Tīkla datplūsmas analīze bez komerciāliem rīkiem

  • Tīkla datplūsmas analīze ļauj atklāt veiktspējas problēmas, anomālijas un potenciālus iebrucējus, pārbaudot paketes un plūsmas.
  • Bezmaksas rīki, piemēram, Wireshark, WinDump, Nagios, Zabbix vai Pandora FMS, piedāvā uzlabotu uzraudzību un analīzi bez maksas licencēm.
  • Pakešu uztveršanas, nepārtrauktas uzraudzības un plūsmas analīzes apvienotā izmantošana nodrošina ļoti visaptverošu tīkla pārskatāmību.
  • Lai gan operētājsistēmā Windows ir iekļautas pamata utilītas, reālai tīkla kontrolei ieteicams paļauties uz atvērtiem un specializētiem risinājumiem.
Daniel Terrasa

14 Minutos

tīkla analīze

Mūsu tīklā notiekošā uzraudzība gan uzņēmumā, gan mājās ir kļuvusi par kritiski svarīgu uzdevumu. Lēns, pārslogots vai nestabils tīkls gandrīz vienmēr liecina par to, ka kaut kas nav kārtībā.Inficēta ierīce, sastrēgums, lietojumprogramma, kas aizņem visu joslas platumu, vai pat potenciāls iebrucējs, kas ielavās tur, kur tam nevajadzētu. Piemēram, bez datplūsmas redzamības uzzināt, cik ierīču ir jūsu tīklāIr praktiski neiespējami pieņemt labus lēmumus vai reaģēt laikā.

Problēma ir tā, ka daudzi komerciāli risinājumi ir dārgi, sarežģīti ieviešami un, turklāt, pārāk lieli mūsu ikdienas vajadzībām. Labā ziņa ir tā, ka ir iespējams izveidot Augstas kvalitātes tīkla datplūsmas analīze, neizmantojot maksas komerciālus rīkus, apvienojot bezmaksas utilītas, bezmaksas programmatūru un dažas funkcijas, kas integrētas pašās operētājsistēmās.

Kas īsti ir tīkla datplūsmas analīze?

Runājot par tīkla datplūsmas analīzi, mēs domājam procesu, kurā lai uztvertu, pārbaudītu un izprastu tīklā cirkulējošās datu paketes un plūsmasŠo analīzi var veikt ļoti zemā līmenī (pa paketei) vai apkopotākā līmenī (plūsmas, sarunas, joslas platuma statistika utt.).

Praksē satiksmes analīze tiek izmantota, lai Identificējiet, kas ar ko runā, kādi protokoli un lietojumprogrammas tiek izmantoti, cik lielu slodzi tie rada un kā tīkls darbojas laika gaitā.No turienes rodas modeļi, tendences un arī īpatnības, kas mums palīdz gan veiktspējā, gan drošībā; piemēram, izmantojot metodes, lai Atrodiet IP adreses savā lokālajā tīklā un atrodiet galvenos datplūsmas avotus.

Lai panāktu šo redzamību, tiek izmantotas divas savstarpēji papildinošas pieejas: tieša pakešu uztveršana (sniffing) un kolekcija plūsmas dati (NetFlow, sFlow, IPFIX, J-Flow utt.)Pirmie parāda katras paketes maksimālo detalizāciju, savukārt pēdējie piedāvā ļoti efektīvus datplūsmas kopsavilkumus starp izcelsmes vietām un galamērķiem.

Šāda veida analīze ir piemērojama ne tikai lieliem korporatīvajiem tīkliem. Jebkurš administrators, kurš vēlas saprast, kāpēc viņa tīkls kavējas, no kurienes rodas lietošanas pieaugums vai kuras iekārtas ģenerē neparastu datplūsmu. Tas gūst labumu no datplūsmas uzraudzības, pat ja tam ir tikai dažas ierīces.

Rīki tīkla datplūsmas analīzei

Kam noderīga datplūsmas analīze: galvenie pielietojumi un priekšrocības

Galvenais mērķis parasti ir veiktspēja, taču datplūsmas analīze piedāvā daudz vairāk. Šie ir visbiežāk veicamie uzdevumi, ko veic laba tīkla analīze bez komerciāliem rīkiem.:

  • Informācijas uztveršana, kas pārvietojas pa tīkluPakotņu pārbaude ļauj redzēt vienkārša teksta saturu (ja tas nav šifrēts), galvenes, protokolus, portus un sesijas parametrus.
  • Lietošanas statistika: zinot, cik daudz joslas platuma patērē katrs resursdators, lietojumprogramma, ports vai protokols un kādos laika periodos koncentrējas maksimālās slodzes.
  • Veiktspējas problēmu noteikšana: noteikt sastrēgumus, piesātinājumu noteiktās saitēs, TCP atkārtotu pārraidi, anomālu latentumu vai iekārtas, kas ģenerē pārāk lielu datplūsmu.
  • Datu ierakstīšana un eksportēšana: saglabājiet uztvertos datus un plūsmas, lai tos vēlāk analizētu, salīdzinātu laika gaitā vai izmantotu kā pierādījumus auditos un ekspertu ziņojumos.
  • Iebrucēju un anomāliju noteikšana: Identificējiet neatļautas ierīces, aizdomīgus datplūsmas modeļus, portu skenēšanu, brutālas piespēles mēģinājumus vai ļaunprātīgai programmatūrai raksturīgu uzvedību.

Tas viss sniedz ļoti taustāmus ieguvumus: Ātrāka incidentu risināšana, mazāk pakalpojumu pārtraukumu, labāka lietotāja pieredze un daudz augstāks drošības līmenisĪpaši uzņēmējdarbības vidē šī kontrole novērš daudzas problēmas... un daudzas izmaksas.

Turklāt, izmantojot vēsturiskos satiksmes datus, mēs varam plānojiet joslas platuma vai infrastruktūras paplašināšanu ar apdomībuTā vietā, lai pastāvīgi dzēstu ugunsgrēkus, mēs zinām, kuras saites ir sasniegušas savu robežu, kuras lietojumprogrammas attaisno šādu slodzi un kad ir vērts ieguldīt, piemēram, Ultra Ethernet mājas tīkliem.

Nedrīkst aizmirst vienu būtisku aspektu: noteiktas šo rīku iespējas tehniski ļauj, pārtvert sensitīvu informāciju, piemēram, paroles vai nešifrētu sesijas saturuTāpēc ir svarīgi tos izmantot, ievērojot likumus un privātuma politiku, īpaši korporatīvajā vidē.

Tīkla uzraudzība: kāpēc tā ir tik svarīga ikdienas dzīvē

Papildus konkrētām analīzēm, patieso atšķirību rada uzturēšana nepārtraukta tīkla uzraudzība, lai vienmēr zinātu, kas notiekEkrānuzņēmuma pārskatīšana pēc pakalpojuma darbības pārtraukuma nav tas pats, kas brīdinājumu saņemšana, kas brīdina lietotājus, pirms problēma viņus ietekmē; tāpēc ir ieteicams pārskatīt rokasgrāmatas par to, kā to izdarīt. Veselīgas tīkla infrastruktūras uzturēšana operētājsistēmā Windows un pielāgojiet praksi savai videi.

Mūsdienīgs uzņēmumu tīkls apvieno desmitiem kritiski svarīgu lietojumprogrammu, noslogotus serverus, mākoņa savienojumus, VPN un visu veidu ierīces. Bez uzraudzības lēnuma vai datplūsmas pieauguma avota noteikšana ir gandrīz vai minēšanas spēle.Ar labiem satiksmes datiem problēmas atrašana parasti ir dažu minūšu jautājums.

Korporatīvajā vidē uzraudzībai ir arī skaidra ekonomiskā komponente. Ja izvēlaties pareizos bezmaksas vai atvērtā pirmkoda rīkus Satiksmes analīzes un uzraudzības jomā ietaupījumi uz licencēm var būt milzīgi, vienlaikus saglabājot pilnībā profesionālu kontroles līmeni.

Tas ir tā vērts pat personīgā līmenī vai nelielā birojā. Kā uzzināt, kura ierīce izmanto visu Wi-Fi tīkluAtklāt, vai ir ierīces, kuras neatpazīstat, vai redzēt, kura lietojumprogramma pārslogo jūsu savienojumu, ir uzdevumi, kurus var precīzi atrisināt, rūpīgi izpētot datplūsmu.

Tīkla datplūsmas analīze bez komerciāliem rīkiem

Populārākie bezmaksas pakešu un datplūsmas analizatori

Viena no lielākajām tīklošanās pasaules priekšrocībām ir tā, ka pastāv Bezmaksas rīki, kas ir izveidoti gadiem ilgi, ir ļoti nobrieduši un tos izmanto profesionāļi.Jums nav nepieciešamas komerciālas programmatūras pakotnes, lai nodrošinātu augsta līmeņa analītiku. Tālāk ir norādītas dažas no visspēcīgākajām iespējām, kas lieliski iederas vidē bez maksas licencēm.

Wireshark: būtisks pakešu analīzes klasikas rīks

Wireshark, iespējams, ir pasaulē vispazīstamākais un plaši izmantotais datplūsmas analizatorsTas radās 90. gadu beigās, ir atvērtā koda, pilnīgi bezmaksas un pieejams Linux, Windows, macOS un vairākām Unix sistēmām (Solaris, FreeBSD utt.).

Tās galvenā funkcija ir pakešu uztveršana un padziļināta analīzeTas ļauj jums redzēt katru kadru, kas iet caur saskarni, ar tādu informāciju kā:

  • Katras paketes ID numurs vai secība.
  • Precīzs apstrādes laiks un laika zīmogi.
  • Avota un mērķa IP (vai MAC) adreses.
  • Izmantotais protokols (TCP, UDP, HTTP, HTTPS, DNS utt.).
  • Iepakojuma izmērs.
  • Kopsavilkuma informācija par sesijas saturu vai fāzi.

Kad esat atlasījis līniju uztveršanas režīmā, Jūs saņemsiet pilnīgu paketes sadalījumu: slāņu galvenes (Ethernet, IP, TCP/UDP, lietojumprogramma), atsevišķi lauki, karodziņi, porti utt. Tas ir ideāli piemērots precīzu protokolu problēmu novēršanai, VoIP datplūsmas analīzei, TCP atkārtotas pārraides skatīšanai vai sesijas izveides detalizētai izpētei.

Wireshark izceļas ar savu atbalsts simtiem protokolu, ļoti jaudīgi uztveršanas un skatīšanas filtri, kā arī iespēja saglabāt un kopīgot uzņemtos attēlus vēlākai analīzei vai nosūtīt tos citiem tehniķiem.

WinDump: tcpdump Windows versija

Ja dodat priekšroku komandrindai, WinDump ir vēsturiskā tcpdump rīka Windows adaptācijaTas ir viegls, ātrs un lieliski piemērots skriptu veidošanai vai diagnostikai no konsoles.

Ar WinDump jūs varat Tveriet trafiku no noteiktām saskarnēm, lietojot BPF filtrus (pēc IP adreses, porta, protokola utt.), saglabājiet paketes failā, lai pēc tam tās analizētu ar Wireshark un pārbaudītu, vai nav kļūdu, piemēram, nepareizi veidotu pakešu vai noteiktu sesiju kļūmju.

Tam nav grafiskā interfeisa, bet tieši tāpēc tas ir ideāli piemērots servera iekārtas, attālinātas sesijas vai ja vēlaties automatizēt periodiskus ierakstus neinstalējot sarežģītas lietojumprogrammas.

BruteShark: Uzlabota sesiju analīze un drošība

BruteShark ir jaunāka un pielāgotāka utilīta tīkla uztveršanas drošības analīzeTas ietver gan grafiskās, gan komandrindas versijas un koncentrējas uz tādiem uzdevumiem kā:

  • TCP sesiju rekonstrukcija, lai skatītu pilnīgu saziņas plūsmu.
  • Tīkla kartes ģenerēšana no novērotās datplūsmas.
  • Hešu un akreditācijas datu ieguve no protokoliem, kas to atļauj, ir noderīga auditos.

Tas ir ļoti spēcīgs instruments, kas paredzēts Tīkla forenzika, penetrācijas testēšana un protokolu un pakalpojumu drošības pārskatīšanaTas darbojas no uztveršanas failiem (piemēram, pcap, ko ģenerējis Wireshark vai tcpdump/WinDump).

Citi specializēti rīki, kas ir bezmaksas vai kuriem ir atvērtā koda versija

Papildus tīrajiem analizatoriem ir arī lietojumprogrammas, kas Tie apvieno uzraudzību, statistiku un diagnostiku.:

  • OmniPeekTas ir paredzēts lielām profesionālām vidēm. Tam ir ļoti uzlabotas veiktspējas analīzes iespējas, lai gan tā jaudīgākās versijas ir komerciālas.
  • KapsaPieejams operētājsistēmai Windows bezmaksas, standarta un uzņēmuma versijās. Pat bezmaksas versija piedāvā atbalstu vairāk nekā 300 protokoliem un ievērojamam skaitam analīzes skatu.

Šīs alternatīvas varētu būt noderīgas tiem, kas meklē vadītāka un vizuālāka pieeja nekā klasiskais Wireshark, vienlaikus joprojām izmantojot ļoti pilnīgas bezmaksas vai izmēģinājuma iespējas.

zabbix

Bezmaksas tīkla uzraudzības rīki: Nagios, Zabbix un Pandora FMS

Ja mērķis nav tikai redzēt konkrētus attēlus, bet gan nepārtraukti uzraudzīt serveru, pakalpojumu un tīkla mezglu statusuTas iesaista ļoti nopietnas uzraudzības platformas, kuras var izmantot arī bez komerciālām licencēm.

Nagios Tas ir viens no veterāniem. Tas ļauj uzraudzīt praktiski jebkuras tīkla ierīces pieejamību, latentumu, portu statusu, resursu patēriņu un pakalpojumus, izmantojot aģentus un attālinātas pārbaudes. Tās uzraudzības vide attēlo konsolidētus resursdatoru un pakalpojumu statusa attēlus.kā arī brīdinājumus, kad kaut kas nokrīt vai pārsniedz noteiktos sliekšņus.

Zabbix Tas ir vēl viens plaši izmantots atvērtā pirmkoda risinājums. Jūs varat redzēt [sekojošo no tā tīmekļa saskarnes]. tīkla datplūsmas, centrālā procesora noslodzes, atmiņas, diska vietas un daudzu citu rādītāju grafikiTās oficiālajā dokumentācijā ir skaidri piemēri, kā tā attēlo datplūsmu katrā saskarnē, padarot to ideāli piemērotu joslas platuma attīstības izsekošanai laika gaitā.

Pandora FMS (Elastīga uzraudzības sistēma) ir ļoti elastīga Spānijas uzraudzības platforma. Tās dokumentācijā ir paskaidrots... paneļi, kuros tiek parādīti tīkla rādītāji, pieejamība un veiktspējaApvienojot tīkla zondes ar ierīcēs instalētiem aģentiem, tā ir ļoti pilnīga iespēja ikvienam, kurš vēlas izveidot centralizētu uzraudzības vidi, nemaksājot par pamata komerciālām licencēm.

Jebkurš no šiem trim risinājumiem nodrošinās globāls pārskats par infrastruktūras stāvokli...lieliski papildinot pakešu un straumes analizatorus. Lai gan Wireshark vai WinDump ir paredzēti precīzai regulēšanai, Nagios, Zabbix vai Pandora FMS nodrošina panorāmas skatu.

Redzamība caur plūsmām: nekomerciālas alternatīvas lieliem analizatoriem

Lielākie pārdevēji pārdod uz plūsmu balstītas datplūsmas analīzes komplektus (NetFlow, sFlow, IPFIX, J-Flow u. c.). Lai gan daudzi no tiem ir komerciāli, šo koncepciju var viegli atkārtot ar bezmaksas vai atvērtā pirmkoda rīkiem. Ideja ir tāda, ka maršrutētāji un komutatori eksportē saziņas kopsavilkumus.un lietojumprogramma apkopo un attēlo šos datus.

Tipisks plūsmas analizators ļauj redzēt ar precizitāti līdz vienai minūtei, ienākošās un izejošās datplūsmas apjoms pēc saskarnes, IP adreses, lietojumprogrammas, porta un protokolaNo turienes tiek ģenerēti grafiki, kas parāda datplūsmas maksimumus un statistiku, piemēram:

  • Ātrums (bps).
  • Kopējais pārvadītais tilpums.
  • Iepakojumu skaits.
  • Pieejamās joslas platuma izmantošanas procentuālā daļa.

Interesanti ir tas, ka šos ziņojumus var pārskatīt, lai pēdējā stunda, pēdējā diena, pilns ceturksnis vai pielāgots periods, un tos var eksportēt tādos formātos kā CSV vai PDF vadības pārskatu veidošanai vai iekšējai dokumentācijai.

Papildus vispārējam joslas platuma izmantojumam plūsmas analīze nodrošina redzamība galvenajiem "runātājiem" tīklāTas parāda, kuri resursdatori, lietojumprogrammas, porti un protokoli patērē visvairāk resursu. Tas arī ļauj iedziļināties konkrētās sarunās starp avota un mērķa IP adresēm, lai risinātu veiktspējas vai drošības problēmas.

Daudzi bezmaksas un starpplatformu risinājumi var veikt šo straumes savācēja un vizualizētāja lomu, piedāvājot pielāgojami informācijas paneļi, sliekšņa brīdinājumi un vēsturisko tendenču skati nemaksājot par slēgtu komerciālu kompleksu.

Satiksmes analīzes izmantošana drošības uzlabošanai

Datplūsmas analīze nav paredzēta tikai veiktspējas uzlabošanai. Drošības jomā tā ir viens no vērtīgākajiem informācijas avotiem. Pirms uzbrukums kļūst redzams, parasti mainās satiksmes plūsma.vairāk savienojumu nekā parasti, nepareizi veidotas paketes, milzīgs skaits neveiksmīgu autentifikācijas mēģinājumu vai dīvainas izejošās plūsmas.

Analīzes rīki ļauj ģenerēt drošības ziņojumi, kas koncentrējas uz anomālu uzvedībuplūsmas ar nederīgiem pakalpojumu veidiem (TOS), neparastām avota-mērķa kombinācijām, datplūsmas pieaugumiem laikos, kad tīklam vajadzētu būt klusam utt.

Piemēram, daudzas izspiedējvīrusi un ātri izplatās tārpi ģenerē tīkla skenēšanas un komandu un vadības serveru datplūsmas raksturīgie modeļiUzraugot šo fona datplūsmu, ir iespējams apturēt incidentu ilgi pirms inficēšanās ietekmē visu organizāciju.

Vēl viena priekšrocība ir iespēja bloķēt datplūsmu no IP adresēm vai diapazoniem, kas nav organizācijas daļa Kad tiek atklāta aizdomīga darbība, tādējādi stiprinot drošības stāvokli; ir arī noderīgi zināt metodes, kā bloķēt aizdomīgus savienojumus ar komandām Windows vidē un ātri reaģēt.

Tomēr nav ieteicams pilnībā paļauties uz burvju rīkiem. Galvenais ir apvienot labus datplūsmas datu avotus ar precīzi definētiem noteikumiem un skaidrām reaģēšanas procedūrām.lai brīdinājumi netiktu aizmirsti un pārvērstos konkrētās darbībās.

Kā izvēlēties pareizo datplūsmas analīzes rīku

Nav viena risinājuma, kas derētu visos gadījumos. Tīkla lielums, budžets, komandas zināšanu līmenis un konkrētie mērķi Tie lielā mērā ietekmē izvēli. Tomēr, meklējot alternatīvas komerciāliem rīkiem, jāņem vērā vairāki pamatkritēriji:

  • Konfigurējamas atskaites: kas ļauj pielāgot, kuri rādītāji tiek parādīti (pēc IP adreses, lietojumprogrammas, protokola, saskarnes utt.), ar kādu laika intervālu un kādā formātā, lai pielāgotu skatus reālajām vajadzībām.
  • Saderība ar vairākiem ražotājiemJo atvērtāks ir rīks un jo vairāk ierīču tas atbalsta (maršrutētājus, komutatorus, ugunsmūrus no dažādiem piegādātājiem), jo mazāk jūs būsiet atkarīgs no ražotāja patentētiem risinājumiem.
  • Tīkla optimizācijas iespējasTam vajadzētu ne tikai attēlot datus, bet arī palīdzēt pieņemt pārvaldības lēmumus, piemēram, identificēt kritiskas lietojumprogrammas, ierobežot nebūtisku datplūsmu vai reorganizēt joslas platuma izmantošanu.
  • Vienkārša izvietošana un integrācijaRisinājums, kura iestatīšanai nepieciešamas vairākas nedēļas, var būt nepraktisks. Labāk izvēlēties tādu risinājumu, ko varat ātri ieviest un darbināt, pakāpeniski integrējot papildu moduļus vai spraudņus.

Daudzos gadījumos uzvarošā kombinācija sastāv no Izmantojiet pakešu analizatoru (Wireshark/WinDump), uzraudzības sistēmu (Nagios/Zabbix/Pandora) un plūsmas rīku. lai aptvertu visas frontes: detaļas, globālo redzējumu un statistisko analīzi.

Ko Windows jau piedāvā un kad tas nenodrošina pietiekamus rezultātus

Sistēmā Windows ir iekļautas dažas utilītas, kas, lai gan nav īsti datplūsmas analizatori, Tie palīdz ātri iegūt priekšstatu par notiekošo ar konkrētas komandas tīklu. Tie neaizstāj iepriekšējos rīkus, bet kalpo kā pirmais ieskats.

El Uzdevumu pārvaldnieks Cilnē “Veiktspēja” tiek parādīti tīkla izmantošanas grafiki pa saskarnēm. Turklāt procesu sarakstā ir norādīts, cik procentu no tīkla joslas platuma katrs uzdevums izmanto. Tas ir vienkāršs veids, kā noteikt, kura programma izmanto savienojumu jebkurā laikā.

El Resursu pārraugs (pieejama, meklējot “Resursu monitors” izvēlnē Sākt) iet soli tālāk: tā piedāvā Informācija par trafiku katrā procesā, aktīvie TCP savienojumi, klausīšanās porti un sūtīšanas/saņemšanas statistikaĀtrai diagnostikai tas ir daudz visaptverošāks nekā uzdevumu pārvaldnieks.

Pat ja tā, šie rīki Tie neļauj uztvert paketes, padziļināti analizēt protokolus vai skatīt citu tīkla ierīču trafiku.Tie ir noderīgi ikdienas uzdevumiem vienā datorā, bet nopietnai analīzei jāpaļaujas uz iepriekš minētajām konkrētajām lietojumprogrammām.

Ja vēlaties vienkārši uzzināt, kāda ir jūsu datora datplūsma, ar šo informāciju varētu pietikt. Kad vien vēlaties veikt visa tīkla auditu, pētīt globālos modeļus vai izmeklēt drošības incidentusTev būs jāiet tālāk.

Īsāk sakot, lai gan pastāv ļoti spēcīgi komerciāli risinājumi, Pilnīgu tīkla datplūsmas pārskatāmību ir pilnīgi iespējams panākt, izmantojot tikai bezmaksas un atvērtā pirmkoda rīkus.Pakešu analizatori, piemēram, Wireshark vai WinDump, uzraudzības platformas, piemēram, Nagios, Zabbix vai Pandora FMS, un plūsmas analīzes sistēmas, kas spēj izmantot datus no NetFlow, sFlow vai IPFIX, ir noderīgi rīki. Ar nelielu praksi un precīzi definētu metodoloģiju jūs varat iegūt labi uzraudzītu, augstas veiktspējas un daudz drošāku tīklu, netērējot ne eiro komerciālām licencēm.

nmap
saistīto rakstu:
Soli pa solim pārbaudiet savu lokālo tīklu, izmantojot Nmap un Wireshark