Анализа мрежног саобраћаја без комерцијалних алата

  • Анализа мрежног саобраћаја омогућава откривање проблема са перформансама, аномалија и потенцијалних уљеза прегледом пакета и токова.
  • Бесплатни алати као што су Wireshark, WinDump, Nagios, Zabbix или Pandora FMS нуде напредно праћење и анализу без плаћених лиценци.
  • Комбинована употреба снимања пакета, континуираног праћења и анализе протока пружа веома свеобухватну видљивост мреже.
  • Иако Windows укључује основне услужне програме, за праву контролу мреже препоручљиво је ослањати се на отворена и специјализована решења.
Daniel Terrasa

КСНУМКС Минутос

анализа мреже

Праћење шта се дешава на нашој мрежи, како у компанији тако и код куће, постало је кључни задатак. Спора, преоптерећена или нестабилна мрежа је скоро увек знак да нешто није у реду.Заражени уређај, уско грло, апликација која заузима сав пропусни опсег или чак потенцијални уљез који се ушуња тамо где не би требало. Без видљивости саобраћаја, на пример, откријте колико уређаја је на вашој мрежиПрактично је немогуће доносити добре одлуке или реаговати на време.

Проблем је што су многа комерцијална решења скупа, сложена за имплементацију и, уз све то, превелика за наше свакодневне потребе. Добра вест је да је могуће креирати Висококвалитетна анализа мрежног саобраћаја без прибегавања плаћеним комерцијалним алатима, комбинујући бесплатне услужне програме, бесплатни софтвер и неке функције интегрисане у саме оперативне системе.

Шта је тачно анализа мрежног саобраћаја?

Када говоримо о анализи мрежног саобраћаја, мислимо на процес да сними, прегледа и разуме пакете података и токове који циркулишу кроз мрежуОва анализа се може обавити на веома ниском нивоу (пакет по пакет) или на агрегиранијем нивоу (токови, разговори, статистика пропусног опсега итд.).

У пракси, анализа саобраћаја се користи за Идентификујте ко са ким разговара, који протоколи и апликације се користе, колико оптерећења генеришу и како се мрежа понаша током времена.Одатле се појављују обрасци, трендови, а такође и необичности које нам помажу и у перформансама и у безбедности; на пример, коришћење метода за Откријте ИП адресе на вашој локалној мрежи и лоцирајте главне изворе саобраћаја.

Да би се постигла ова видљивост, користе се два комплементарна приступа: директно хватање пакета (њушкање) и колекцију подаци о протоку (NetFlow, sFlow, IPFIX, J-Flow, итд.)Први приказују максималне детаље сваког пакета, док други нуде веома ефикасне резимее саобраћаја између порекла и одредишта.

Ова врста анализе није применљива само на велике корпоративне мреже. Сваки администратор који жели да разуме зашто му мрежа заостаје, одакле долази скок у коришћењу или која опрема генерише необичан саобраћај Користи се од праћења саобраћаја, чак и ако има само неколико уређаја.

Алати за анализу мрежног саобраћаја

За шта је корисна анализа саобраћаја: кључне употребе и предности

Примарни циљ је обично перформансе, али анализа саобраћаја нуди много више. Ово су најчешћи задаци које покрива добра анализа мреже без комерцијалних алата:

  • Снимање информација које путују кроз мрежуПреглед пакета вам омогућава да видите садржај отвореног текста (када није шифрован), заглавља, протоколе, портове и параметре сесије.
  • Статистика употребе: знање колико пропусног опсега сваки хост, апликација, порт или протокол троши и у којим временским периодима су врхови концентрисани.
  • Детекција проблема са перформансамалоцирати уска грла, засићење у одређеним везама, TCP ретрансмисије, аномалне латенције или опрему која генерише превише саобраћаја.
  • Снимање и извоз података: сачувајте снимке и токове да бисте их касније анализирали, упоредили их током времена или их користили као доказ у ревизијама и стручним извештајима.
  • Детекција уљеза и аномалијаИдентификујте неовлашћене уређаје, сумњиве обрасце саобраћаја, скенирање портова, покушаје грубе силе или понашања типична за злонамерни софтвер.

Све се ово претвара у веома опипљиве користи: Брже решавање инцидената, мање прекида у пружању услуга, боље корисничко искуство и много виши ниво безбедностиПосебно у пословним окружењима, ова контрола спречава многе проблеме... и многе трошкове.

Штавише, са историјским подацима о саобраћају можемо планирајте пропусни опсег или проширења инфраструктуре уз здрав разумУместо сталног гашења пожара, знамо који су линкови на граници својих могућности, које апликације оправдавају то оптерећење и када се исплати инвестирати, на пример, у Ултра Етернет за кућне мреже.

Не треба занемарити једну кључну ствар: одређене могућности ових алата технички дозвољавају, пресретање осетљивих информација као што су лозинке или нешифровани садржај сесијеЗато је кључно користити их уз поштовање закона и политике приватности, посебно у корпоративним окружењима.

Праћење мреже: зашто је толико важно у свакодневном животу

Поред специфичних анализа, оно што заиста чини разлику јесте одржавање континуирано праћење мреже како би се у сваком тренутку знало шта се дешаваНије исто прегледати снимак екрана након што је услуга већ престала да ради и имати упозорења која упозоравају кориснике пре него што их проблем погоди; зато је добра идеја прегледати водиче о томе како... Одржавање здраве мрежне инфраструктуре у оперативном систему Windows и прилагодите праксе свом окружењу.

Модерна пословна мрежа комбинује десетине критичних апликација, заузете сервере, облачне везе, VPN-ове и уређаје свих врста. Без праћења, откривање извора спорости или скока саобраћаја је готово игра погађања.Са добрим подацима о саобраћају, лоцирање проблема је обично питање минута.

У корпоративном окружењу, праћење такође има јасну економску компоненту. Ако одаберете праве бесплатне или алате отвореног кода За анализу и праћење саобраћаја, уштеде на лиценцама могу бити огромне, уз одржавање потпуно професионалног нивоа контроле.

Вреди чак и на личном нивоу или у малој канцеларији. Знање који уређај користи сав Wi-FiОткривање да ли постоје уређаји које не препознајете или увиђање која апликација преоптерећује вашу везу су задаци који се решавају прецизно добрим прегледом саобраћаја.

Анализа мрежног саобраћаја без комерцијалних алата

Најпопуларнији бесплатни анализатори пакета и саобраћаја

Једна од великих предности света умрежавања је то што постоје Бесплатни алати који су успостављени годинама, веома су зрели и користе их професионалци.Не требају вам комерцијални пакети да бисте имали аналитику високог нивоа. У наставку су наведене неке од најмоћнијих опција које се савршено уклапају у окружење без плаћених лиценци.

Вајершарк: неопходни класик за анализу пакета

Вајершарк је вероватно најпознатији и најшире коришћени анализатор саобраћаја на светуРођен је крајем 90-их, отвореног је кода, потпуно бесплатан и доступан је за Linux, Windows, macOS и неколико Unix система (Solaris, FreeBSD, итд.).

Његова главна функција је хватање пакета и детаљна анализаОмогућава вам да видите сваки фрејм који пролази кроз интерфејс, са детаљима као што су:

  • ИД број или редослед сваког пакета.
  • Тачно време обраде и временске ознаке.
  • Изворна и одредишна IP (или MAC) адреса.
  • Коришћени протокол (TCP, UDP, HTTP, HTTPS, DNS, итд.).
  • Величина пакета.
  • Резиме информација о садржају или фази сесије.

Када изаберете линију у снимку, Добијате комплетан преглед пакета: заглавља слојева (Етернет, IP, TCP/UDP, апликација), појединачна поља, заставице, портови итд. Идеалан је за отклањање грешака у финим протоколским проблемима, анализу VoIP саобраћаја, преглед TCP ретрансмисија или детаљно проучавање начина успостављања сесије.

Вајершарк се истиче по свом подршка за стотине протокола, веома моћне филтере за снимање и преглед, као и могућност чувања и дељења снимака за каснију анализу или слање другим техничарима.

WinDump: Windows верзија tcpdump-а

Ако више волите командну линију, WinDump је Windows адаптација историјског tcpdump алатаЛаган је, брз и савршен за скриптовање или дијагностику из конзоле.

Са WinDump-ом можете Снимање саобраћаја са одређених интерфејса применом BPF филтера (по IP адреси, порту, протоколу итд.), снимите пакете у датотеку да бисте их затим анализирали помоћу Wireshark-а и проверили да ли постоје грешке као што су неправилно обликовани пакети или кварови одређених сесија.

Нема графички интерфејс, али је управо зато идеалан у серверску опрему, удаљене сесије или када желите да аутоматизујете периодична снимања без инсталирања тешких апликација.

BruteShark: Напредна анализа сесија и безбедност

BruteShark је новији и боље опремљени услужни програм безбедносна анализа мрежних снимакаУкључује и графичке и верзије командне линије и фокусира се на задатке као што су:

  • Реконструкција TCP сесија ради прегледа комплетног тока комуникације.
  • Генерисање мрежне мапе на основу посматраног саобраћаја.
  • Екстракција хешева и акредитива из протокола који то дозвољавају, корисно у ревизијама.

То је веома моћан алат дизајниран за Мрежна форензика, тестирање пенетрације и безбедносни преглед протокола и услугаРади са датотека за снимање (нпр. pcap генерисан помоћу Wireshark-а или tcpdump/WinDump-а).

Други специјализовани алати који су бесплатни или имају верзију отвореног кода

Поред чистих анализатора, постоје и апликације које Они комбинују праћење, статистику и дијагнозу.:

  • ОмниПикНамењен је великим професионалним окружењима. Има веома напредне могућности анализе перформанси, иако су његова најмоћнија издања комерцијална.
  • ЦапсаДоступно за Windows у бесплатној, стандардној и пословној верзији. Чак и бесплатно издање нуди подршку за преко 300 протокола и добар број анализа.

Ове алтернативе могу бити корисне за оне који траже вођенији и визуелнији приступ него класични Вајершарк, а да притом и даље користи веома комплетне бесплатне или пробне опције.

заббик

Бесплатни алати за праћење мреже: Nagios, Zabbix и Pandora FMS

Ако циљ није само видети одређене снимке, већ континуирано прати статус сервера, сервиса и мрежних чвороваОво доводи у игру веома озбиљне платформе за праћење које се могу користити и без комерцијалних лиценци.

Нагиос То је један од ветерана. Омогућава вам да пратите доступност, латенцију, статус портова, потрошњу ресурса и услуге практично било ког уређаја на мрежи путем агената и даљинских провера. Његово окружење за праћење приказује консолидоване приказе статуса хостова и услугакао и упозорења када нешто падне или пређе дефинисане прагове.

Заббик То је још једно широко коришћено решење отвореног кода. Можете видети [следеће са његовог веб интерфејса]. графикони мрежног саобраћаја, коришћења процесора, меморије, простора на диску и многих других индикатораЊегова званична документација приказује јасне примере како представља саобраћај по интерфејсу, што га чини идеалним за праћење еволуције пропусног опсега током времена.

Пандора ФМС (Флексибилан систем за праћење) је веома флексибилна шпанска платформа за праћење. Њена документација објашњава... панели где се приказују мрежне метрике, доступност и перформансеКомбиновањем мрежних сонди са агентима инсталираним на уређајима, то је веома комплетна опција за свакога ко жели да подеси централизовано окружење за праћење без плаћања основних комерцијалних лиценци.

Било које од ова три решења ће постићи глобални преглед стања инфраструктуре...савршено допуњујући анализаторе пакета и стрима. Док су Wireshark или WinDump за фино подешавање, Nagios, Zabbix или Pandora FMS пружају панорамски поглед.

Видљивост кроз протоке: некомерцијалне алтернативе великим анализаторима

Велики добављачи продају пакете за анализу саобраћаја засноване на протоку (NetFlow, sFlow, IPFIX, J-Flow, итд.). Иако су многи комерцијални, концепт се лако може поновити бесплатним или алатима отвореног кода. Идеја је да рутери и свичеви извозе резимее комуникацијаи апликација прикупља и приказује те податке.

Типичан анализатор протока вам омогућава да видите, са грануларношћу до једног минута, обим долазног и одлазног саобраћаја по интерфејсу, IP адреси, апликацији, порту и протоколуОдатле се генеришу графикони који приказују врхове саобраћаја и статистику као што су:

  • Брзина (бпс).
  • Укупна пренета запремина.
  • Број пакета.
  • Проценат доступног искоришћења пропусног опсега.

Занимљиво је да се ови извештаји могу прегледати последњи сат, последњи дан, цела четвртина или прилагођени периоди да се извезу у формате као што су CSV или PDF за потребе управљачког извештавања или интерне документације.

Поред општег коришћења пропусног опсега, анализа протока пружа видљивост главних „говорника“ на мрежиПоказује који хостови, апликације, портови и протоколи троше највише ресурса. Такође вам омогућава да се удубите у специфичне разговоре између изворних и одредишних IP адреса како бисте решили проблеме са перформансама или безбедношћу.

Многа бесплатна и крос-платформска решења могу да обављају ову улогу сакупљача и визуализатора стриминг података, нудећи прилагодљиве контролне табле, упозорења о праговима и прикази историјских трендова без потребе да плаћате затворени комерцијални апартман.

Коришћење анализе саобраћаја за побољшање безбедности

Анализа саобраћаја није само због перформанси. У безбедности је један од највреднијих извора информација. Пре него што напад постане видљив, обично долази до промене у обрасцу саобраћаја.више веза него обично, неисправни пакети, масовни неуспели покушаји аутентификације или чудни одлазни токови.

Алати за анализу вам омогућавају да генеришете извештаји о безбедности фокусирани на аномално понашање: токови са неважећим типовима услуга (TOS), неуобичајене комбинације извора и одредишта, скокови саобраћаја у временима када би мрежа требало да буде мирна, итд.

На пример, многи ransomware и брзо ширећи црви генеришу карактеристични обрасци скенирања мреже и саобраћаја ка серверима за командовање и контролуПраћењем овог позадинског саобраћаја могуће је зауставити инцидент много пре него што инфекција утиче на целу организацију.

Још једна предност је могућност да блокирати саобраћај са IP адреса или опсега који нису део организације Када се открије сумњива активност, чиме се јача безбедносна ситуација; такође је корисно знати методе за блокирајте сумњиве везе помоћу команди у Windows окружењима и брзо реагују.

Међутим, није препоручљиво ослањати се у потпуности на магични алат. Кључно је комбиновати добре изворе података о саобраћају са добро дефинисаним правилима и јасним процедурама реаговања.како се упозорења не би заборавила и како би се претворила у конкретне акције.

Како одабрати прави алат за анализу саобраћаја

Не постоји јединствено решење које функционише за све случајеве. Величина мреже, буџет, ниво стручности тима и специфични циљеви Они у великој мери утичу на избор. Упркос томе, постоји низ основних критеријума које треба узети у обзир приликом тражења алтернатива комерцијалним алатима:

  • Конфигуративни извештаји: што омогућава прилагођавање које метрике се приказују (по IP адреси, апликацији, протоколу, интерфејсу итд.), са којим временским интервалом и у ком формату, како би се прикази прилагодили стварним потребама.
  • Компатибилност са више произвођачаШто је алат отворенији и што више уређаја подржава (рутери, прекидачи, заштитни зидови различитих произвођача), мање ћете зависити од власничких решења произвођача.
  • Опције оптимизације мрежеНе би требало само да приказује податке, већ и да помаже у доношењу управљачких одлука, као што су идентификација критичних апликација, ограничавање небитног саобраћаја или реорганизација коришћења пропусног опсега.
  • Једноставност примене и интеграцијеРешење које захтева недеље подешавања може бити непрактично. Боље је да се одлучите за нешто што можете брзо да покренете и покренете, постепено интегришући додатне модуле или додатке.

У многим случајевима, добитна комбинација се састоји од Користите анализатор пакета (Wireshark/WinDump), систем за праћење (Nagios/Zabbix/Pandora) и алат за праћење протока. да покрије све фронтове: детаље, глобалну визију и статистичку анализу.

Шта Windows већ нуди и када не успева

Виндоус укључује неке услужне програме који, иако нису прави анализатори саобраћаја, Они вам помажу да брзо схватите шта се дешава са мрежом одређеног тима. Они не замењују претходне алате, али служе као први увид.

El Таск Манагер Картица Перформансе приказује графиконе коришћења мреже по интерфејсу. Поред тога, листа процеса показује који проценат пропусног опсега мреже користи сваки задатак. То је једноставан начин да открије који програм користи везу у било ком тренутку.

El Ресоурце Монитор (доступно претраживањем „Монитор ресурса“ у менију „Старт“) иде корак даље: нуди Детаљи саобраћаја по процесу, активне TCP везе, портови за слушање и статистика слања/примањаЗа брзу дијагностику, много је свеобухватнији од Менаџера задатака.

Упркос томе, ови алати Не дозвољавају хватање пакета, детаљну анализу протокола или преглед саобраћаја других уређаја на мрежи.Корисни су за свакодневне задатке на једном рачунару, али за озбиљну анализу морате се ослонити на специфичне апликације које су раније поменуте.

Ако једноставно желите да знате шта ваш рачунар ради у погледу саобраћаја, ово би могло бити довољно. Кад год желите ревидирати целу мрежу, проучити глобалне обрасце или истражити безбедносне инцидентеМораћеш даље.

Укратко, иако постоје веома моћна комерцијална решења, Сасвим је изводљиво постићи потпуну видљивост мрежног саобраћаја користећи само бесплатне алате отвореног кодаАнализатори пакета попут Wireshark-а или WinDump-а, платформе за праћење попут Nagios-а, Zabbix-а или Pandora FMS-а и системи за анализу протока који могу да искористе податке из NetFlow-а, sFlow-а или IPFIX-а су све корисни алати. Уз мало праксе и добро дефинисану методологију, можете имати добро надгледану, високо ефикасну и много безбеднију мрежу без трошења иједног евра на комерцијалне лиценце.

НМАП
Повезани чланак:
Ревидирајте своју локалну мрежу помоћу Nmap-а и Wireshark-а корак по корак