برنامه ای برای ردیابی مصرف ترافیک اینترنت توسط اپلیکیشن ها. نظارت بر ترافیک شبکه محلی

بخش های سایت

انتخاب سردبیر:

تبلیغات

خانه - داده ها

05.23.16 45.3K

بسیاری از مدیران شبکه اغلب با مشکلاتی مواجه می شوند که با تجزیه و تحلیل ترافیک شبکه قابل حل است. و در اینجا با چنین مفهومی به عنوان تحلیلگر ترافیک مواجه می شویم. پس چیست؟

تحلیلگرها و کلکتورهای NetFlow ابزارهایی هستند که به شما در نظارت و تجزیه و تحلیل داده های ترافیک شبکه کمک می کنند. تحلیلگرهای فرآیند شبکه به شما این امکان را می دهند که دستگاه هایی را که در حال کاهش توان عملیاتی کانال هستند، به دقت شناسایی کنید. آنها می دانند که چگونه مناطق مشکل را در سیستم شما پیدا کنند و کارایی کلی شبکه را بهبود بخشند.

عبارت " NetFlow" به یک پروتکل سیسکو اشاره دارد که برای جمع آوری اطلاعات ترافیک IP و نظارت بر ترافیک شبکه طراحی شده است. NetFlow به عنوان پروتکل استاندارد برای فن آوری های جریان پذیرفته شده است.

نرم افزار NetFlow داده های جریان تولید شده توسط روترها را جمع آوری و تجزیه و تحلیل می کند و آن را در قالب کاربر پسند ارائه می دهد.

چندین فروشنده تجهیزات شبکه دیگر پروتکل های خود را برای نظارت و جمع آوری داده ها دارند. به عنوان مثال، Juniper، یکی دیگر از فروشندگان بسیار معتبر دستگاه های شبکه، پروتکل خود را " J-Flow". HP و Fortinet از عبارت " استفاده می کنند s-Flow". اگرچه پروتکل ها متفاوت نامیده می شوند، اما همه آنها به روشی مشابه کار می کنند. در این مقاله، 10 تحلیلگر رایگان ترافیک شبکه و کلکتور NetFlow برای ویندوز را بررسی خواهیم کرد.

SolarWinds Real-Time NetFlow Traffic Analyzer

NetFlow Traffic Analyzer یکی از محبوب ترین ابزارهای موجود برای دانلود رایگان است. این قابلیت به شما امکان مرتب‌سازی، برچسب‌گذاری و نمایش داده‌ها را به روش‌های مختلف می‌دهد. این به شما امکان می دهد ترافیک شبکه را به راحتی تجسم و تجزیه و تحلیل کنید. این ابزار برای نظارت بر ترافیک شبکه بر اساس نوع و دوره زمانی عالی است. و همچنین تست هایی را برای تعیین میزان مصرف ترافیک اپلیکیشن های مختلف انجام دهید.

این ابزار رایگان به یک رابط مانیتورینگ NetFlow محدود شده و تنها 60 دقیقه داده را ذخیره می کند. این تحلیلگر Netflow ابزار قدرتمندی است که ارزش استفاده از آن را دارد.

Colasoft Capsa Free

این تحلیلگر ترافیک LAN رایگان بیش از 300 پروتکل شبکه را شناسایی و نظارت می کند و به شما امکان می دهد گزارش های سفارشی ایجاد کنید. این شامل نظارت بر ایمیل و نمودارهای توالی است همگام سازی TCP، همه اینها در یک پانل قابل تنظیم جمع آوری شده است.

از دیگر ویژگی های آن می توان به تحلیل امنیت شبکه اشاره کرد. به عنوان مثال، ردیابی حملات DoS/DDoS، فعالیت کرم ها و تشخیص حمله ARP. و همچنین رمزگشایی بسته ها و نمایش اطلاعات، داده های آماری در مورد هر میزبان در شبکه، کنترل تبادل بسته و بازسازی جریان. Capsa Free از تمامی نسخه های 32 بیتی و 64 بیتی ویندوز XP پشتیبانی می کند.

حداقل سیستم مورد نیاز برای نصب: 2 گیگابایت رم و پردازنده 2.8 گیگاهرتز. همچنین باید یک اتصال اترنت به اینترنت داشته باشید ( مطابق با NDIS 3 یا بالاتر)، اترنت سریع یا گیگابیت با درایور حالت مختلط. این به شما اجازه می دهد تا به طور غیر فعال تمام بسته های ارسال شده از طریق کابل اترنت را ضبط کنید.

اسکنر IP Angry

این یک تحلیلگر ترافیک ویندوز منبع باز است که استفاده از آن سریع و آسان است. نیازی به نصب ندارد و می توان آن را روی لینوکس، ویندوز و مک OSX استفاده کرد. این ابزار به سادگی با پینگ کردن هر آدرس IP کار می‌کند و می‌تواند آدرس‌های MAC، پورت‌ها را اسکن کند، اطلاعات NetBIOS را ارائه دهد، کاربر مجاز در سیستم‌های ویندوز را تعیین کند، سرورهای وب را کشف کند و موارد دیگر. قابلیت های آن با استفاده از افزونه های جاوا گسترش می یابد. داده های اسکن را می توان در فایل های CSV، TXT، XML ذخیره کرد.

ManageEngine NetFlow Analyzer Professional

یک نسخه کاملاً برجسته از نرم افزار NetFlow ManageEngines. این یک نرم افزار قدرتمند با مجموعه ای کامل از توابع برای تجزیه و تحلیل و جمع آوری داده ها است: نظارت بر توان عملیاتی کانال در زمان واقعی و هشدار هنگام رسیدن به مقادیر آستانه، که به شما امکان می دهد فرآیندها را به سرعت مدیریت کنید. علاوه بر این، داده های خلاصه ای را در مورد استفاده از منابع، نظارت بر برنامه ها و پروتکل ها و موارد دیگر ارائه می دهد.

نسخه رایگان تحلیلگر ترافیک لینوکس اجازه استفاده نامحدود از محصول را به مدت 30 روز می دهد و پس از آن فقط می توانید دو رابط را نظارت کنید. سیستم مورد نیاز برای NetFlow Analyzer ManageEngine به نرخ جریان بستگی دارد. الزامات توصیه شده برای حداقل سرعت جریان 0 تا 3000 رشته در ثانیه، پردازنده دو هسته ای 2.4 گیگاهرتز، 2 گیگابایت رم و 250 گیگابایت فضای موجود در هارد دیسک است. با افزایش سرعت جریان مورد نظارت، الزامات نیز افزایش می یابد.

رفیق

این برنامه یک مانیتور شبکه محبوب است که توسط MikroTik توسعه یافته است. به طور خودکار تمام دستگاه ها را اسکن می کند و یک نقشه شبکه را دوباره ایجاد می کند. Dude سرورهای در حال اجرا در دستگاه های مختلف را کنترل می کند و در صورت بروز مشکل به شما هشدار می دهد. قابلیت های دیگر شامل کشف و نمایش خودکار دستگاه های جدید، امکان ایجاد نقشه های سفارشی، دسترسی به ابزارهای مدیریت از راه دور دستگاه و غیره است. این برنامه روی Windows، Linux Wine و MacOS Darwine اجرا می شود.

JDSU Network Analyzer Fast Ethernet

این برنامه تحلیلگر ترافیک به شما امکان می دهد تا داده های شبکه را به سرعت جمع آوری و مشاهده کنید. این ابزار امکان مشاهده کاربران ثبت نام شده، تعیین سطح استفاده از پهنای باند شبکه توسط دستگاه های جداگانه و یافتن و رفع سریع خطاها را فراهم می کند. و همچنین داده ها را در زمان واقعی ضبط کرده و آن ها را تجزیه و تحلیل کنید.

این برنامه از ایجاد نمودارها و جداول بسیار دقیق پشتیبانی می کند که به مدیران اجازه می دهد تا ناهنجاری های ترافیکی را کنترل کنند، داده ها را برای غربال کردن حجم زیادی از داده ها و موارد دیگر فیلتر کنند. این ابزار برای حرفه ای های سطح ابتدایی و همچنین مدیران باتجربه به شما امکان می دهد کنترل کامل شبکه خود را در دست بگیرید.

Plixer Scrutinizer

این تحلیلگر ترافیک شبکه به شما این امکان را می دهد که ترافیک شبکه را جمع آوری و تجزیه و تحلیل کنید و به سرعت خطاها را پیدا و رفع کنید. با Scrutinizer می‌توانید داده‌های خود را به روش‌های مختلفی از جمله بر اساس فاصله زمانی، میزبان، برنامه، پروتکل و موارد دیگر مرتب کنید. نسخه رایگان به شما امکان می دهد تعداد نامحدودی از رابط ها را کنترل کنید و داده ها را برای 24 ساعت فعالیت ذخیره کنید.

Wireshark

Wireshark یک تحلیلگر شبکه قدرتمند است که می تواند بر روی لینوکس، ویندوز، MacOS X، Solaris و سایر سیستم عامل ها اجرا شود. Wireshark به شما امکان می دهد داده های گرفته شده را با استفاده از رابط کاربری گرافیکی مشاهده کنید یا از ابزارهای TShark حالت TTY استفاده کنید. از ویژگی های آن می توان به جمع آوری و تجزیه و تحلیل ترافیک VoIP، نمایش بلادرنگ اترنت، IEEE 802.11، بلوتوث، USB، داده های Frame Relay، XML، PostScript، خروجی داده CSV، پشتیبانی از رمزگشایی و غیره اشاره کرد.

سیستم مورد نیاز: ویندوز XP و بالاتر، هر پردازنده مدرن 64/32 بیتی، 400 مگابایت رم و 300 مگابایت فضای دیسک آزاد. Wireshark NetFlow Analyzer ابزار قدرتمندی است که می تواند کار هر مدیر شبکه را تا حد زیادی ساده کند.

Paessler PRTG

این تحلیلگر ترافیک بسیاری از ویژگی های مفید را در اختیار کاربران قرار می دهد: پشتیبانی از نظارت بر LAN، WAN، VPN، برنامه ها، سرور مجازی، QoS و محیط. نظارت بر چند سایت نیز پشتیبانی می شود. PRTG از SNMP، WMI، NetFlow، SFlow، JFlow و تجزیه و تحلیل بسته، و همچنین نظارت بر زمان/خرابی و پشتیبانی IPv6 استفاده می‌کند.

نسخه رایگان این امکان را به شما می دهد تا از تعداد نامحدودی سنسور به مدت 30 روز استفاده کنید و پس از آن فقط می توانید تا 100 سنسور را به صورت رایگان استفاده کنید.

nپروب

این یک برنامه ردیابی و تجزیه و تحلیل NetFlow متن باز با امکانات کامل است.

nProbe از IPv4 و IPv6، Cisco NetFlow v9 / IPFIX، NetFlow-Lite پشتیبانی می‌کند، شامل توابعی برای تجزیه و تحلیل ترافیک VoIP، نمونه‌برداری از جریان و بسته، تولید گزارش، فعالیت MySQL/Oracle و DNS و موارد دیگر است. اگر تحلیلگر ترافیک را در لینوکس یا ویندوز دانلود و کامپایل کنید، این برنامه رایگان است. فایل اجرایی نصب، اندازه ضبط را به 2000 بسته محدود می کند. nProbe برای موسسات آموزشی و همچنین سازمان های غیرانتفاعی و علمی کاملا رایگان است. این ابزار روی نسخه های 64 بیتی سیستم عامل های لینوکس و ویندوز کار خواهد کرد.

این لیست از 10 تحلیلگر و جمع کننده ترافیک رایگان NetFlow به شما کمک می کند نظارت و عیب یابی یک شبکه اداری کوچک یا یک شبکه بزرگ و چند سایتی شرکتی را شروع کنید.

هر نرم افزار ارائه شده در این مقاله امکان نظارت و تجزیه و تحلیل ترافیک شبکه، تشخیص خرابی های جزئی و شناسایی ناهنجاری های پهنای باند را که ممکن است نشان دهنده تهدیدات امنیتی باشد را ممکن می سازد. و همچنین اطلاعات مربوط به شبکه، ترافیک و موارد دیگر را تجسم کنید. مدیران شبکه باید چنین ابزارهایی را در زرادخانه خود داشته باشند.

این نشریه ترجمه مقاله « 10 بهترین تحلیلگر و کلکتور Netflow رایگان برای ویندوز"، تهیه شده توسط تیم پروژه دوستانه

خوب بد

هر مدیری دیر یا زود دستورالعمل هایی را از مدیریت دریافت می کند: "شمارش کنید که چه کسانی آنلاین می شوند و چقدر دانلود می کنند." برای ارائه دهندگان، با وظایف "اجازه دادن به هر کسی که به آن نیاز دارد، پرداخت پرداخت، محدود کردن دسترسی" تکمیل می شود. چی بشمارم چگونه؟ جایی که؟ اطلاعات پراکنده زیادی وجود دارد، ساختارمند نیست. با ارائه دانش عمومی و لینک های مفید به سخت افزار، ادمین تازه کار را از جستجوهای خسته کننده نجات خواهیم داد.
در این مقاله سعی خواهم کرد اصول سازماندهی جمع آوری، حسابداری و کنترل ترافیک در شبکه را شرح دهم. ما به این مشکل نگاه می کنیم و راه های ممکن برای بازیابی اطلاعات از دستگاه های شبکه را فهرست می کنیم.

این اولین مقاله نظری از مجموعه مقالاتی است که به جمع آوری، حسابداری، مدیریت و صورتحساب ترافیک و منابع فناوری اطلاعات اختصاص دارد.

ساختار دسترسی به اینترنت

به طور کلی، ساختار دسترسی به شبکه به شکل زیر است:

منابع خارجی - اینترنت، با تمام سایت ها، سرورها، آدرس ها و سایر مواردی که به شبکه ای که شما کنترل می کنید تعلق ندارند.
دسترسی به دستگاه - روتر (سخت افزاری یا مبتنی بر رایانه)، سوئیچ، سرور VPN یا متمرکز کننده.
منابع داخلی مجموعه ای از رایانه ها، زیرشبکه ها، مشترکین هستند که عملکرد آنها در شبکه باید در نظر گرفته یا کنترل شود.
سرور مدیریت یا حسابداری دستگاهی است که نرم افزار تخصصی روی آن اجرا می شود. قابلیت ترکیب عملکردی با روتر نرم افزاری.

در این ساختار، ترافیک شبکه از منابع خارجی به منابع داخلی و از طریق دستگاه دسترسی به عقب منتقل می شود. این اطلاعات ترافیک را به سرور مدیریت منتقل می کند. سرور کنترل این اطلاعات را پردازش می کند، آن را در پایگاه داده ذخیره می کند، نمایش می دهد و دستورات مسدودسازی را صادر می کند. با این حال، همه ترکیبات دستگاه های دسترسی (روش ها) و روش های جمع آوری و کنترل سازگار نیستند. گزینه های مختلف در زیر مورد بحث قرار خواهد گرفت.

ترافیک شبکه

ابتدا، باید تعریف کنید که منظور از «ترافیک شبکه» چیست و چه اطلاعات آماری مفیدی را می توان از جریان داده های کاربر استخراج کرد.
پروتکل غالب اینترنت کار همچنان IP نسخه 4 است. پروتکل IP مربوط به لایه 3 مدل OSI (L3) است. اطلاعات (داده‌ها) بین فرستنده و گیرنده در بسته‌هایی بسته‌بندی می‌شوند - دارای یک سرصفحه و یک "بار". هدر تعیین می کند که بسته از کجا می آید و به آن می رسد (آدرس IP فرستنده و گیرنده)، اندازه بسته و نوع بار. بخش عمده ای از ترافیک شبکه شامل بسته هایی با بارهای UDP و TCP است - اینها پروتکل های لایه 4 (L4) هستند. علاوه بر آدرس ها، سربرگ این دو پروتکل حاوی شماره پورت است که نوع سرویس (برنامه) انتقال داده را تعیین می کند.

برای انتقال یک بسته IP از طریق سیم (یا رادیو)، دستگاه‌های شبکه مجبور می‌شوند آن را در یک بسته پروتکل لایه 2 (L2) بپیچند (کپسوله کنند). رایج ترین پروتکل از این نوع اترنت است. انتقال واقعی "به سیم" در سطح 1 اتفاق می افتد. به طور معمول، دستگاه دسترسی (روتر) هدر بسته ها را در سطوح بالاتر از سطح 4 (به استثنای فایروال های هوشمند) تجزیه و تحلیل نمی کند.
اطلاعات مربوط به آدرس‌ها، پورت‌ها، پروتکل‌ها و شمارنده‌های طول از سربرگ‌های L3 و L4 بسته‌های داده، «مواد خام» را تشکیل می‌دهند که در حسابداری و مدیریت ترافیک استفاده می‌شود. مقدار واقعی اطلاعات ارسال شده در قسمت Length هدر IP (از جمله طول خود هدر) یافت می شود. به هر حال، به دلیل تکه تکه شدن بسته ها به دلیل مکانیسم MTU، حجم کل داده های ارسالی همیشه بیشتر از اندازه بار است.

طول کل فیلدهای IP و TCP/UDP بسته که در این زمینه برای ما جالب هستند 2...10٪ از طول کل بسته است. اگر تمام این اطلاعات را دسته به دسته پردازش و ذخیره کنید، منابع کافی وجود نخواهد داشت. خوشبختانه، اکثریت قریب به اتفاق ترافیک از یک سری "مکالمات" بین دستگاه های شبکه خارجی و داخلی تشکیل شده است که "جریان ها" نامیده می شوند. به عنوان مثال، به عنوان بخشی از یک عملیات ارسال ایمیل (پروتکل SMTP)، یک جلسه TCP بین مشتری و سرور باز می شود. با مجموعه ای ثابت از پارامترها مشخص می شود (آدرس IP منبع، پورت TCP منبع، آدرس IP مقصد، پورت TCP مقصد). به جای پردازش و ذخیره اطلاعات بسته به بسته، ذخیره پارامترهای جریان (آدرس ها و پورت ها) و همچنین اطلاعات اضافی - تعداد و مجموع طول بسته های ارسال شده در هر جهت، به صورت اختیاری مدت زمان جلسه، رابط روتر بسیار راحت تر است. ایندکس ها، مقدار فیلد ToS و غیره این رویکرد برای پروتکل های اتصال گرا (TCP) سودمند است، جایی که امکان رهگیری صریح پایان یک جلسه وجود دارد. با این حال، حتی برای پروتکل‌های غیر جلسه‌محور، می‌توان تجمیع و تکمیل منطقی یک رکورد جریان را بر اساس مثلاً یک بازه زمانی انجام داد. در زیر گزیده ای از پایگاه داده SQL سیستم صورتحساب خودمان آمده است که اطلاعات مربوط به جریان ترافیک را ثبت می کند:

لازم است به این مورد توجه شود که دستگاه دسترسی ترجمه آدرس (NAT، maskarading) را برای سازماندهی دسترسی به اینترنت برای رایانه های شبکه محلی با استفاده از یک آدرس IP عمومی خارجی انجام می دهد. در این مورد، یک مکانیسم ویژه جایگزین آدرس‌های IP و پورت‌های TCP/UDP بسته‌های ترافیکی می‌شود و آدرس‌های داخلی (غیرقابل مسیریابی در اینترنت) را مطابق جدول ترجمه پویا جایگزین می‌کند. در این پیکربندی، لازم به یادآوری است که برای ثبت صحیح داده ها در میزبان های شبکه داخلی، آمار باید به گونه ای جمع آوری شود و در جایی که نتیجه ترجمه هنوز آدرس های داخلی را "ناشناس" نمی کند.

روش های جمع آوری اطلاعات ترافیک/آمار

می‌توانید اطلاعات مربوط به عبور ترافیک را مستقیماً در خود دستگاه دسترسی (روتر رایانه شخصی، سرور VPN)، انتقال آن از این دستگاه به سرور جداگانه (NetFlow، SNMP)، یا «از سیم» (ضربه بزنید، SPAN) دریافت و پردازش کنید. بیایید همه گزینه ها را به ترتیب بررسی کنیم.

روتر کامپیوتر

بیایید ساده ترین مورد را در نظر بگیریم - یک دستگاه دسترسی (روتر) مبتنی بر رایانه شخصی که لینوکس را اجرا می کند.

نحوه راه اندازی چنین سرور، ترجمه آدرس و مسیریابی، بسیار نوشته شده است. ما به مرحله منطقی بعدی علاقه مندیم - اطلاعاتی در مورد نحوه به دست آوردن اطلاعات در مورد ترافیک عبوری از چنین سروری. سه روش متداول وجود دارد:

رهگیری (کپی) بسته های عبوری از کارت شبکه سرور با استفاده از کتابخانه libpcap
رهگیری بسته هایی که از فایروال داخلی عبور می کنند
استفاده از ابزارهای شخص ثالث برای تبدیل آمار بسته به بسته (به دست آمده توسط یکی از دو روش قبلی) به یک جریان اطلاعات جمع‌آوری شده شبکه

Libpcap

در حالت اول، یک کپی از بسته عبوری از اینترفیس، پس از عبور از فیلتر (man pcap-filter)، می تواند توسط یک برنامه کلاینت بر روی سرور که با استفاده از این کتابخانه نوشته شده است، درخواست کند. بسته با هدر لایه 2 (اترنت) وارد می شود. می توان طول اطلاعات گرفته شده را محدود کرد (اگر فقط به اطلاعات هدر آن علاقه مند باشیم). نمونه هایی از این برنامه ها tcpdump و Wireshark هستند. پیاده سازی libpcap برای ویندوز وجود دارد. اگر ترجمه آدرس در روتر رایانه شخصی استفاده شود، چنین رهگیری فقط می تواند در رابط داخلی آن که به کاربران محلی متصل است انجام شود. در رابط خارجی، پس از ترجمه، بسته های IP حاوی اطلاعاتی در مورد میزبان های داخلی شبکه نیستند. با این حال، با این روش نمی توان ترافیک ایجاد شده توسط خود سرور در اینترنت را در نظر گرفت (که در صورت اجرای یک سرویس وب یا ایمیل مهم است).

libpcap به پشتیبانی از سیستم عامل نیاز دارد که در حال حاضر نصب یک کتابخانه واحد است. در این مورد، برنامه کاربردی (کاربر) که بسته ها را جمع آوری می کند باید:

رابط مورد نیاز را باز کنید
فیلتری را که بسته های دریافتی از آن عبور می کند، اندازه قسمت ضبط شده (snaplen)، اندازه بافر،
پارامتر promisc را تنظیم کنید، که رابط شبکه را در حالت ضبط برای همه بسته‌های عبوری قرار می‌دهد، و نه فقط آنهایی که به آدرس MAC این رابط آدرس داده می‌شوند.
یک تابع (بازخوانی) فراخوانی شده روی هر بسته دریافتی تنظیم کنید.

هنگامی که یک بسته از طریق رابط انتخاب شده ارسال می شود، پس از عبور از فیلتر، این تابع یک بافر حاوی اترنت، (VLAN)، IP و غیره دریافت می کند. هدرها، اندازه کل تا snaplen. از آنجایی که کتابخانه libcap بسته ها را کپی می کند، نمی توان از آن برای مسدود کردن عبور آنها استفاده کرد. در این مورد، برنامه جمع‌آوری و پردازش ترافیک باید از روش‌های جایگزین استفاده کند، مانند فراخوانی یک اسکریپت برای قرار دادن یک آدرس IP معین در قانون مسدود کردن ترافیک.

دیواره آتش

گرفتن داده های عبوری از فایروال به شما این امکان را می دهد که هم ترافیک خود سرور و هم ترافیک کاربران شبکه را در نظر بگیرید، حتی زمانی که ترجمه آدرس در حال اجرا است. نکته اصلی در این مورد این است که قانون ضبط را به درستی تدوین کنید و آن را در جای مناسب قرار دهید. این قانون انتقال بسته را به سمت کتابخانه سیستم فعال می کند، جایی که برنامه حسابداری و مدیریت ترافیک می تواند آن را دریافت کند. برای سیستم عامل لینوکس، iptables به عنوان فایروال استفاده می شود و ابزارهای رهگیری عبارتند از ipq، netfliter_queue یا ulog. برای OC FreeBSD – ipfw با قوانینی مانند سه راهی یا divert. در هر صورت، مکانیسم فایروال با توانایی کار با یک برنامه کاربر به روش زیر تکمیل می شود:

یک برنامه کاربر - یک کنترل کننده ترافیک - با استفاده از یک تماس سیستمی یا یک کتابخانه، خود را در سیستم ثبت می کند.
یک برنامه کاربر یا اسکریپت خارجی یک قانون را در فایروال نصب می کند و ترافیک انتخاب شده (طبق قانون) را در داخل کنترلر «پیچ می کند».
برای هر بسته عبوری، کنترل کننده محتویات آن را به شکل یک بافر حافظه (با هدر IP و غیره) دریافت می کند. در غیر این صورت، امکان ارسال بسته اصلاح شده به هسته وجود دارد.

از آنجایی که بسته IP کپی نمی شود، بلکه برای تجزیه و تحلیل به نرم افزار ارسال می شود، امکان "خروج" آن وجود دارد و بنابراین، ترافیک یک نوع خاص (به عنوان مثال، برای یک مشترک شبکه محلی انتخاب شده) به طور کامل یا جزئی محدود می شود. با این حال، اگر برنامه کاربردی در مورد تصمیم خود به هسته پاسخ ندهد (به عنوان مثال آویزان شد)، ترافیک از طریق سرور به سادگی مسدود می شود.
لازم به ذکر است که مکانیسم های توصیف شده با حجم قابل توجهی از ترافیک ارسالی، بار بیش از حد بر روی سرور ایجاد می کند که با کپی مداوم داده ها از هسته به برنامه کاربر همراه است. روش جمع آوری آمار در سطح هسته سیستم عامل با خروجی آمار تجمیع شده به برنامه کاربردی از طریق پروتکل NetFlow این اشکال را ندارد.

جریان شبکه

این پروتکل توسط Cisco Systems برای صادرات اطلاعات ترافیک از روترها به منظور حسابداری و تحلیل ترافیک ایجاد شده است. محبوب ترین نسخه 5 در حال حاضر جریانی از داده های ساختاریافته را در قالب بسته های UDP حاوی اطلاعات مربوط به ترافیک گذشته در قالب به اصطلاح رکوردهای جریان در اختیار گیرنده قرار می دهد:

مقدار اطلاعات در مورد ترافیک چندین مرتبه کوچکتر از خود ترافیک است که به ویژه در شبکه های بزرگ و پراکنده اهمیت دارد. البته مسدود کردن انتقال اطلاعات هنگام جمع‌آوری آمار از طریق netflow غیرممکن است (مگر اینکه از مکانیسم‌های اضافی استفاده شود).
در حال حاضر، توسعه بیشتر این پروتکل در حال محبوب شدن است - نسخه 9، بر اساس ساختار رکورد جریان الگو، پیاده سازی برای دستگاه های تولید کنندگان دیگر (sFlow). اخیراً استاندارد IPFIX به تصویب رسیده است که امکان انتقال آمار از طریق پروتکل‌ها در سطوح عمیق‌تر (مثلاً بر اساس نوع برنامه) را فراهم می‌کند.
پیاده‌سازی منابع جریان شبکه (عامل‌ها، پروب‌ها) برای روترهای رایانه شخصی در دسترس است، هم به شکل ابزارهایی که طبق مکانیسم‌های شرح داده شده در بالا کار می‌کنند (flowprobe، softflowd)، و هم به‌طور مستقیم در هسته سیستم عامل (FreeBSD: ng_netgraph، Linux:) . برای روترهای نرم افزاری، جریان آمار netflow را می توان به صورت محلی در خود روتر دریافت و پردازش کرد، یا از طریق شبکه (پروتکل انتقال - از طریق UDP) به دستگاه دریافت کننده (گردآورنده) ارسال کرد.

برنامه جمع‌آوری می‌تواند اطلاعات را از منابع زیادی به طور همزمان جمع‌آوری کند و قادر باشد ترافیک آنها را حتی با فضاهای آدرسی متداخل تشخیص دهد. با استفاده از ابزارهای اضافی مانند nprobe، امکان جمع آوری داده های اضافی، تقسیم جریان یا تبدیل پروتکل نیز وجود دارد که در مدیریت یک شبکه بزرگ و توزیع شده با ده ها روتر مهم است.

توابع صادرات Netflow از روترهای Cisco Systems، Mikrotik و برخی دیگر پشتیبانی می کنند. عملکرد مشابه (با سایر پروتکل های صادراتی) توسط تمام تولید کنندگان تجهیزات شبکه پشتیبانی می شود.

Libpcap "خارج"

بیایید کار را کمی پیچیده کنیم. اگر دستگاه دسترسی شما یک روتر سخت افزاری از سازنده دیگری باشد چه؟ به عنوان مثال، D-Link، ASUS، Trendnet و غیره. به احتمال زیاد نصب نرم افزار جمع آوری اطلاعات اضافی روی آن غیرممکن است. از طرف دیگر، شما یک دستگاه دسترسی هوشمند دارید، اما پیکربندی آن ممکن نیست (شما حقوق ندارید، یا توسط ارائه دهنده شما کنترل می شود). در این حالت، می‌توانید با استفاده از ابزارهای کپی بسته «سخت‌افزاری» اطلاعات مربوط به ترافیک را مستقیماً در نقطه‌ای که دستگاه دسترسی با شبکه داخلی ملاقات می‌کند، جمع‌آوری کنید. در این صورت قطعا برای دریافت کپی بسته های اترنت به یک سرور مجزا با کارت شبکه اختصاصی نیاز خواهید داشت.
سرور باید از مکانیسم جمع‌آوری بسته‌ها با استفاده از روش libpcap که در بالا توضیح داده شد استفاده کند، و وظیفه ما این است که یک جریان داده مشابه جریانی که از سرور دسترسی می‌آید به ورودی کارت شبکه اختصاص داده شده برای این منظور ارسال کنیم. برای این شما می توانید استفاده کنید:

اترنت - هاب: دستگاهی که به سادگی بسته ها را بین تمام پورت های خود به صورت بی رویه ارسال می کند. در واقعیت های مدرن، می توان آن را در جایی در یک انبار گرد و غبار یافت، و استفاده از این روش توصیه نمی شود: غیر قابل اعتماد، سرعت کم (هیچ هابی با سرعت 1 گیگابیت بر ثانیه وجود ندارد)
اترنت - یک سوئیچ با قابلیت انعکاس (Mirroring، پورت‌های SPAN. سوئیچ‌های هوشمند مدرن (و گران‌قیمت) به شما این امکان را می‌دهند که تمام ترافیک (ورودی، خروجی، هر دو) یک رابط فیزیکی دیگر، VLAN، از جمله راه دور (RSPAN) را در یک قسمت مشخص کپی کنید. بندر
تقسیم‌کننده سخت‌افزار، که ممکن است برای جمع‌آوری نیاز به نصب دو کارت شبکه به جای یک کارت داشته باشد - و این علاوه بر کارت اصلی، سیستمی است.

به طور طبیعی، اگر اجازه می دهد - Cisco Catalyst 6500، Cisco ASA، می توانید یک پورت SPAN را روی خود دستگاه دسترسی (روتر) پیکربندی کنید. در اینجا نمونه ای از چنین پیکربندی برای سوئیچ سیسکو آورده شده است:
مانیتور جلسه 1 منبع vlan 100 ! بسته ها را از کجا تهیه کنیم؟
مانیتور جلسه 1 رابط مقصد Gi6/3! کجا بسته ها را صادر کنیم؟

SNMP

اگر ما یک روتر تحت کنترل خود نداشته باشیم، نمی خواهیم با netflow تماس بگیریم، ما به جزئیات ترافیک کاربران خود علاقه ای نداریم، چه می شود. آنها به سادگی از طریق یک سوئیچ مدیریت شده به شبکه متصل می شوند و ما فقط باید میزان ترافیکی که به هر یک از پورت های آن می رود را به طور تقریبی تخمین بزنیم. همانطور که می دانید دستگاه های شبکه با کنترل از راه دور پشتیبانی می کنند و می توانند شمارنده بسته ها (بایت) عبوری از رابط های شبکه را نمایش دهند. برای نظرسنجی از آنها، استفاده از پروتکل استاندارد مدیریت از راه دور SNMP صحیح است. با استفاده از آن، می توانید به راحتی نه تنها مقادیر شمارنده های مشخص شده، بلکه سایر پارامترها، مانند نام و توضیحات رابط، آدرس های MAC قابل مشاهده از طریق آن و سایر اطلاعات مفید را نیز بدست آورید. این کار هم توسط ابزارهای خط فرمان (snmpwalk)، مرورگرهای گرافیکی SNMP و برنامه های نظارتی شبکه پیچیده تر (rrdtools، cacti، zabbix، whats up gold و غیره) انجام می شود. با این حال، این روش دو عیب قابل توجه دارد:

مسدود کردن ترافیک فقط با غیرفعال کردن کامل رابط و با استفاده از همان SNMP انجام می شود
شمارنده های ترافیک گرفته شده از طریق SNMP به مجموع طول بسته های اترنت (یکپارچه، پخش و چندپخشی به طور جداگانه) اشاره دارند، در حالی که بقیه ابزارهایی که قبلا توضیح داده شد مقادیر مربوط به بسته های IP را ارائه می دهند. این یک اختلاف قابل توجه (به ویژه در بسته های کوتاه) به دلیل سربار ناشی از طول هدر اترنت ایجاد می کند (با این حال، می توان تقریباً با آن مقابله کرد: L3_byte = L2_byte - L2_packets * 38).

VPN

به طور جداگانه، شایان ذکر است که مورد دسترسی کاربر به شبکه با برقراری صریح اتصال به سرور دسترسی مورد توجه قرار گیرد. یک مثال کلاسیک، شماره گیری قدیمی خوب است، که مشابه آن در دنیای مدرن خدمات دسترسی از راه دور VPN (PPTP، PPPoE، L2TP، OpenVPN، IPSEC) است.

دستگاه دسترسی نه تنها ترافیک IP کاربر را هدایت می کند، بلکه به عنوان یک سرور VPN تخصصی عمل می کند و تونل های منطقی (اغلب رمزگذاری شده) را که در آن ترافیک کاربر منتقل می شود خاتمه می دهد.
برای محاسبه چنین ترافیکی، می‌توانید از تمام ابزارهایی که در بالا توضیح داده شد (و برای تحلیل عمیق توسط پورت‌ها/پروتکل‌ها مناسب هستند) و همچنین مکانیسم‌های اضافی که ابزارهای کنترل دسترسی VPN را فراهم می‌کنند، استفاده کنید. ابتدا در مورد پروتکل RADIUS صحبت خواهیم کرد. کار او موضوعی نسبتاً پیچیده است. به اختصار اشاره می کنیم که کنترل (مجوز) دسترسی به سرور VPN (کلاینت RADIUS) توسط یک برنامه ویژه (سرور RADIUS) کنترل می شود که دارای پایگاه داده (فایل متنی، SQL، Active Directory) از کاربران مجاز با ویژگی های آنها است. (محدودیت در سرعت اتصال، آدرس های IP اختصاص داده شده). علاوه بر فرآیند مجوز، مشتری به طور دوره ای پیام های حسابداری را به سرور ارسال می کند، اطلاعاتی در مورد وضعیت هر جلسه VPN در حال اجرا، از جمله شمارنده بایت ها و بسته های ارسال شده.

نتیجه

بیایید تمام روش‌های جمع‌آوری اطلاعات ترافیکی که در بالا توضیح داده شد را با هم بیاوریم:

بیایید خلاصه کنیم. در عمل، تعداد زیادی روش برای اتصال شبکه ای که مدیریت می کنید (با مشتریان یا مشترکین اداری) به زیرساخت شبکه خارجی، با استفاده از تعدادی ابزار دسترسی - روترهای نرم افزاری و سخت افزاری، سوئیچ ها، سرورهای VPN، وجود دارد. با این حال، تقریباً در هر صورت، می توان طرحی را ارائه کرد که در آن اطلاعات مربوط به ترافیک منتقل شده از طریق شبکه می تواند به یک نرم افزار یا ابزار سخت افزاری برای تجزیه و تحلیل و مدیریت آن ارسال شود. همچنین ممکن است این ابزار با استفاده از الگوریتم‌های محدودیت دسترسی هوشمند برای مشتریان، پروتکل‌ها و موارد دیگر، امکان بازخورد به دستگاه دسترسی را فراهم کند.
اینجاست که تجزیه و تحلیل مواد را به پایان خواهم رساند. موضوعات بی پاسخ باقی مانده عبارتند از:

داده های ترافیکی جمع آوری شده چگونه و به کجا می روند
نرم افزار حسابداری ترافیک
تفاوت بین صورتحساب و یک "پیشخوان" ساده چیست؟
چگونه می توانید محدودیت های ترافیکی اعمال کنید؟
حسابداری و محدودیت وب سایت های بازدید شده

برچسب ها: اضافه کردن برچسب

برنامه های زیادی برای ردیابی ترافیک در یک شبکه محلی وجود دارد: هم پولی و هم رایگان که از نظر عملکرد بسیار متفاوت است. یکی از محبوب ترین برنامه های منبع باز SAMS است. این برنامه در پلتفرم لینوکس همراه با Squid اجرا می شود.

SAMS به PHP5 نیاز دارد، ما از سرور اوبونتو 14.04 استفاده خواهیم کرد. ما به بسته‌های Squid، Apache2، PHP5 با ماژول‌ها نیاز داریم.

حسابداری ترافیک اینترنت در یک شبکه محلی لینوکس

بیایید سعی کنیم بفهمیم که چگونه کار می کند.

Squid اینترنت را توزیع می‌کند و درخواست‌های پورت 3128 را می‌پذیرد. در همان زمان، یک log جزئیات access.log می‌نویسد. تمام کنترل ها از طریق فایل squid.conf انجام می شود. Squid دارای قابلیت‌های گسترده‌ای برای مدیریت دسترسی به اینترنت است: محدود کردن دسترسی بر اساس آدرس، کنترل پهنای باند برای آدرس‌های خاص، گروه‌هایی از آدرس‌ها و شبکه‌ها.

SAMS بر اساس تجزیه و تحلیل گزارش های سرور پروکسی Squid کار می کند. سیستم حسابداری ترافیک شبکه محلی آمار سرور پروکسی را رصد می کند و مطابق با خط مشی های مشخص شده، تصمیم به مسدود کردن، رفع انسداد یا محدود کردن سرعت برای کلاینت Squid می گیرد.

نصب SAMS

نصب پکیج ها

apt-get نصب apache2 php5 php5-mysql mysql-server php5-gd squid3

SAMS را دانلود و نصب کنید

wget https://github.com/inhab-magnus/sams2-deb/archive/master.zip

از حالت فشرده خارج کنید master.zip

سی دی sams2-deb-master/

dpkg -i sams2_2.0.0-1.1_amd64.deb

نصب رابط وب

dpkg -i apache2/sams2-web_2.0.0-1.1_all.deb

ما در فایل /etc/sams2.conf تغییراتی ایجاد می کنیم.

DB_PASSWORD=/رمز عبور MySql/

راه اندازی SAMS

شروع سرویس sams2

راه اندازی Squid

ما در فایل /etc/squid3/squid.conf تغییراتی ایجاد می کنیم

http_port 192.168.0.110:3128
cache_dir ufs /var/spool/squid3 2048 16 256

ما ورود به سیستم و چرخش گزارش را با ذخیره سازی به مدت 31 روز فعال می کنیم.

Access_log daemon:/var/log/squid3/access.log squid

logfile_rotate 31

Squid را متوقف کنید، یک کش ایجاد کنید.

سرویس Squid3 stop

سرویس squid3 start

برای خلوص آزمایش، یکی از مرورگرها را برای کار با پروکسی 192.168.0.110 از طریق پورت 3128 پیکربندی می کنیم. پس از تلاش برای اتصال، یک رد اتصال دریافت می کنیم - Squid حقوق دسترسی به پروکسی را پیکربندی نکرده است.

راه اندازی اولیه SAMS

در مرورگر دیگری آدرس (192.168.0.110 – آدرس سرور) را باز کنید.

http://192.168.0.110/sams2

او به ما می‌گوید که نمی‌تواند به پایگاه داده متصل شود و پیشنهاد می‌کند نصب را انجام دهد.

سرور پایگاه داده (127.0.0.1)، لاگین و رمز عبور MySql را مشخص می کنیم.

راه اندازی اولیه سیستم حسابداری ترافیک تکمیل شده است. تنها چیزی که باقی می ماند پیکربندی برنامه است.

نظارت بر ترافیک شبکه محلی

به عنوان مدیر (admin/qwerty) وارد سیستم شوید.

شایان ذکر است بلافاصله در مورد مجوز کاربر.

در شاخه Squid، سرور پراکسی را باز کنید و روی دکمه "Configure proxy server" در پایین کلیک کنید.

مهمترین چیز در اینجا این است که آدرس IP خود را در آدرس های پوشه ها و فایل ها در صورت لزوم نشان دهید، در غیر این صورت سرور پراکسی راه اندازی نمی شود.

ماهیت تمام تغییرات در تنظیمات SAMS این است که آنها در squid.conf نوشته می شوند. Sams2deamon در پس‌زمینه اجرا می‌شود، که تغییرات تنظیماتی را که نیاز به ورود به فایل پیکربندی دارند، نظارت می‌کند (همچنین می‌توانید فاصله ردیابی را در آنجا تنظیم کنید).

فیلدهای «کاربر» و «آدرس IP» را پر کنید. بیایید همان IP نام کاربری را بگیریم (IP کامپیوتر، نه سرور!). در قسمت "ترافیک مجاز" "0" را وارد می کنیم، یعنی بدون محدودیت. ما همه زمینه های دیگر را حذف می کنیم.

یک acl جدید برای این آدرس IP و اجازه کار از طریق Squid اضافه خواهد شد. اگر پیکربندی به طور خودکار تغییر نکرده است، به شاخه پروکسی بروید و روی دکمه "Reconfigure Squid" کلیک کنید. تغییرات در تنظیمات به صورت دستی انجام می شود.

ما سعی می کنیم هر URL را در مرورگر باز کنیم. ما access.log را بررسی می کنیم و درخواست های پردازش شده توسط پروکسی را می بینیم. برای بررسی عملکرد SAMS، صفحه «کاربران» را باز کنید و روی دکمه «محاسبه مجدد ترافیک کاربر» در پایین کلیک کنید.

با استفاده از دکمه های زیر برای مدیریت آمار می توانید اطلاعات دقیقی از آمار بازدید کاربران از صفحات به دست آورید.

راه اندازی آسان!
نمودار مصرف بلادرنگ
همه دستگاه ها را از یک کامپیوتر کنترل کنید.
اعلان در صورت تجاوز از حد مجاز
از شمارنده های WMI، SNMPv1/2c/3 و 64 بیتی پشتیبانی می کند.
مشخص کنید چه کسی و از کجا دانلود می کند.
ارائه دهنده خود را بررسی کنید!

"10-Strike: Traffic Accounting" یک برنامه ساده برای نظارت بر مصرف ترافیک است کامپیوترها، سوئیچ ها، سرورها در شبکهدر شرکت و حتی در خانه (3 سنسور را می توان به صورت رایگان در نسخه آزمایشی حتی پس از اتمام دوره آزمایشی 30 روزه کنترل کرد). نظارت بر حجم ها ورودی و خروجیترافیک مصرف شده در رایانه ها در سراسر شبکه محلی شما، از جمله. هنگام دسترسی به اینترنت

این برنامه به طور مداوم آماری را از میزبان های شبکه در مورد ترافیک ورودی و خروجی جمع آوری می کند و پویایی تغییرات سرعت انتقال داده در رابط های شبکه را به صورت نمودار و جداول به صورت بلادرنگ نمایش می دهد.

با برنامه حسابداری ما می توانید شناسایی کاربران بی پروا که ترافیک اینترنت زیادی مصرف می کننددر سازمان شما نقض انضباط کار توسط کارکنان منجر به کاهش بهره وری نیروی کار. یک تجزیه و تحلیل ساده از مصرف ترافیک در رایانه های کارمند به شما امکان می دهد فعال ترین کاربران شبکه را شناسایی کنید. هنگام استفاده از حسگرهای WMI، حتی نیازی به نصب چیزی روی رایانه های شبکه ندارید، فقط به رمز عبور مدیر نیاز دارید.

متاسفانه در کشور ما هنوز ترافیک اینترنت برای اشخاص حقوقی در همه جا ارزان نیست. اغلب اتفاق می افتد که فعالیت بیش از حد کاربران در اینترنت (اغلب بی ارتباط با فرآیند کار) منجر به بیش از حد هزینهسازمان ها برای اتصال پرداخت کنند. استفاده از برنامه ما به شما کمک می‌کند تا از دریافت صورت‌حساب‌های غیرمنتظره اینترنتی بالای کسب‌وکارتان جلوگیری کنید. می توانید سفارشی کنید اطلاعیه مصرف مقدار معینی از ترافیککامپیوترهای روی شبکه در یک دوره زمانی

تو می توانی نمودارهای سرعت ترافیک ورودی و خروجی را مشاهده کنیدرایانه ها و دستگاه های شبکه بر روی صفحه نمایش در زمان واقعی. می توان به سرعت انجام داد تعیین کنید چه کسی بیشترین ترافیک را خرج می کندو کانال را مسدود می کند.

این برنامه به طور مداوم مصرف ترافیک را در رایانه های شبکه کنترل می کند و می تواند در صورت برآورده شدن شرایط خاص به شما اطلاع دهد، که می توانید بپرسید. به عنوان مثال، اگر میزان ترافیک مصرف شده توسط هر رایانه از مقدار مشخصی بیشتر شود، یا میانگین نرخ انتقال اطلاعات برای یک دوره معین بالاتر/زیر یک مقدار آستانه باشد. هنگامی که شرایط مشخص شده برآورده شد، برنامه اطلاع خواهد دادشما به یکی از روش های زیر:

نمایش یک پیام بر روی صفحه نمایش کامپیوتر؛
سیگنال صوتی؛
ارسال پیام های ایمیل؛
نوشتن در فایل لاگ برنامه؛
ورود به گزارش رویداد سیستم

علاوه بر این، برنامه حسابداری ترافیک می تواند اجرا کردناقدامات خاصی در صورت برآورده شدن شرایط: اجرای برنامه، اجرای یک اسکریپت VB یا JS، راه اندازی مجدد سرویس، راه اندازی مجدد کامپیوتر و غیره.

همانطور که برنامه نظارت کار می کند آمار مصرف ترافیک را جمع آوری می کندکامپیوترهای شبکه شما می توانید در هر زمان متوجه شوید که چه کسی و چه میزان ترافیک در هر زمان معین مصرف شده است و چه سرعت هایی برای انتقال داده به دست آمده است. نمودارهای سرعت دانلود/آپلود ترافیک و همچنین جداول مصرف ترافیک را می توان برای هر دوره زمانی یا تاریخی ساخت.

جوایز

در فوریه 2015، نسخه انگلیسی این برنامه جایزه را به دست آورد - فینالیست مسابقه "جوایز محاسبات شبکه 2015" مجله محبوب بریتانیایی "محاسبات شبکه" در رده "محصول سال بهینه سازی فناوری اطلاعات".

هنگام خرید مجوز، اشتراک برنامه رایگان و به روز رسانی های فنی را دریافت خواهید کرد. پشتیبانی به مدت یک سال

نسخه 30 روزه رایگان را اکنون دانلود کنید و آن را امتحان کنید! ویندوز XP/2003/Vista/2008/7/8.1/2012/10/2016 پشتیبانی می شود.

خواندن:

نحوه حذف یک صفحه در Odnoklassniki نحوه حذف یکی از صفحات در Odnoklassniki چه کسی مالک و چگونه کانال TNT رمزگشایی می شود نام کانال TNT برنامه های بازیابی درایو فلش چگونه بررسی کنیم که آیا فلش درایو قابل بازیابی است یا خیر نحوه قرار دادن چهره دیگری در عکس تشخیص خودکار موتور انجمن همه برد توسط smf

خواندن: