Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

средства_обработки_и_анализа_сетевого_трафика_в_unix_и_linux [2015/03/08 05:16] (текущий)
vovka Перенос со старой wiki
Строка 1: Строка 1:
 +Статья содержит краткий обзор средств для анализа и обработки сетевого трафика для построения систем учёта, биллингов,​ средств распознавания сетевых атак и других вещей.
 +
 +===== Утилиты для анализа трафика =====
 +Обычно эти средства применяют для низкоуровневой отладки работы сети, протоколов и потоков,​ проходящих через сетевой интерфейс.
 +  * [[http://​www.tcpdump.org/​|tcpdump]] - консольный снифер;​
 +  * [[http://​www.wireshark.org/​|WireShark]] - снифер с графическим интерфейсом. Есть возможность сохранять пакеты в виде файлов;​
 +  * [[http://​iptraf.seul.org/​|iptraf]] - консольный монитор трафика,​ работающий в реальном времени;​
 +
 +  * [[http://​nmap.org/​|nmap]] - сканер портов.
 +
 +<note warning>​Сканеры портов следует использовать с большой осторожностью при тестировании сетевого оборудования в Интернет. Ещё лучше получить официальное разрешение на такие действия от владельца оборудования,​ поскольку сама процедура сканирования ресурса попадает под действие Уголовного кодекса РФ (и других законов стран). ​
 +</​note>​
 +
 +===== Логгирование посредством правил в iptables =====
 +Это достаточно узкоспециализированный метод. Суть заключается в настройке набора правил (ловушек) в iptables, по критериям которых формируется событие для регистрации информации о пакете в логах ядра. Далее эти логи обрабатываются внешними программами.
 +
 +===== Обработка информации со счётчиков iptables =====
 +Метод предназначен больше для подсчёта трафика,​ проходящего через правила iptables. Сперва создаются наборы правил с условиями регистрации. Затем, периодически,​ скриптом снимаются значения со счётчиков и передаются либо в хранилище,​ либо другой программе на обработку. После считывания,​ счётчики обнуляются и процесс повторяется через какой-то промежуток времени.
 +
 +===== ULOG =====
 +нет информации
 +
 +===== Обработка NetFlow =====
 +[[http://​ru.wikipedia.org/​wiki/​Netflow|NetFlow]] является одним из сетевых протоколов,​ предназначенных для учёта сетевого трафика на различном сетевом оборудовании. Разработан компанией cisco. Помимо специализированного сетевого оборудования,​ как например аппаратный коммутатор или маршрутизатор,​ в качестве сенсоров NetFlow может выступать *nix-машина с одним или несколькими сетевыми интерфейсами и установленным специальным программным обеспечением. Ниже дан небольшой обзор программных средств для работы с NetFlow.
 +
 +==== Сенсоры NetFlow ====
 +  * [[http://​www.mindrot.org/​softflowd.html|softflowd]] - Netflow-сенсор для Linux и FreeBSD
 +  * [[http://​fprobe.sourceforge.net/​| fprobe]] - NetFlow-сенсор для Linux, базирующийся на libpcap
 +  * [[http://​ntop.ethereal.com/​nProbe.html| nProbe]] - Расширяемый NetFlow-сенсор под Linux/​FreeBSD и Windows
 +  * [[http://​lionet.info/​ipcad/​| ipcad]] - Netflow-сенсор для FreeBSD, OpenBSD, Linux, MacOS X/Darwin, Solaris
 +
 +==== Коллекторы NetFlow ====
 +  * [[http://​www.qosient.com/​argus/​|Argus]] by Carter Bullard
 +  * [[http://​www.caida.org/​tools/​measurement/​cflowd/​|CAIDA'​s Cflowd]] 2.x by Daniel McRobb (with Cisco'​s NetFlow v5); см. также [[http://​net.doit.wisc.edu/​~plonka/​cflowd/​]]
 +  * [[http://​www.caligare.com/​netflow/​cfi.php| Caligare Flow Inspector]] by Caligare (NetFlow Коллектор v1,5,6,7,9)
 +  * [[http://​lionet.info/​ipcad/​| ipcad]] - коллектор,​ построенный на базе bpf (BSD) и libipq (Linux) ​
 +  * [[http://​www.splintered.net/​sw/​flow-tools/​| Flow-tools]] by Mark Fullmer (with NetFlow v1, v5, v6, or v7)
 +  * [[http://​netacad.kiev.ua/​flowc/​index_ru.php| flowc]] by Uninet Ltd. and Taras Shevchenko Kiev University
 +  * [[http://​www.nmops.org/​| lfapd]] by Steve Premeau (with Riverstone'​s LFAPv4):
 +  * [[http://​aware.ru/​nf/?​section_id=4| NetFlower]] - развивающийся кросплатформенный ​ коллектор. Поддерживает Linux x86, FreeBSD x86, MS Windows (NT, 2000, XP), Solaris x86 и Solaris SPARC64 ​
 +  * [[http://​nfdump.sourceforge.net/​| nfdump]] - набор программ для сбора и обработки NetFlow. В комплекте есть простое средство для формирования текстовых отчётов.
 +
 +==== Программы визуализации данных NetFlow ====
 +Для формирования отчётов и создания графиков,​ применяются разнообразные средства в сочетании с Perl, RRD и вэб-сервером. Некоторые из программ визуализации:​
 +
 +===== FlowScan =====
 +  * [[http://​net.doit.wisc.edu/​~plonka/​FlowScan/​| FlowScan]] - средство анализа и создания отчётов (в том числе и в графической форме);​
 +
 +Пример использования:​
 +[{{ Flowscan-axample.png?​300 |Один из отчётов FlowScan}}]
 +
 +Или можно посмотреть на [[http://​www.eng.wiscnet.net/​stats/​| этом сайте]]
 +
 +===== CUFlow =====
 +  * [[http://​www.columbia.edu/​acis/​networks/​advanced/​CUFlow/​CUFlow.html| CUFlow]] - средство анализа и создания отчётов (в том числе и в графической форме). Файлы проекта доступны по [[http://​www.columbia.edu/​acis/​networks/​advanced/​CUFlow/​| этой ссылке]] ; 
 +
 +| [{{ Cuflow-sample01.jpg?​300 |Пример отчёта CUFlow}}] | [{{ Cuflow-sample02.jpg?​300 |Пример отчёта CUFlow}}] |
 +
 +===== NfSen =====
 +  * [[http://​nfsen.sourceforge.net/​| NfSen]] - NetFlow Sensor, Web-фронтенд для nfdump
 +
 +| [{{ Nfsen-overview.png?​300 |Пример отчёта NfSen. Обзорная страница}}] | [{{ Nfsen-details-graphs.png?​300 |Пример отчёта NfSen. Детальный график}}] | 
 +Больше примеров можно посмотреть на [[http://​nfsen.sourceforge.net/#​mozTocId301830| сайте проекта]]
 +
 +===== NetFlow Tracker =====
 +* NetFlow Tracker (проприетарный продукт)
 +
 +===== Caligare Flow Inspector =====
 +  * [[http://​www.caligare.com/​netflow/​cfi.php Caligare|Flow Inspector]] (проприетарный продукт)
 +Примеры можно посмотреть на [[http://​www.caligare.com/​netflow/​demo.php| сайте проекта]].
 +
 +===== Смотрите также =====
 +  * [[http://​xgu.ru/​wiki/​NetFlow| Статья о NetFlow на Xgu.ru]]
  
Печать/экспорт