Статья содержит краткий обзор средств для анализа и обработки сетевого трафика для построения систем учёта, биллингов, средств распознавания сетевых атак и других вещей.

Утилиты для анализа трафика

Обычно эти средства применяют для низкоуровневой отладки работы сети, протоколов и потоков, проходящих через сетевой интерфейс.

  • tcpdump - консольный снифер;
  • WireShark - снифер с графическим интерфейсом. Есть возможность сохранять пакеты в виде файлов;
  • iptraf - консольный монитор трафика, работающий в реальном времени;
  • nmap - сканер портов.

Сканеры портов следует использовать с большой осторожностью при тестировании сетевого оборудования в Интернет. Ещё лучше получить официальное разрешение на такие действия от владельца оборудования, поскольку сама процедура сканирования ресурса попадает под действие Уголовного кодекса РФ (и других законов стран).

Логгирование посредством правил в iptables

Это достаточно узкоспециализированный метод. Суть заключается в настройке набора правил (ловушек) в iptables, по критериям которых формируется событие для регистрации информации о пакете в логах ядра. Далее эти логи обрабатываются внешними программами.

Обработка информации со счётчиков iptables

Метод предназначен больше для подсчёта трафика, проходящего через правила iptables. Сперва создаются наборы правил с условиями регистрации. Затем, периодически, скриптом снимаются значения со счётчиков и передаются либо в хранилище, либо другой программе на обработку. После считывания, счётчики обнуляются и процесс повторяется через какой-то промежуток времени.

ULOG

нет информации

Обработка NetFlow

NetFlow является одним из сетевых протоколов, предназначенных для учёта сетевого трафика на различном сетевом оборудовании. Разработан компанией cisco. Помимо специализированного сетевого оборудования, как например аппаратный коммутатор или маршрутизатор, в качестве сенсоров NetFlow может выступать *nix-машина с одним или несколькими сетевыми интерфейсами и установленным специальным программным обеспечением. Ниже дан небольшой обзор программных средств для работы с NetFlow.

Сенсоры NetFlow

  • softflowd - Netflow-сенсор для Linux и FreeBSD
  • fprobe - NetFlow-сенсор для Linux, базирующийся на libpcap
  • nProbe - Расширяемый NetFlow-сенсор под Linux/FreeBSD и Windows
  • ipcad - Netflow-сенсор для FreeBSD, OpenBSD, Linux, MacOS X/Darwin, Solaris

Коллекторы NetFlow

  • Argus by Carter Bullard
  • CAIDA's Cflowd 2.x by Daniel McRobb (with Cisco's NetFlow v5); см. также http://net.doit.wisc.edu/~plonka/cflowd/
  • Caligare Flow Inspector by Caligare (NetFlow Коллектор v1,5,6,7,9)
  • ipcad - коллектор, построенный на базе bpf (BSD) и libipq (Linux)
  • Flow-tools by Mark Fullmer (with NetFlow v1, v5, v6, or v7)
  • flowc by Uninet Ltd. and Taras Shevchenko Kiev University
  • lfapd by Steve Premeau (with Riverstone's LFAPv4):
  • NetFlower - развивающийся кросплатформенный коллектор. Поддерживает Linux x86, FreeBSD x86, MS Windows (NT, 2000, XP), Solaris x86 и Solaris SPARC64
  • nfdump - набор программ для сбора и обработки NetFlow. В комплекте есть простое средство для формирования текстовых отчётов.

Программы визуализации данных NetFlow

Для формирования отчётов и создания графиков, применяются разнообразные средства в сочетании с Perl, RRD и вэб-сервером. Некоторые из программ визуализации:

FlowScan

  • FlowScan - средство анализа и создания отчётов (в том числе и в графической форме);

Пример использования:

Один из отчётов FlowScan

Или можно посмотреть на этом сайте

CUFlow

  • CUFlow - средство анализа и создания отчётов (в том числе и в графической форме). Файлы проекта доступны по этой ссылке ;
Пример отчёта CUFlow
Пример отчёта CUFlow

NfSen

  • NfSen - NetFlow Sensor, Web-фронтенд для nfdump
Пример отчёта NfSen. Обзорная страница
Пример отчёта NfSen. Детальный график

Больше примеров можно посмотреть на сайте проекта

NetFlow Tracker

* NetFlow Tracker (проприетарный продукт)

Caligare Flow Inspector

Примеры можно посмотреть на сайте проекта.

Смотрите также

Печать/экспорт