationen über Verkehrsströme protokolliert:

Zu beachten ist der Fall, dass das Zugriffsgerät eine Adressübersetzung (NAT, Masquerading) durchführt, um den Internetzugang für lokale Netzwerkcomputer über eine externe, öffentliche IP-Adresse zu organisieren. In diesem Fall ersetzt ein spezieller Mechanismus IP-Adressen und TCP/UDP-Ports von Verkehrspaketen und ersetzt interne (im Internet nicht routbare) Adressen gemäß seiner dynamischen Übersetzungstabelle. Bei dieser Konfiguration ist zu beachten, dass zur korrekten Erfassung von Daten auf internen Netzwerkhosts Statistiken auf eine Weise und an einem Ort erfasst werden müssen, an denen das Übersetzungsergebnis interne Adressen noch nicht „anonymisiert“.

Methoden zum Sammeln von Verkehrs-/Statistikinformationen

Sie können Informationen über den weitergeleiteten Datenverkehr direkt auf dem Zugangsgerät selbst (PC-Router, VPN-Server) erfassen und verarbeiten, indem Sie ihn von diesem Gerät an einen separaten Server (NetFlow, SNMP) oder „vom Kabel“ (Tap, SPAN) übertragen. Schauen wir uns alle Optionen der Reihe nach an.

PC-Router

Betrachten wir den einfachsten Fall – ein Zugriffsgerät (Router), das auf einem PC mit Linux basiert.

Wie man einen solchen Server einrichtet, Adressübersetzung und Routing, es wurde viel geschrieben. Uns interessiert der nächste logische Schritt – Informationen darüber, wie man Informationen über den Datenverkehr erhält, der über einen solchen Server läuft. Es gibt drei gängige Methoden:

Abfangen (Kopieren) von Paketen, die über die Netzwerkkarte des Servers laufen, mithilfe der libpcap-Bibliothek
Abfangen von Paketen, die die integrierte Firewall passieren
Verwendung von Tools von Drittanbietern zum Konvertieren paketweiser Statistiken (erhalten mit einer der beiden vorherigen Methoden) in einen aggregierten Netflow-Informationsstrom

Libpcap

Im ersten Fall kann eine Kopie des Pakets, das die Schnittstelle passiert, nach dem Passieren des Filters (man pcap-filter) von einem Client-Programm auf dem Server angefordert werden, das mit dieser Bibliothek geschrieben wurde. Das Paket kommt mit einem Layer-2-Header (Ethernet) an. Es ist möglich, die Länge der erfassten Informationen zu begrenzen (wenn wir nur an Informationen aus dem Header interessiert sind). Beispiele für solche Programme sind tcpdump und Wireshark. Es gibt eine Implementierung von libpcap für Windows. Wenn die Adressübersetzung auf einem PC-Router verwendet wird, kann ein solches Abfangen nur auf seiner internen Schnittstelle durchgeführt werden, die mit lokalen Benutzern verbunden ist. Auf der externen Schnittstelle enthalten IP-Pakete nach der Übersetzung keine Informationen über die internen Hosts des Netzwerks. Allerdings ist es mit dieser Methode nicht möglich, den vom Server selbst im Internet erzeugten Datenverkehr zu berücksichtigen (was wichtig ist, wenn er einen Web- oder E-Mail-Dienst betreibt).

libpcap erfordert Unterstützung vom Betriebssystem, was derzeit der Installation einer einzelnen Bibliothek gleichkommt. In diesem Fall muss das Anwendungs-(Benutzer-)Programm, das Pakete sammelt:

Öffnen Sie die gewünschte Schnittstelle
Geben Sie den Filter an, durch den empfangene Pakete geleitet werden sollen, die Größe des erfassten Teils (Snaplen), die Puffergröße,
Legen Sie den Parameter promisc fest, der die Netzwerkschnittstelle für alle vorbeikommenden Pakete in den Erfassungsmodus versetzt, und nicht nur für diejenigen, die an die MAC-Adresse dieser Schnittstelle adressiert sind
Legen Sie eine Funktion (Rückruf) fest, die für jedes empfangene Paket aufgerufen wird.

Wenn ein Paket über die ausgewählte Schnittstelle übertragen wird, empfängt diese Funktion nach dem Passieren des Filters einen Puffer mit Ethernet, (VLAN), IP usw. Header, Gesamtgröße bis Snaplen. Da die libcap-Bibliothek Pakete kopiert, kann sie nicht zum Blockieren ihrer Weiterleitung verwendet werden. In diesem Fall muss das Datenverkehrserfassungs- und -verarbeitungsprogramm alternative Methoden verwenden, beispielsweise den Aufruf eines Skripts, um eine bestimmte IP-Adresse in eine Datenverkehrsblockierungsregel einzufügen.

Firewall

Durch die Erfassung von Daten, die die Firewall passieren, können Sie sowohl den Datenverkehr des Servers selbst als auch den Datenverkehr von Netzwerkbenutzern berücksichtigen, selbst wenn die Adressübersetzung ausgeführt wird. In diesem Fall kommt es vor allem darauf an, die Erfassungsregel richtig zu formulieren und an der richtigen Stelle zu platzieren. Diese Regel aktiviert die Übertragung des Pakets an die Systembibliothek, von wo aus die Anwendung zur Datenverkehrsabrechnung und -verwaltung es empfangen kann. Für Linux-Betriebssysteme wird iptables als Firewall verwendet und Abfangtools sind ipq, netfliter_queue oder ulog. Für OC FreeBSD – ipfw mit Regeln wie Tee oder Divert. In jedem Fall wird der Firewall-Mechanismus durch die Möglichkeit ergänzt, mit einem Benutzerprogramm auf folgende Weise zu arbeiten:

Ein Benutzerprogramm – ein Traffic-Handler – registriert sich im System über einen Systemaufruf oder eine Bibliothek.
Ein Benutzerprogramm oder ein externes Skript installiert eine Regel in der Firewall und „verpackt“ den ausgewählten Datenverkehr (gemäß der Regel) innerhalb des Handlers.
Für jedes passierende Paket erhält der Handler seinen Inhalt in Form eines Speicherpuffers (mit IP-Headern usw.). Nach der Verarbeitung (Abrechnung) muss das Programm dem Betriebssystemkernel auch mitteilen, was als nächstes mit einem solchen Paket zu tun ist – es zu verwerfen oder weiterleiten. Alternativ ist es möglich, das geänderte Paket an den Kernel weiterzuleiten.

Da das IP-Paket nicht kopiert, sondern zur Analyse an die Software gesendet wird, ist es möglich, es „auszuwerfen“ und damit den Datenverkehr einer bestimmten Art (z. B. an einen ausgewählten lokalen Netzwerkteilnehmer) ganz oder teilweise einzuschränken. Wenn das Anwendungsprogramm jedoch nicht mehr auf die Entscheidung des Kernels reagiert (z. B. hängen bleibt), wird der Datenverkehr über den Server einfach blockiert.
Es ist zu beachten, dass die beschriebenen Mechanismen bei erheblichen Mengen an übertragenem Datenverkehr zu einer übermäßigen Belastung des Servers führen, die mit dem ständigen Kopieren von Daten vom Kernel in das Benutzerprogramm verbunden ist. Die Methode zum Sammeln von Statistiken auf Betriebssystemkernebene mit der Ausgabe aggregierter Statistiken an das Anwendungsprogramm über das NetFlow-Protokoll weist diesen Nachteil nicht auf.

Netflow

Dieses Protokoll wurde von Cisco Systems entwickelt, um Verkehrsinformationen von Routern zum Zweck der Verkehrsabrechnung und -analyse zu exportieren. Die beliebteste Version 5 stellt dem Empfänger nun einen Strom strukturierter Daten in Form von UDP-Paketen zur Verfügung, die Informationen über den vergangenen Datenverkehr in Form sogenannter Flow Records enthalten:

Die Informationsmenge über den Datenverkehr ist um mehrere Größenordnungen kleiner als der Datenverkehr selbst, was besonders in großen und verteilten Netzwerken wichtig ist. Natürlich ist es nicht möglich, die Informationsübertragung bei der Erhebung von Statistiken über Netflow zu blockieren (es sei denn, es werden zusätzliche Mechanismen verwendet).
Derzeit erfreut sich eine Weiterentwicklung dieses Protokolls großer Beliebtheit – Version 9, basierend auf der Template-Flow-Record-Struktur, Implementierung für Geräte anderer Hersteller (sFlow). Kürzlich wurde der IPFIX-Standard verabschiedet, der die Übertragung von Statistiken über Protokolle auf tieferen Ebenen (z. B. nach Anwendungstyp) ermöglicht.
Die Implementierung von Netflow-Quellen (Agenten, Sonden) ist für PC-Router verfügbar, sowohl in Form von Dienstprogrammen, die nach den oben beschriebenen Mechanismen arbeiten (flowprobe, softflowd), als auch direkt in den Betriebssystemkernel integriert (FreeBSD: ng_netgraph, Linux:) . Bei Software-Routern kann der Netflow-Statistik-Stream lokal auf dem Router selbst empfangen und verarbeitet oder über das Netzwerk (Übertragungsprotokoll – über UDP) an das empfangende Gerät (Kollektor) gesendet werden.

Das Collector-Programm kann Informationen aus vielen Quellen gleichzeitig sammeln und deren Datenverkehr auch bei überlappenden Adressräumen unterscheiden. Mit zusätzlichen Tools wie nprobe ist es außerdem möglich, zusätzliche Datenaggregation, Stream-Bifurkation oder Protokollkonvertierung durchzuführen, was bei der Verwaltung eines großen und verteilten Netzwerks mit Dutzenden von Routern wichtig ist.

Die Netflow-Exportfunktionen unterstützen Router von Cisco Systems, Mikrotik und einigen anderen. Ähnliche Funktionen (mit anderen Exportprotokollen) werden von allen großen Herstellern von Netzwerkgeräten unterstützt.

Libpcap „draußen“

Machen wir die Aufgabe etwas komplizierter. Was ist, wenn es sich bei Ihrem Zugangsgerät um einen Hardware-Router eines anderen Herstellers handelt? Zum Beispiel D-Link, ASUS, Trendnet usw. Es ist höchstwahrscheinlich unmöglich, darauf zusätzliche Datenerfassungssoftware zu installieren. Alternativ verfügen Sie über ein Smart Access-Gerät, können es aber nicht konfigurieren (Sie haben keine Rechte oder es wird von Ihrem Provider kontrolliert). In diesem Fall können Sie mithilfe von „Hardware“-Tools zum Kopieren von Paketen Informationen über den Datenverkehr direkt an der Stelle sammeln, an der das Zugriffsgerät auf das interne Netzwerk trifft. In diesem Fall benötigen Sie auf jeden Fall einen separaten Server mit einer dedizierten Netzwerkkarte, um Kopien der Ethernet-Pakete zu empfangen.
Der Server muss den Paketsammelmechanismus mithilfe der oben beschriebenen libpcap-Methode verwenden, und unsere Aufgabe besteht darin, einen Datenstrom, der mit dem vom Zugriffsserver kommenden identisch ist, an den dafür vorgesehenen Eingang der Netzwerkkarte zu senden. Hierfür können Sie Folgendes verwenden:

Ethernet – Hub: ein Gerät, das Pakete einfach und wahllos zwischen all seinen Ports weiterleitet. In der modernen Realität kann es irgendwo in einem staubigen Lagerhaus gefunden werden, und die Verwendung dieser Methode wird nicht empfohlen: unzuverlässig, niedrige Geschwindigkeit (es gibt keine Hubs mit einer Geschwindigkeit von 1 Gbit/s)
Ethernet – ein Switch mit der Fähigkeit zur Spiegelung (Spiegelung, SPAN-Ports). Moderne intelligente (und teure) Switches ermöglichen es Ihnen, den gesamten Datenverkehr (eingehend, ausgehend, beides) einer anderen physischen Schnittstelle, VLAN, einschließlich Remote (RSPAN), auf eine bestimmte zu kopieren Hafen
Hardware-Splitter, der möglicherweise die Installation von zwei Netzwerkkarten anstelle einer zum Sammeln erfordert – und dies zusätzlich zur Haupt-Systemkarte.

Natürlich können Sie einen SPAN-Port auf dem Zugangsgerät selbst (Router) konfigurieren, sofern es dies zulässt – Cisco Catalyst 6500, Cisco ASA. Hier ist ein Beispiel für eine solche Konfiguration für einen Cisco-Switch:
Überwachungssitzung 1 Quell-VLAN 100! Woher bekommen wir die Pakete?
Monitorsitzung 1 Zielschnittstelle Gi6/3! Wo verschicken wir Pakete?

SNMP

Was ist, wenn wir keinen Router unter unserer Kontrolle haben, wir Netflow nicht kontaktieren wollen und uns nicht für die Details des Datenverkehrs unserer Benutzer interessieren? Sie werden einfach über einen verwalteten Switch mit dem Netzwerk verbunden, und wir müssen nur grob schätzen, wie viel Datenverkehr zu jedem seiner Ports fließt. Wie Sie wissen, unterstützen Netzwerkgeräte die Fernsteuerung und können Zähler für Pakete (Bytes) anzeigen, die Netzwerkschnittstellen passieren. Um diese abzufragen, wäre es richtig, das standardisierte Fernverwaltungsprotokoll SNMP zu verwenden. Damit können Sie ganz einfach nicht nur die Werte der angegebenen Zähler, sondern auch andere Parameter wie den Namen und die Beschreibung der Schnittstelle, die darin sichtbaren MAC-Adressen und andere nützliche Informationen abrufen. Dies geschieht sowohl über Befehlszeilen-Dienstprogramme (snmpwalk), grafische SNMP-Browser als auch komplexere Netzwerküberwachungsprogramme (rrdtools, cacti, zabbix, whats up gold usw.). Diese Methode hat jedoch zwei wesentliche Nachteile:

Die Blockierung des Datenverkehrs kann nur durch vollständiges Deaktivieren der Schnittstelle unter Verwendung desselben SNMP erfolgen
Über SNMP erfasste Verkehrszähler beziehen sich auf die Summe der Längen von Ethernet-Paketen (getrennt Unicast, Broadcast und Multicast), während die übrigen zuvor beschriebenen Tools Werte relativ zu IP-Paketen angeben. Dies führt zu einer spürbaren Diskrepanz (insbesondere bei kurzen Paketen) aufgrund des Overheads, der durch die Länge des Ethernet-Headers verursacht wird (dies kann jedoch ungefähr bekämpft werden: L3_byte = L2_byte – L2_packets * 38).

VPN

Unabhängig davon lohnt es sich, den Fall des Benutzerzugriffs auf das Netzwerk zu betrachten, indem explizit eine Verbindung zum Zugriffsserver hergestellt wird. Ein klassisches Beispiel ist die gute alte Einwahl, deren Analogon in der modernen Welt VPN-Fernzugriffsdienste (PPTP, PPPoE, L2TP, OpenVPN, IPSEC) sind.

Das Zugriffsgerät leitet nicht nur den IP-Verkehr des Benutzers weiter, sondern fungiert auch als spezialisierter VPN-Server und beendet logische Tunnel (häufig verschlüsselt), in denen der Benutzerverkehr übertragen wird.
Um diesen Datenverkehr zu berücksichtigen, können Sie alle oben beschriebenen Tools verwenden (und sie eignen sich gut für eine detaillierte Analyse nach Ports/Protokollen) sowie zusätzliche Mechanismen, die VPN-Zugriffskontrolltools bereitstellen. Zunächst werden wir über das RADIUS-Protokoll sprechen. Seine Arbeit ist ein ziemlich komplexes Thema. Wir möchten kurz erwähnen, dass die Kontrolle (Autorisierung) des Zugriffs auf den VPN-Server (RADIUS-Client) durch eine spezielle Anwendung (RADIUS-Server) gesteuert wird, die über eine Datenbank (Textdatei, SQL, Active Directory) der zugelassenen Benutzer mit ihren Attributen verfügt (Einschränkungen der Verbindungsgeschwindigkeit, zugewiesene IP-Adressen). Zusätzlich zum Autorisierungsprozess übermittelt der Client regelmäßig Abrechnungsnachrichten an den Server, Informationen über den Status jeder aktuell laufenden VPN-Sitzung, einschließlich Zähler der übertragenen Bytes und Pakete.

Abschluss

Lassen Sie uns alle oben beschriebenen Methoden zum Sammeln von Verkehrsinformationen zusammenführen:

Fassen wir zusammen. In der Praxis gibt es eine Vielzahl von Methoden, um das von Ihnen verwaltete Netzwerk (mit Kunden oder Büroteilnehmern) über eine Reihe von Zugriffstools – Software- und Hardware-Router, Switches, VPN-Server – mit einer externen Netzwerkinfrastruktur zu verbinden. In fast allen Fällen ist es jedoch möglich, ein Schema zu entwickeln, bei dem Informationen über den über das Netzwerk übertragenen Datenverkehr zur Analyse und Verwaltung an ein Software- oder Hardware-Tool gesendet werden können. Es ist auch möglich, dass dieses Tool eine Rückmeldung an das Zugriffsgerät ermöglicht und dabei intelligente Zugriffsbeschränkungsalgorithmen für einzelne Clients, Protokolle und andere Dinge verwendet.
Hier werde ich die Analyse des Materials beenden. Die verbleibenden unbeantworteten Themen sind:

wie und wohin die gesammelten Verkehrsdaten gehen
Verkehrsabrechnungssoftware
Was ist der Unterschied zwischen der Abrechnung und einem einfachen „Zähler“?
Wie können Verkehrsbeschränkungen verhängt werden?
Abrechnung und Einschränkung der besuchten Websites

Tags: Tags hinzufügen

Es gibt viele Programme zur Verfolgung des Datenverkehrs in einem lokalen Netzwerk: sowohl kostenpflichtige als auch kostenlose, die sich in der Funktionalität stark unterscheiden. Eines der beliebtesten Open-Source-Programme ist SAMS. Es läuft auf der Linux-Plattform in Verbindung mit Squid.

SAMS erfordert PHP5, wir werden Ubuntu Server 14.04 verwenden. Wir benötigen Squid-, Apache2- und PHP5-Pakete mit Modulen.

Buchhaltung des Internetverkehrs in einem lokalen Netzwerk Linux

Versuchen wir herauszufinden, wie es funktioniert.

Squid verteilt das Internet und akzeptiert Anfragen auf Port 3128. Gleichzeitig schreibt es ein detailliertes Protokoll access.log. Die gesamte Steuerung erfolgt über die Datei „squid.conf“. Squid verfügt über umfangreiche Funktionen zur Verwaltung des Zugriffs auf das Internet: Beschränkung des Zugriffs nach Adresse, Steuerung der Bandbreite für bestimmte Adressen, Adressgruppen und Netzwerke.

SAMS basiert auf der Analyse von Squid-Proxy-Server-Protokollen. Das lokale Nüberwacht die Statistiken des Proxyservers und trifft gemäß den angegebenen Richtlinien eine Entscheidung, ob der Squid-Client blockiert, entsperrt oder die Geschwindigkeit begrenzt wird.

SAMS installieren

Pakete installieren.

apt-get install apache2 php5 php5-mysql mysql-server php5-gd squid3

Laden Sie SAMS herunter und installieren Sie es

wget https://github.com/inhab-magnus/sams2-deb/archive/master.zip

entpacken Sie master.zip

cd sams2-deb-master/

dpkg -i sams2_2.0.0-1.1_amd64.deb

Installation des Webinterfaces

dpkg -i apache2/sams2-web_2.0.0-1.1_all.deb

Wir nehmen Änderungen an der Datei /etc/sams2.conf vor.

DB_PASSWORD=/MySql-Passwort/

SAMS starten

Dienst Sams2 starten

Squid einrichten

Wir nehmen Änderungen an der Datei /etc/squid3/squid.conf vor

http_port 192.168.0.110:3128
Cacheverzeichnis ufs /var/spool/squid3 2048 16 256

Wir ermöglichen Protokollierung und Protokollrotation mit Speicherung für 31 Tage.

access_log-Daemon:/var/log/squid3/access.log Squid

logfile_rotate 31

Stoppen Sie Squid, erstellen Sie einen Cache.

Service Squid3 stoppen

Dienst Squid3 starten

Für die Reinheit des Experiments konfigurieren wir einen der Browser so, dass er mit dem Proxy 192.168.0.110 über Port 3128 arbeitet. Beim Versuch, eine Verbindung herzustellen, erhalten wir eine Verbindungsverweigerung – Squid hat keine Proxy-Zugriffsrechte konfiguriert.

Erste SAMS-Einrichtung

Öffnen Sie in einem anderen Browser die Adresse (192.168.0.110 – Serveradresse).

http://192.168.0.110/sams2

Er teilt uns mit, dass er keine Verbindung zur Datenbank herstellen kann und bietet an, die Installation durchzuführen.

Wir geben den Datenbankserver (127.0.0.1), Login und Passwort für MySql an.

Die Ersteinrichtung des Verkehrsabrechnungssystems ist abgeschlossen. Es bleibt nur noch die Konfiguration des Programms.

Überwachung des lokalen Netzwerkverkehrs

Melden Sie sich als Administrator am System an (admin/qwerty).

Erwähnenswert ist gleich die Benutzerautorisierung.

Öffnen Sie im Squid-Zweig den Proxyserver und klicken Sie unten auf die Schaltfläche „Proxyserver konfigurieren“.

Das Wichtigste hierbei ist, dass Sie bei Bedarf in den Adressen von Ordnern und Dateien Ihre IP-Adresse angeben, da sonst der Proxyserver nicht startet.

Der Kern aller Änderungen an den SAMS-Einstellungen besteht darin, dass sie in die Datei „squid.conf“ geschrieben werden. Sams2deamon läuft im Hintergrund und überwacht Änderungen an Einstellungen, die eine Eingabe in die Konfigurationsdatei erfordern (Sie können dort auch das Tracking-Intervall festlegen).

Füllen Sie die Felder „Benutzer“ und „IP-Adresse“ aus. Nehmen wir die gleiche IP wie den Benutzernamen (die IP des Computers, nicht die des Servers!). Im Feld „Erlaubter Verkehr“ tragen wir „0“ ein, also ohne Einschränkungen. Alle anderen Felder lassen wir weg.

Für diese IP-Adresse und die Erlaubnis, über Squid zu arbeiten, wird eine neue ACL hinzugefügt. Wenn die Konfiguration nicht automatisch geändert wurde, gehen Sie zum Proxy-Zweig und klicken Sie auf die Schaltfläche „Squid neu konfigurieren“. Änderungen an der Konfiguration werden manuell vorgenommen.

Wir versuchen, jede URL im Browser zu öffnen. Wir prüfen access.log und sehen die vom Proxy verarbeiteten Anfragen. Um den Betrieb von SAMS zu überprüfen, öffnen Sie die Seite „Benutzer“ und klicken Sie unten auf die Schaltfläche „Benutzerverkehr neu berechnen“.

Über die unten stehenden Schaltflächen zur Verwaltung von Statistiken können Sie detaillierte Informationen zu den Statistiken der Seitenbesuche der Nutzer erhalten.

Einfach einzurichten!
Echtzeit-Verbrauchsdiagramme.
Steuern Sie alle Geräte von einem PC aus.
Benachrichtigung bei Überschreitung des Limits.
Unterstützt WMI, SNMPv1/2c/3 und 64-Bit-Zähler.
Bestimmen Sie, wer von wo herunterlädt.
Überprüfen Sie Ihren Anbieter!

„10-Strike: Traffic Accounting“ ist ein einfaches Programm zur Überwachung des Verkehrsverbrauchs Computer, Switches, Server im Netzwerk im Unternehmen und sogar zu Hause (3 Sensoren können in der Testversion auch nach Ablauf der 30-tägigen Testphase kostenlos überwacht werden). Überwachen Sie die Lautstärke eingehend und ausgehend verbrauchter Datenverkehr auf Computern in Ihrem gesamten lokalen Netzwerk, inkl. beim Zugriff auf das Internet.

Das Programm sammelt ständig Statistiken von Netzwerk-Hosts über den ein- und ausgehenden Datenverkehr und zeigt in Echtzeit die Dynamik der Änderungen der Datenübertragungsgeschwindigkeit auf Netzwerkschnittstellen in Form von Grafiken und Tabellen an.

Mit unserem Buchhaltungsprogramm ist das möglich Erkennen Sie skrupellose Benutzer, die viel Internetverkehr verbrauchen in Ihrer Organisation. Verstöße gegen die Arbeitsdisziplin durch Mitarbeiter führen dazu verringerte Arbeitsproduktivität. Eine einfache Analyse des Verkehrsverbrauchs auf den Computern der Mitarbeiter ermöglicht es Ihnen, die aktivsten Netzwerkbenutzer zu identifizieren. Wenn Sie WMI-Sensoren verwenden, müssen Sie nicht einmal etwas auf Netzwerkcomputern installieren, sondern benötigen lediglich ein Administratorkennwort.

Leider ist der Internetverkehr für juristische Personen in unserem Land noch nicht überall günstig. Es kommt häufig vor, dass eine übermäßige Internetaktivität der Benutzer (oftmals unabhängig vom Arbeitsprozess) dazu führt Kostenüberschreitungen Organisationen zahlen für den Anschluss. Durch die Verwendung unseres Programms können Sie verhindern, dass Ihr Unternehmen unerwartet hohe Internetrechnungen erhält. Sie können anpassen Benachrichtigung über den Verbrauch einer bestimmten Menge an Verkehr Computer im Netzwerk über einen bestimmten Zeitraum hinweg.

Sie können Beobachten Sie Geschwindigkeitsdiagramme des ein- und ausgehenden Verkehrs Computer und Netzwerkgeräte in Echtzeit auf dem Bildschirm anzeigen. Kann zeitnah erledigt werden Bestimmen Sie, wer den meisten Verkehr ausgibt und verstopft den Kanal.

Das Programm überwacht ständig den Verkehrsverbrauch auf Netzwerkcomputern und kann Sie werden benachrichtigt, wenn bestimmte Bedingungen erfüllt sind, was Sie fragen können. Wenn beispielsweise die von einem Computer verbrauchte Datenmenge einen bestimmten Wert überschreitet oder die durchschnittliche Informationsübertragungsrate für einen bestimmten Zeitraum über/unter einem Schwellenwert liegt. Wenn die angegebene Bedingung erfüllt ist, wird das Programm werde Bescheid geben Sie auf eine der folgenden Arten:

Anzeigen einer Nachricht auf dem Computerbildschirm;
Tonsignal;
Versenden von E-Mail-Nachrichten;
Schreiben in die Programmprotokolldatei;
Eintrag in das Ereignisprotokoll des Systems.

Darüber hinaus kann das Verkehrsabrechnungsprogramm ausführen bestimmte Aktionen, wenn Bedingungen erfüllt sind: das Programm ausführen, ein VB- oder JS-Skript ausführen, den Dienst neu starten, den Computer neu starten usw.

Wie das Überwachungsprogramm funktioniert sammelt Statistiken zum Verkehrsverbrauch Netzwerkcomputer. Sie können jederzeit herausfinden, wer und wie viel Traffic zu welchem Zeitpunkt verbraucht wurde und welche Datenübertragungsgeschwindigkeiten erreicht wurden. Diagramme zur Download-/Upload-Geschwindigkeit des Traffics sowie Tabellen zum Traffic-Verbrauch können für jeden Zeitraum und jedes Datum erstellt werden.

Auszeichnungen

Im Februar 2015 erhielt die englische Version des Programms eine Auszeichnung – einen Finalisten im Wettbewerb „Network Computing Awards 2015“ des beliebten britischen Magazins „Network Computing“ in der Kategorie „IT-Optimierungsprodukt des Jahres“.

Beim Kauf einer Lizenz erhalten Sie ein Abonnement für kostenlose Programm- und technische Updates. Unterstützung für ein Jahr.

Laden Sie jetzt die kostenlose 30-Tage-Version herunter und probieren Sie es aus! Windows XP/2003/Vista/2008/7/8.1/2012/10/2016 werden unterstützt.

Lesen:

So löschen Sie eine Seite in Odnoklassniki. So löschen Sie eine der Seiten in Odnoklassniki Wem gehört der TNT-Kanal und wie wird der Name des TNT-Kanals entschlüsselt? Programme zur Wiederherstellung von Flash-Laufwerken So überprüfen Sie, ob ein Flash-Laufwerk wiederherstellbar ist So fügen Sie ein weiteres Gesicht in ein Foto ein Automatische Erkennung der Forum-Engine. Alle Boards werden mit SMF betrieben

Lesen: