Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Протокол NetFlow: мониторинг соединений



Широко известна способность протокола SNMP регистрировать объем трафика, проходящего через интерфейс. Однако если вас интересует не только объем трафика, но и его тип и пункты назначения, протокол SNMP становится практически бесполезным. Для того чтобы выяснить дополнительные детали, можно запустить анализатор из на­ бора инструментов системы UNIX, но эту возможность нельзя реализовать для конкрет­ ного маршрутизатора.

Для того чтобы решить эту проблему, поставщики маршрутизаторов предложили свои собственные инструменты. Самым популярным среди них стал протокол NetFlow компании Cisco.

Протокол NetFlow отслеживает каждое соединение по семи ключам: источник и IP- адрес получателя, источник и номер порта назначения, протокол (TCP, UDP и т.д.), тип службы (ToS) и логический интерфейс. Эти метаданные в сочетании с дополнительной информацией, такой как количество пакетов и байтов, можно послать любой подходя­ щей программе для сбора данных.

Наиболее распространенными являются версии протокола NetFlow v5 и v7, которые часто объединяются, потому что они по существу одинаковы, за исключением того, что версия v7 имеет дополнительное поле (маршрутизатор источника). Версия v7 использу­ ется коммутаторами Cisco Catalyst. В настоящее время все более популярной становится версия 9. Ее шаблонная природа обеспечивает высокую гибкость.

Маршрутизатор NetFlow может посылать собранные метаданные соответствующему получателю, например пакету cflowd, разработанному организацией CAIDA. Если се­ тевое соединение сильно загружено, эта конфигурация порождает огромный объем дан­ ных, для хранения которого необходима большая дисковая память, и анализатор, спо­ собный решить поставленную задачу.

В качестве такого анализатора можно использовать пакет FlowScan, разработан­ ный Дэйвом Плонка (Dave Plonka). К сожалению, он до сих пор не обновлен, но по- прежнему работает хорошо. Его можно найти на сайте net.doit.wisc.edu/~plonka/ FlowScan.

Мониторинг данных протокола NetFlow с помощью утилит nfdump и NfSen

Рассмотрим еще одну пару полезных инструментов для сбора и анализа данных про­ токола NetFlow — утилиты nfdump (nfdump.sourceforge.net; разработана Петером Хаагом (Peter Haag)) и NfSen (nfsen.sourceforge.net). Коллектор (nfcapd) записы­ вает данные протокола NetFlow на диск для дальнейшей обработки утилитой nfdump.

Утилиты nfcapd и nfdump предназначены для версий v5/v7 и v9. Для поддержки протокола IPv6 следует использовать версию v9; версии 5 и 7 его не поддерживают.

Утилита nfdump работает почти так же, как и утилита tcpdump (см. раздел 21.7). Она имеет аналогичный синтаксис фильтра, адаптированный для данных протокола NetFlow. Гибкие форматы вывода позволяют настраивать внешний вид записей. Встроенные ге-

938 Часть II. Работа в сети

нераторы отчетов демонстрируют N активных пользователей8 (talkers) вашей сети и другую полезную информацию.

Следующий (немного сжатый) отчет утилиты nfdump показывает, какие IP-адреса и сети составляют трафик, какие порты в настоящий момент являются наиболее актив­ ными и т.п. Параметры -s ip/flows запрашивают информацию о IP-адресах всех ис­ точников или пунктов назначения, упорядоченных по объему потока. Параметры -n 10 ограничивают вывод десятью пунктами.

linux$ nfdump -М /data/nfsen/profiles-data/live/upstream -r 2009/07/28/12/nfcapd.200907281205 -n 10 -s ip/flows

Top 10 IP Addr ordered by flows:

Date first seen Durat'n IP Addr Flows Pkts Bytes pps bps bpp

2009-07-28 12:02 467.596 192.168.96.92 27873 67420 3.8M

2009-07-28 12:02 462.700 192.168.96.107 18928 43878 4.7M

2009-07-28 12:02 464.443 192.168.96.198 17321 45454 3.5M

2009-07-28 12:02 454.299 172.16.152.40 11554 29093 1.3M

2009-07-28 12:02 362.586 192.168.97.203 6839 11104 1.2M

2009-07-28 12:02 393.600 172.16.220.139 4802 12883 618384 32 12568 48

2009-07-28 12:02 452.353 192.168.96.43 4477 5144 554709 11 9810 107

2009-07-28 12:02 456.306 192.168.96.88 3416 6642 697776 14 12233 105

2009-07-28 12:02 459.732 192.168.96.108 2544 25555 3.2 M 55 58478 131

2009-07-28 12:02 466.782 192.168.96.197 2143 24103 5.3 M 51 94988 229

144 67347 58

94 85522 112

97 63884 81

64 23996 46

30 28883 117

Summary: total flows: 98290, total bytes: 311.6 M, total packets: 759205, avg bps: 5.3 M, avg pps: 1623, avg bpp: 430

Time window: 2009-07-28 12:02:12 - 2009-07-28 12:09:59

Total flows processed: 98290, skipped: 0, Bytes read: 5111164

Sys: 0.310s flows/second: 317064.5 Wall: 0.327s flows/second: 300366.1

Поскольку данные протокола NetFlow хранятся на диске, их можно несколько раз анализировать с помощью разных наборов фильтров. Еще одна удобная функциональ­ ная возможность утилиты nfdump позволяет объединять входящие и исходящие потоки в один двунаправленный поток.

Утилита NfSen — это веб-интерфейс для данных протокола NetFlow, который до­ полняет утилиту nfdump и, следовательно, сочетает графические возможности со всеми функциями утилиты nfdump. Она отображает данные трех разных категорий: потоки, пакеты и байты. Утилита NfSen не только строит графики, но и позволяет просматри­ вать их, указывать на интересующие пики графика и исследовать отдельные потоки. Для уточнения внешнего вида данных можно применять любые фильтры утилиты nfdump. Сочетание удобного графического пользовательского интерфейса для просмотра данных с функциями утилиты nfdump делает программу NfSen мощным инструментом.

Утилита NfSen позволяет сохранить пользовательский фильтр и настройки внешнего вида отчета в виде профиля, который легко использовать в будущем. Например, можно определить профиль, отслеживающий трафик для вашей зоны DMZ, веб-сервера или клиентской сети.

Профили также делают утилиту NfSen ценным инструментом для работы групп, обе­ спечивающих безопасность сети, поскольку они могут легко определять разновидность проблемы или сетевого трафика. Например, на рис. 21.6 показан отчет об исследовании атак на основе отказа в обслуживании типа “SYN flood”.

8 “Активный пользователь” — это термин протокола NetFlow, обозначающий устройство, создающее

сетевой трафик.

Глава 21. Управление сетями 939

Рис. 21.6. Профиль “SYN flood” для утилиты NfSen

Исследование причин сбоя обычно проводится в течение ближайших часов и дней после инцидента, который его вызвал, но если данные протокола NetFlow были со­ хранены, то можно легко создать профиль для предшествующего периода. Этот ретро­ спективный анализ позволяет идентифицировать IP-адреса, вовлеченные в атаку, и от­ следить другие узлы, на которые она могла повлиять. Можно также настроить утилиту NfSen так, чтобы она следила за потоком в нерабочие часы и посылала сигналы тревоги в случае возникновения определенных ситуаций.

 

 




Поиск по сайту:

©2015-2020 studopedya.ru Все права принадлежат авторам размещенных материалов.