Средства обработки и анализа сетевого трафика в Unix и Linux
Материал из Nix.zeya.org
Это — незавершённая статья!
Вы можете помочь проекту, дополнив, расширив и закончив её!
Статья содержит краткий обзор средств для анализа и обработки сетевого трафика для построения систем учёта, биллингов, средств распознавания сетевых атак и других вещей.
Содержание |
Утилиты для анализа трафика
Обычно эти средства применяют для низкоуровневой отладки работы сети, протоколов и потоков, проходящих через сетевой интерфейс.
- tcpdump — консольный снифер;
- WireShark — снифер с графическим интерфейсом. Есть возможность сохранять пакеты в виде файлов;
- iptraf — консольный монитор трафика, работающий в реальном времени;
- nmap — сканер портов.
 | Сканеры портов следует использовать с большой осторожностью при тестировании сетевого оборудования в Интернет. Ещё лучше получить официальное разрешение на такие действия от владельца оборудования, поскольку сама процедура сканирования ресурса попадает под действие Уголовного кодекса РФ (и других законов стран). |
Логгирование посредством правил в iptables
Это достаточно узкоспециализированный метод. Суть заключается в настройке набора правил (ловушек) в iptables, по критериям которых формируется событие для регистрации информации о пакете в логах ядра. Далее эти логи обрабатываются внешними программами.
Обработка информации со счётчиков iptables
Метод предназначен больше для подсчёта трафика, проходящего через правила iptables. Сперва создаются наборы правил с условиями регистрации. Затем, периодически, скриптом снимаются значения со счётчиков и передаются либо в хранилище, либо другой программе на обработку. После считывания, счётчики обнуляются и процесс повторяется через какой-то промежуток времени.
ULOG
нет информации
Обработка NetFlow
NetFlow является одним из сетевых протоколов, предназначенных для учёта сетевого трафика на различном сетевом оборудовании. Разработан компанией cisco. Помимо специализированного сетевого оборудования, как например аппаратный коммутатор или маршрутизатор, в качестве сенсоров NetFlow может выступать *nix-машина с одним или несколькими сетевыми интерфейсами и установленным специальным программным обеспечением. Ниже дан небольшой обзор программных средств для работы с NetFlow.
Сенсоры NetFlow
- softflowd — Netflow-сенсор для Linux и FreeBSD
- fprobe — NetFlow-сенсор для Linux, базирующийся на libpcap
- nProbe — Расширяемый NetFlow-сенсор под Linux/FreeBSD и Windows
- ipcad — Netflow-сенсор для FreeBSD, OpenBSD, Linux, MacOS X/Darwin, Solaris
Коллекторы NetFlow
- Argus by Carter Bullard
- CAIDA's Cflowd 2.x by Daniel McRobb (with Cisco's NetFlow v5); см. также [1]
- Caligare Flow Inspector by Caligare (NetFlow Коллектор v1,5,6,7,9)
- ipcad — коллектор, построенный на базе bpf (BSD) и libipq (Linux)
- Flow-tools by Mark Fullmer (with NetFlow v1, v5, v6, or v7)
- flowc by Uninet Ltd. and Taras Shevchenko Kiev University
- lfapd by Steve Premeau (with Riverstone's LFAPv4):
- NetFlower — развивающийся кросплатформенный коллектор. Поддерживает Linux x86, FreeBSD x86, MS Windows (NT, 2000, XP), Solaris x86 и Solaris SPARC64
- nfdump — набор программ для сбора и обработки NetFlow. В комплекте есть простое средство для формирования текстовых отчётов.
Программы визуализации данных NetFlow
Для формирования отчётов и создания графиков, применяются разнообразные средства в сочетании с Perl, RRD и вэб-сервером. Некоторые из программ визуализации:
FlowScan
- FlowScan — средство анализа и создания отчётов (в том числе и в графической форме);
Пример использования:
Или можно посмотреть на этом сайте
CUFlow
- CUFlow — средство анализа и создания отчётов (в том числе и в графической форме). Файлы проекта доступны по этой ссылке ;
 |  |
NfSen
- NfSen — NetFlow Sensor, Web-фронтенд для nfdump
 |  |
Больше примеров можно посмотреть на сайте проекта
NetFlow Tracker
- NetFlow Tracker (проприетарный продукт)
Caligare Flow Inspector
- Caligare Flow Inspector (проприетарный продукт)
Примеры можно посмотреть на сайте проекта.
