në shtëpi
Instalimi
Llogaritja e trafikut të përdoruesve në rrjetin lokal. Programe për monitorimin e trafikut në internet dhe veçoritë e tyre

Llogaritja e trafikut të përdoruesve në rrjetin lokal. Programe për monitorimin e trafikut në internet dhe veçoritë e tyre

Çdo administrator herët a vonë merr udhëzime nga menaxhmenti: "llogarit kush hyn në internet dhe sa shkarkon." Për ofruesit, ai plotësohet nga detyrat e "lejimit të kujtdo që ka nevojë, marrjen e pagesës, kufizimin e aksesit". Çfarë duhet numëruar? Si? Ku? Ka shumë informacione fragmentare, nuk janë të strukturuara. Ne do ta shpëtojmë administratorin fillestar nga kërkimet e lodhshme duke i ofruar atij njohuri të përgjithshme dhe lidhje të dobishme me harduerin.
Në këtë artikull do të përpiqem të përshkruaj parimet e organizimit të mbledhjes, kontabilitetit dhe kontrollit të trafikut në rrjet. Ne do të shqyrtojmë problemin dhe do të rendisim mënyrat e mundshme për të tërhequr informacionin nga pajisjet e rrjetit.

Ky është artikulli i parë teorik në një seri artikujsh kushtuar mbledhjes, kontabilitetit, menaxhimit dhe faturimit të trafikut dhe burimeve të TI-së.

Struktura e aksesit në internet

Në përgjithësi, struktura e aksesit në rrjet duket si kjo:
  • Burimet e jashtme - Interneti, me të gjitha faqet, serverët, adresat dhe gjërat e tjera që nuk i përkasin rrjetit që ju kontrolloni.
  • Pajisja e aksesit – ruteri (me bazë hardueri ose PC), çelësi, serveri VPN ose koncentruesi.
  • Burimet e brendshme janë një grup kompjuterësh, nënrrjetash, pajtimtarësh, funksionimi i të cilëve në rrjet duhet të merret parasysh ose të kontrollohet.
  • Një server menaxhimi ose kontabiliteti është një pajisje në të cilën funksionon softueri i specializuar. Mund të kombinohet funksionalisht me një ruter softuerësh.
Në këtë strukturë, trafiku i rrjetit kalon nga burimet e jashtme në ato të brendshme dhe mbrapa, përmes pajisjes së aksesit. Ai transmeton informacionin e trafikut në serverin e menaxhimit. Serveri i kontrollit përpunon këtë informacion, e ruan atë në bazën e të dhënave, e shfaq atë dhe lëshon komanda bllokimi. Megjithatë, jo të gjitha kombinimet e pajisjeve të aksesit (metodave) dhe metodave të grumbullimit dhe kontrollit janë të pajtueshme. Opsionet e ndryshme do të diskutohen më poshtë.

Trafiku i rrjetit

Së pari, duhet të përcaktoni se çfarë nënkuptohet me "trafik në rrjet" dhe çfarë informacioni të dobishëm statistikor mund të nxirret nga rrjedha e të dhënave të përdoruesit.
Protokolli dominues i punës në internet është ende versioni 4 i IP. Protokolli IP korrespondon me shtresën 3 të modelit OSI (L3). Informacioni (të dhënat) midis dërguesit dhe marrësit paketohen në pako - që kanë një kokë dhe një "ngarkesa". Kreu përcakton se nga vjen dhe nga vjen paketa (adresat IP të dërguesit dhe të marrësit), madhësinë e paketës dhe llojin e ngarkesës. Pjesa më e madhe e trafikut të rrjetit përbëhet nga pako me ngarkesa UDP dhe TCP - këto janë protokollet e Layer 4 (L4). Përveç adresave, kreu i këtyre dy protokolleve përmban numra portash, të cilët përcaktojnë llojin e shërbimit (aplikacionit) që transmeton të dhënat.

Për të transmetuar një paketë IP me tela (ose radio), pajisjet e rrjetit detyrohen ta "mbështjellin" (kapsulojnë) atë në një paketë protokolli Layer 2 (L2). Protokolli më i zakonshëm i këtij lloji është Ethernet. Transmetimi aktual "në tela" ndodh në nivelin e 1-të. Në mënyrë tipike, pajisja e aksesit (ruteri) nuk analizon kokat e paketave në nivele më të larta se niveli 4 (me përjashtim të mureve të zjarrit inteligjent).
Informacioni nga fushat e adresave, porteve, protokolleve dhe numëruesve të gjatësisë nga kokat L3 dhe L4 të paketave të të dhënave përbën "lëndën e parë" që përdoret në kontabilitetin dhe menaxhimin e trafikut. Sasia aktuale e informacionit të transmetuar gjendet në fushën Length të titullit IP (duke përfshirë gjatësinë e vetë kokës). Nga rruga, për shkak të fragmentimit të paketave për shkak të mekanizmit MTU, vëllimi i përgjithshëm i të dhënave të transmetuara është gjithmonë më i madh se madhësia e ngarkesës.

Gjatësia totale e fushave IP dhe TCP/UDP të paketës që janë interesante për ne në këtë kontekst është 2...10% e gjatësisë totale të paketës. Nëse e përpunoni dhe ruani të gjithë këtë informacion grup pas grupi, nuk do të ketë burime të mjaftueshme. Për fat të mirë, pjesa dërrmuese e trafikut është e strukturuar të përbëhet nga një seri "bisedash" midis pajisjeve të rrjetit të jashtëm dhe të brendshëm, të quajtura "flukse". Për shembull, si pjesë e një operacioni të dërgimit të një emaili (protokolli SMTP), hapet një seancë TCP midis klientit dhe serverit. Karakterizohet nga një grup i vazhdueshëm parametrash (adresa IP e burimit, porta TCP e burimit, adresa IP e destinacionit, porta TCP e destinacionit). Në vend të përpunimit dhe ruajtjes së paketës së informacionit për paketë, është shumë më i përshtatshëm të ruhen parametrat e rrjedhës (adresat dhe portet), si dhe informacione shtesë - numri dhe shuma e gjatësive të paketave të transmetuara në çdo drejtim, opsionalisht kohëzgjatja e seancës, ndërfaqja e ruterit. indekset, vlera e fushës ToS, etj. Kjo qasje është e dobishme për protokollet e orientuar drejt lidhjes (TCP), ku është e mundur të përgjohet në mënyrë eksplicite përfundimi i një sesioni. Megjithatë, edhe për protokollet jo të orientuara nga sesionet, është e mundur të kryhet grumbullimi dhe plotësimi logjik i një regjistrimi të rrjedhës bazuar, për shembull, në një afat kohor. Më poshtë është një fragment nga baza e të dhënave SQL e sistemit tonë të faturimit, i cili regjistron informacione rreth flukseve të trafikut:

Është e nevojshme të theksohet rasti kur pajisja e aksesit kryen përkthimin e adresave (NAT, maskuar) për të organizuar aksesin në internet për kompjuterët e rrjetit lokal duke përdorur një adresë IP të jashtme publike. Në këtë rast, një mekanizëm i veçantë zëvendëson adresat IP dhe portat TCP/UDP të paketave të trafikut, duke zëvendësuar adresat e brendshme (jo të rutueshme në internet) sipas tabelës së tij dinamike të përkthimit. Në këtë konfigurim, është e nevojshme të mbani mend se për të regjistruar saktë të dhënat në hostet e rrjetit të brendshëm, statistikat duhet të mblidhen në një mënyrë dhe në një vend ku rezultati i përkthimit ende nuk "anonimizon" adresat e brendshme.

Metodat për mbledhjen e informacionit të trafikut/statistikave

Mund të kapni dhe përpunoni informacione rreth kalimit të trafikut drejtpërdrejt në vetë pajisjen e aksesit (ruteri PC, server VPN), duke e transferuar atë nga kjo pajisje në një server të veçantë (NetFlow, SNMP) ose "nga tela" (trokitje e lehtë, SPAN). Le të shohim të gjitha opsionet në rend.
Ruter PC
Le të shqyrtojmë rastin më të thjeshtë - një pajisje aksesi (ruter) bazuar në një PC që funksionon Linux.

Si të konfiguroni një server të tillë, përkthimin e adresave dhe rrugëzimin, është shkruar shumë. Ne jemi të interesuar për hapin tjetër logjik - informacion se si të marrim informacione në lidhje me trafikun që kalon përmes një serveri të tillë. Ekzistojnë tre metoda të zakonshme:

  • përgjimi (kopjimi) i paketave që kalojnë përmes kartës së rrjetit të serverit duke përdorur bibliotekën libpcap
  • përgjimi i paketave që kalojnë përmes murit të zjarrit të integruar
  • duke përdorur mjete të palëve të treta për konvertimin e statistikave paketë për paketë (të marra nga një nga dy metodat e mëparshme) në një rrjedhë informacioni të grumbulluar në rrjet
Libpcap


Në rastin e parë, një kopje e paketës që kalon përmes ndërfaqes, pas kalimit të filtrit (man pcap-filter), mund të kërkohet nga një program klient në server i shkruar duke përdorur këtë bibliotekë. Paketa vjen me një kokë të shtresës 2 (Ethernet). Është e mundur të kufizohet gjatësia e informacionit të kapur (nëse na intereson vetëm informacioni nga titulli i tij). Shembuj të programeve të tilla janë tcpdump dhe Wireshark. Ekziston një implementim i libpcap për Windows. Nëse përkthimi i adresës përdoret në një ruter PC, një përgjim i tillë mund të kryhet vetëm në ndërfaqen e tij të brendshme të lidhur me përdoruesit lokalë. Në ndërfaqen e jashtme, pas përkthimit, paketat IP nuk përmbajnë informacion për hostet e brendshëm të rrjetit. Megjithatë, me këtë metodë është e pamundur të merret parasysh trafiku i gjeneruar nga vetë serveri në internet (i cili është i rëndësishëm nëse ai drejton një shërbim ueb ose email).

libpcap kërkon mbështetje nga sistemi operativ, i cili aktualisht përbën instalimin e një biblioteke të vetme. Në këtë rast, programi i aplikacionit (përdoruesi) që mbledh paketat duhet:

  • hapni ndërfaqen e kërkuar
  • specifikoni filtrin përmes të cilit kalojnë paketat e marra, madhësinë e pjesës së kapur (snaplen), madhësinë e tamponit,
  • vendos parametrin promisc, i cili e vendos ndërfaqen e rrjetit në modalitetin e kapjes për të gjitha paketat që kalojnë pranë, dhe jo vetëm ato të adresuara në adresën MAC të kësaj ndërfaqeje
  • caktoni një funksion (kthim të thirrjes) që do të thirret në secilën paketë të marrë.

Kur një paketë transmetohet përmes ndërfaqes së zgjedhur, pasi kalon filtrin, ky funksion merr një buffer që përmban Ethernet, (VLAN), IP, etj. headers, madhësia totale deri në snaplen. Meqenëse biblioteka libcap kopjon paketat, ajo nuk mund të përdoret për të bllokuar kalimin e tyre. Në këtë rast, programi i grumbullimit dhe përpunimit të trafikut do të duhet të përdorë metoda alternative, të tilla si thirrja e një skripti për të vendosur një adresë IP të caktuar në një rregull të bllokimit të trafikut.

Firewall


Kapja e të dhënave që kalojnë përmes murit të zjarrit ju lejon të merrni parasysh trafikun e vetë serverit dhe trafikun e përdoruesve të rrjetit, edhe kur përkthimi i adresës është duke u ekzekutuar. Gjëja kryesore në këtë rast është të formuloni saktë rregullin e kapjes dhe ta vendosni atë në vendin e duhur. Ky rregull aktivizon transferimin e paketës drejt bibliotekës së sistemit, nga ku mund ta marrë aplikacioni i kontabilitetit dhe menaxhimit të trafikut. Për Linux OS, iptables përdoret si mur zjarri dhe mjetet e përgjimit janë ipq, netfliter_queue ose ulog. Për OC FreeBSD – ipfw me rregulla si tee ose devijimi. Në çdo rast, mekanizmi i murit të zjarrit plotësohet nga aftësia për të punuar me një program përdoruesi në mënyrën e mëposhtme:
  • Një program përdoruesi - një mbajtës trafiku - regjistrohet në sistem duke përdorur një thirrje sistemi ose një bibliotekë.
  • Një program përdoruesi ose skript i jashtëm instalon një rregull në murin e zjarrit, duke "mbështjellë" trafikun e zgjedhur (sipas rregullit) brenda mbajtësit.
  • Për çdo paketë që kalon, mbajtësi merr përmbajtjen e tij në formën e një buferi memorie (me kokë IP, etj. Pas përpunimit (kontabilitetit), programi duhet t'i tregojë gjithashtu bërthamës së sistemit operativ se çfarë të bëjë më pas me një paketë të tillë - hidheni atë ose kaloni atë Përndryshe, është e mundur të kaloni paketën e modifikuar në kernel.

Meqenëse paketa IP nuk kopjohet, por dërgohet në softuer për analizë, bëhet e mundur "heqja" e saj, dhe për këtë arsye, kufizohet plotësisht ose pjesërisht trafiku i një lloji të caktuar (për shembull, te një pajtimtar i zgjedhur i rrjetit lokal). Sidoqoftë, nëse programi i aplikacionit ndalon t'i përgjigjet kernelit në lidhje me vendimin e tij (për shembull, i varur), trafiku përmes serverit thjesht bllokohet.
Duhet të theksohet se mekanizmat e përshkruar, me vëllime të konsiderueshme të trafikut të transmetuar, krijojnë ngarkesë të tepërt në server, e cila shoqërohet me kopjimin e vazhdueshëm të të dhënave nga kerneli në programin e përdoruesit. Metoda e mbledhjes së statistikave në nivelin e kernelit OS, me daljen e statistikave të grumbulluara në programin aplikativ nëpërmjet protokollit NetFlow, nuk e ka këtë pengesë.

Rrjedha e rrjetit
Ky protokoll u zhvillua nga Cisco Systems për të eksportuar informacionin e trafikut nga ruterët për qëllime të kontabilitetit dhe analizës së trafikut. Versioni më i popullarizuar 5 tani i siguron marrësit një rrjedhë të dhënash të strukturuara në formën e paketave UDP që përmbajnë informacione rreth trafikut të kaluar në formën e të ashtuquajturave regjistrime të rrjedhës:

Sasia e informacionit rreth trafikut është disa renditje më e vogël se vetë trafiku, gjë që është veçanërisht e rëndësishme në rrjetet e mëdha dhe të shpërndara. Sigurisht, është e pamundur të bllokohet transferimi i informacionit gjatë mbledhjes së statistikave përmes netflow (përveç nëse përdoren mekanizma shtesë).
Aktualisht, një zhvillim i mëtejshëm i këtij protokolli po bëhet i njohur - versioni 9, bazuar në strukturën e regjistrimit të rrjedhës së shabllonit, zbatimin për pajisjet nga prodhuesit e tjerë (sFlow). Kohët e fundit, u miratua standardi IPFIX, i cili lejon që statistikat të transmetohen përmes protokolleve në nivele më të thella (për shembull, sipas llojit të aplikacionit).
Zbatimi i burimeve të rrjedhës së rrjetit (agjentë, sonda) është i disponueshëm për ruterat e PC, si në formën e shërbimeve që punojnë sipas mekanizmave të përshkruar më sipër (flowprobe, softflowd), ashtu edhe të integruara drejtpërdrejt në kernelin e OS (FreeBSD: ng_netgraph, Linux:) . Për ruterat e softuerit, rryma e statistikave të netflow mund të merret dhe përpunohet në nivel lokal në vetë ruterin, ose të dërgohet përmes rrjetit (protokolli i transferimit - mbi UDP) në pajisjen marrëse (kolektor).


Programi mbledhës mund të mbledhë informacion nga shumë burime në të njëjtën kohë, duke qenë në gjendje të dallojë trafikun e tyre edhe me hapësira adresash të mbivendosura. Duke përdorur mjete shtesë si nprobe, është gjithashtu e mundur të kryhet grumbullimi shtesë i të dhënave, bifurkimi i rrjedhës ose konvertimi i protokollit, gjë që është e rëndësishme kur menaxhoni një rrjet të madh dhe të shpërndarë me dhjetëra rutera.

Funksionet e eksportit të Netflow mbështesin ruterat nga Cisco Systems, Mikrotik dhe disa të tjerë. Funksionalitet i ngjashëm (me protokolle të tjera të eksportit) mbështetet nga të gjithë prodhuesit kryesorë të pajisjeve të rrjetit.

Libpcap "jashtë"
Le ta komplikojmë pak detyrën. Po sikur pajisja juaj e aksesit të jetë një ruter hardueri nga një prodhues tjetër? Për shembull, D-Link, ASUS, Trendnet, etj. Me shumë mundësi është e pamundur të instaloni softuer shtesë për marrjen e të dhënave në të. Përndryshe, ju keni një pajisje me akses inteligjent, por nuk është e mundur ta konfiguroni atë (nuk keni të drejta ose menaxhohet nga ofruesi juaj). Në këtë rast, ju mund të mbledhni informacione rreth trafikut direkt në pikën ku pajisja e aksesit takohet me rrjetin e brendshëm, duke përdorur mjetet e kopjimit të paketave "hardware". Në këtë rast, do t'ju duhet patjetër një server i veçantë me një kartë rrjeti të dedikuar për të marrë kopje të paketave Ethernet.
Serveri duhet të përdorë mekanizmin e mbledhjes së paketave duke përdorur metodën libpcap të përshkruar më sipër dhe detyra jonë është të dërgojmë një rrjedhë të dhënash identike me atë që vjen nga serveri i aksesit në hyrjen e kartës së rrjetit të dedikuar për këtë qëllim. Për këtë ju mund të përdorni:
  • Ethernet - shpërndarës: një pajisje që thjesht përcjell paketat midis të gjitha porteve të saj pa dallim. Në realitetet moderne, mund të gjendet diku në një depo me pluhur, dhe përdorimi i kësaj metode nuk rekomandohet: jo i besueshëm, me shpejtësi të ulët (nuk ka shpërndarës me shpejtësi 1 Gbit/s)
  • Ethernet - një ndërprerës me aftësinë për të pasqyruar (pasqyrim, porte SPAN. Çelësat modernë inteligjentë (dhe të shtrenjtë) ju lejojnë të kopjoni të gjithë trafikun (në hyrje, në dalje, të dyja) të një ndërfaqeje tjetër fizike, VLAN, duke përfshirë telekomandën (RSPAN) në një të caktuar port
  • Ndarës i harduerit, i cili mund të kërkojë instalimin e dy kartave të rrjetit në vend të njërës për të mbledhur - dhe kjo është përveç asaj kryesore, të sistemit.


Natyrisht, mund të konfiguroni një portë SPAN në vetë pajisjen e aksesit (ruter), nëse e lejon - Cisco Catalyst 6500, Cisco ASA. Këtu është një shembull i një konfigurimi të tillë për një ndërprerës Cisco:
monitoroni sesionin 1 burim vlan 100 ! nga i marrim paketat?
monitoroni ndërfaqen e destinacionit të seancës 1 Gi6/3! ku i lëshojmë paketat?

SNMP
Po nëse nuk kemi një ruter nën kontrollin tonë, nuk duam të kontaktojmë netflow, nuk jemi të interesuar për detajet e trafikut të përdoruesve tanë. Ata thjesht lidhen me rrjetin përmes një ndërprerësi të menaxhuar, dhe ne vetëm duhet të vlerësojmë përafërsisht sasinë e trafikut që shkon në secilën prej porteve të tij. Siç e dini, pajisjet e rrjetit që mbështesin telekomandën dhe mund të shfaqin numëruesit e paketave (bajt) që kalojnë nëpër ndërfaqet e rrjetit. Për t'i anketuar ato, do të ishte e saktë të përdoret protokolli i standardizuar i menaxhimit në distancë SNMP. Duke përdorur atë, ju mund të merrni mjaft lehtë jo vetëm vlerat e numëruesve të specifikuar, por edhe parametra të tjerë, siç janë emri dhe përshkrimi i ndërfaqes, adresat MAC të dukshme përmes tij dhe informacione të tjera të dobishme. Kjo bëhet si nga shërbimet e linjës së komandës (snmpwalk), shfletuesit grafikë SNMP dhe programet më komplekse të monitorimit të rrjetit (rrdtools, kaktusët, zabbix, whats up gold, etj.). Sidoqoftë, kjo metodë ka dy disavantazhe të rëndësishme:
  • Bllokimi i trafikut mund të bëhet vetëm duke çaktivizuar plotësisht ndërfaqen, duke përdorur të njëjtin SNMP
  • numëruesit e trafikut të marra nëpërmjet SNMP i referohen shumës së gjatësisë së paketave Ethernet (unicast, transmetimi dhe multicast veçmas), ndërsa pjesa tjetër e mjeteve të përshkruara më parë japin vlera në lidhje me paketat IP. Kjo krijon një mospërputhje të dukshme (veçanërisht në paketat e shkurtra) për shkak të kostos së sipërme të shkaktuar nga gjatësia e kokës së Ethernetit (megjithatë, kjo mund të luftohet përafërsisht: L3_byte = L2_byte - L2_packets * 38).
VPN
Më vete, vlen të merret në konsideratë rasti i aksesit të përdoruesit në rrjet duke krijuar në mënyrë eksplicite një lidhje me serverin e aksesit. Një shembull klasik është dial-up-i i vjetër, analog i të cilit në botën moderne janë shërbimet e qasjes në distancë VPN (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


Pajisja e aksesit jo vetëm që drejton trafikun IP të përdoruesit, por gjithashtu vepron si një server i specializuar VPN dhe përfundon tunelet logjike (shpesh të koduar) brenda të cilëve transmetohet trafiku i përdoruesit.
Për të llogaritur një trafik të tillë, mund të përdorni të gjitha mjetet e përshkruara më sipër (dhe ato janë të përshtatshme për analiza të thella nga portet/protokollet), si dhe mekanizmat shtesë që ofrojnë mjete të kontrollit të aksesit VPN. Para së gjithash, ne do të flasim për protokollin RADIUS. Puna e tij është një temë mjaft komplekse. Shkurtimisht do të përmendim se kontrolli (autorizimi) i aksesit në serverin VPN (klienti RADIUS) kontrollohet nga një aplikacion i veçantë (serveri RADIUS), i cili ka një bazë të dhënash (skedar teksti, SQL, Active Directory) të përdoruesve të lejuar me atributet e tyre. (kufizime në shpejtësinë e lidhjes, adresat IP të caktuara). Përveç procesit të autorizimit, klienti transmeton periodikisht mesazhet e kontabilitetit në server, informacione për gjendjen e çdo sesioni VPN aktualisht në zhvillim, duke përfshirë numëruesit e bajteve dhe paketave të transmetuara.

konkluzioni

Le të sjellim së bashku të gjitha metodat për mbledhjen e informacionit të trafikut të përshkruar më sipër:

Le të përmbledhim. Në praktikë, ekziston një numër i madh metodash për lidhjen e rrjetit që menaxhoni (me klientët ose abonentët e zyrës) me një infrastrukturë të jashtme rrjeti, duke përdorur një sërë mjetesh aksesi - ruterë softuerësh dhe harduerësh, ndërprerës, serverë VPN. Sidoqoftë, pothuajse në çdo rast, është e mundur të krijohet një skemë ku informacioni në lidhje me trafikun e transmetuar përmes rrjetit mund të dërgohet në një mjet softueri ose hardueri për analizën dhe menaxhimin e tij. Është gjithashtu e mundur që ky mjet të lejojë reagime në pajisjen e aksesit, duke përdorur algoritme inteligjente të kufizimit të aksesit për klientë individualë, protokolle dhe gjëra të tjera.
Këtu do të përfundoj analizën e materialit. Temat e mbetura pa përgjigje janë:

  • si dhe ku shkojnë të dhënat e grumbulluara të trafikut
  • softuer i kontabilitetit të trafikut
  • cili është ndryshimi midis faturimit dhe një "counter" të thjeshtë
  • Si mund të vendosni kufizime në trafik?
  • kontabiliteti dhe kufizimi i faqeve të vizituara në internet

Etiketa: Shtoni etiketa

Kompjuterët janë të lidhur me njëri-tjetrin duke përdorur rrjete të jashtme ose të brendshme. Falë kësaj, përdoruesit mund të ndajnë informacione me njëri-tjetrin, edhe kur janë në kontinente të ndryshme.

Softueri i kontrollit të trafikut të zyrës

Duke përdorur ICS, ju mund të kontrolloni lehtësisht llogaritjen e trafikut dhe shpërndarjen e tij midis përdoruesve, të ndikoni në aftësinë për t'u lidhur me burimet e Internetit sipas gjykimit tuaj dhe të siguroni sigurinë e rrjetit tuaj të brendshëm.

Softueri i kontrollit të trafikut të shkollës

ICS është një portë universale interneti me mjete për mbrojtjen e një rrjeti arsimor, kontabilitetin e trafikut, kontrollin e aksesit dhe vendosjen e një serveri poste, proxy dhe skedarësh.

Softueri i kontrollit të trafikut në shtëpi

ICS Lite është një portë interneti falas që ofron të gjitha nevojat tuaja për internet në shtëpi. ICS Lite është një version i plotë i Internet Control Server, i cili përfshin një licencë për 8 përdorues.


Llojet e rrjeteve

  • Shtëpi - kombinoni kompjuterët në një apartament ose shtëpi.
  • Korporatë - lidhni makinat e punës të ndërmarrjes.
  • Rrjetet lokale shpesh kanë një infrastrukturë të mbyllur.
  • Global - lidh rajone të tëra dhe mund të përfshijë rrjete lokale.

Përfitimet e një komunikimi të tillë janë të mëdha: kursehet koha e specialistëve dhe reduktohen faturat e telefonit. Dhe të gjitha këto përfitime mund të reduktohen në zero nëse nuk kujdeset për sigurinë në kohë.

Firmat që nuk janë të njohura me konceptin e "kontrollit të trafikut" pësojnë humbje të mëdha ose kufizojnë plotësisht aksesin në informacion. Ekziston një mënyrë më e lehtë për të kursyer në mënyrë të sigurt - një program për monitorimin e trafikut në rrjetin lokal.

Ndjekja e trafikut

Është e rëndësishme që një menaxher të dijë se si shpenzohen fondet e kompanisë. Prandaj, administratori i sistemit është përgjegjës, ndër të tjera, për monitorimin e trafikut të rrjetit në zyrë. Statistikat mblidhen jo vetëm për vëllimin, por edhe për përmbajtjen e informacionit të transmetuar.

Pse keni nevojë për kontrollin e rrjetit lokal? Megjithëse përgjigja për këtë pyetje është e qartë, shumë administratorë të sistemit nuk mund të vërtetojnë nevojën për të kontrolluar konsumin e trafikut të Internetit.

Përfitimet për menaxherin

Programi i kontrollit të trafikut:

  • optimizon funksionimin e rrjetit - duke kursyer kohën e punës së specialistëve, rritet produktiviteti i punës;
  • tregon shpërndarjen e trafikut nga përdoruesit - bën të mundur të zbuloni se kujt i duhen burimet e Internetit;
  • tregon se për çfarë qëllimesh është shpenzuar trafiku - eliminon aksesin e papërshtatshëm.

Përfitimet për administratorin e sistemit

Monitorimi i trafikut në një rrjet lokal ju lejon të:

  • kufizoni aksesin e përdoruesit në informacionin e padëshiruar;
  • merrni shpejt të dhëna për vëllimin e trafikut - duke shmangur bllokimet e rrjetit;
  • parandaloni hyrjen e viruseve në rrjet dhe identifikoni shkelësit e sigurisë.

Kontrolloni opsionet e zbatimit

Monitorimi i trafikut të internetit në një rrjet të korporatës mund të organizohet në disa mënyra:

  1. Bleni një mur zjarri me aftësinë për të dalluar trafikun.
  2. Konfiguro serverët proxy me drejtues NAT me funksione të kontabilitetit të trafikut.
  3. Përdorni lloje të ndryshme shtesash.

Vetëm një zgjidhje gjithëpërfshirëse mund të sigurojë mbrojtje maksimale. Serveri i Kontrollit të Internetit ofron kontroll të plotë të trafikut dhe ofron të gjithë funksionalitetin e nevojshëm. ICS është një ruter me një server proxy të integruar që funksionon në FreeBSD.

Përparësitë e ICS

  1. Studimet statistikore kanë zbuluar se punonjësit shpenzojnë 1/3 e kohës së tyre të punës duke hyrë në internet për qëllime personale. Një portë speciale e Internetit ICS do të ndihmojë në parandalimin e aksesit të paautorizuar.
  2. Sistemi i monitorimit të konsumit të trafikut mban të dhëna për çdo sistem operativ të përdoruesit.
  3. ICS ofron cilësime fleksibël.
  4. Përgatit raporte të detajuara në një formë të përshtatshme.

Shkarkoni falas!

Filloni tani - shkarkoni versionin demo të programit për monitorimin e trafikut të Internetit nga faqja jonë e internetit. Ju do të jeni në gjendje të përdorni të gjitha veçoritë e zgjidhjes sonë pa kufizime për 35 ditë! Pas përfundimit të periudhës së testimit, ju vetëm duhet të blini versionin e plotë duke bërë një porosi ose duke kontaktuar menaxherët tanë.

Lloji i organizimit

Zgjidhni llojin e organizimit Institucioni arsimor Institucioni buxhetor Organizata tregtare

Çmimet NUK vlejnë për institucionet private joshtetërore dhe institucionet e arsimit profesional pasuniversitar

botimet e ICS

Nuk kërkohet ICS Standard ICS FSTEC

Për të llogaritur koston e FSTEC, kontaktoni departamentin e shitjeve

Lloji i dorëzimit

ICS ICS + SkyDNS ICS + Kaspersky Web Filtering

Lloji i licencës

Licenca e re Përditëso licencën

Zgjerimi i Licencës së Përditësimit Premium

Numri i përdoruesve

Zgjatja e licencës

C përpara përdoruesit

Çdo administrator herët a vonë merr udhëzime nga menaxhmenti: "llogarit kush hyn në internet dhe sa shkarkon." Për ofruesit, ai plotësohet nga detyrat e "lejimit të kujtdo që ka nevojë, marrjen e pagesës, kufizimin e aksesit". Çfarë duhet numëruar? Si? Ku? Ka shumë informacione fragmentare, nuk janë të strukturuara. Ne do ta shpëtojmë administratorin fillestar nga kërkimet e lodhshme duke i ofruar atij njohuri të përgjithshme dhe lidhje të dobishme me harduerin.
Në këtë artikull do të përpiqem të përshkruaj parimet e organizimit të mbledhjes, kontabilitetit dhe kontrollit të trafikut në rrjet. Ne do të shqyrtojmë problemin dhe do të rendisim mënyrat e mundshme për të tërhequr informacionin nga pajisjet e rrjetit.

Ky është artikulli i parë teorik në një seri artikujsh kushtuar mbledhjes, kontabilitetit, menaxhimit dhe faturimit të trafikut dhe burimeve të TI-së.

Struktura e aksesit në internet

Në përgjithësi, struktura e aksesit në rrjet duket si kjo:
  • Burimet e jashtme - Interneti, me të gjitha faqet, serverët, adresat dhe gjërat e tjera që nuk i përkasin rrjetit që ju kontrolloni.
  • Pajisja e aksesit – ruteri (me bazë hardueri ose PC), çelësi, serveri VPN ose koncentruesi.
  • Burimet e brendshme janë një grup kompjuterësh, nënrrjetash, pajtimtarësh, funksionimi i të cilëve në rrjet duhet të merret parasysh ose të kontrollohet.
  • Një server menaxhimi ose kontabiliteti është një pajisje në të cilën funksionon softueri i specializuar. Mund të kombinohet funksionalisht me një ruter softuerësh.
Në këtë strukturë, trafiku i rrjetit kalon nga burimet e jashtme në ato të brendshme dhe mbrapa, përmes pajisjes së aksesit. Ai transmeton informacionin e trafikut në serverin e menaxhimit. Serveri i kontrollit përpunon këtë informacion, e ruan atë në bazën e të dhënave, e shfaq atë dhe lëshon komanda bllokimi. Megjithatë, jo të gjitha kombinimet e pajisjeve të aksesit (metodave) dhe metodave të grumbullimit dhe kontrollit janë të pajtueshme. Opsionet e ndryshme do të diskutohen më poshtë.

Trafiku i rrjetit

Së pari, duhet të përcaktoni se çfarë nënkuptohet me "trafik në rrjet" dhe çfarë informacioni të dobishëm statistikor mund të nxirret nga rrjedha e të dhënave të përdoruesit.
Protokolli dominues i punës në internet është ende versioni 4 i IP. Protokolli IP korrespondon me shtresën 3 të modelit OSI (L3). Informacioni (të dhënat) midis dërguesit dhe marrësit paketohen në pako - që kanë një kokë dhe një "ngarkesa". Kreu përcakton se nga vjen dhe nga vjen paketa (adresat IP të dërguesit dhe të marrësit), madhësinë e paketës dhe llojin e ngarkesës. Pjesa më e madhe e trafikut të rrjetit përbëhet nga pako me ngarkesa UDP dhe TCP - këto janë protokollet e Layer 4 (L4). Përveç adresave, kreu i këtyre dy protokolleve përmban numra portash, të cilët përcaktojnë llojin e shërbimit (aplikacionit) që transmeton të dhënat.

Për të transmetuar një paketë IP me tela (ose radio), pajisjet e rrjetit detyrohen ta "mbështjellin" (kapsulojnë) atë në një paketë protokolli Layer 2 (L2). Protokolli më i zakonshëm i këtij lloji është Ethernet. Transmetimi aktual "në tela" ndodh në nivelin e 1-të. Në mënyrë tipike, pajisja e aksesit (ruteri) nuk analizon kokat e paketave në nivele më të larta se niveli 4 (me përjashtim të mureve të zjarrit inteligjent).
Informacioni nga fushat e adresave, porteve, protokolleve dhe numëruesve të gjatësisë nga kokat L3 dhe L4 të paketave të të dhënave përbën "lëndën e parë" që përdoret në kontabilitetin dhe menaxhimin e trafikut. Sasia aktuale e informacionit të transmetuar gjendet në fushën Length të titullit IP (duke përfshirë gjatësinë e vetë kokës). Nga rruga, për shkak të fragmentimit të paketave për shkak të mekanizmit MTU, vëllimi i përgjithshëm i të dhënave të transmetuara është gjithmonë më i madh se madhësia e ngarkesës.

Gjatësia totale e fushave IP dhe TCP/UDP të paketës që janë interesante për ne në këtë kontekst është 2...10% e gjatësisë totale të paketës. Nëse e përpunoni dhe ruani të gjithë këtë informacion grup pas grupi, nuk do të ketë burime të mjaftueshme. Për fat të mirë, pjesa dërrmuese e trafikut është e strukturuar të përbëhet nga një seri "bisedash" midis pajisjeve të rrjetit të jashtëm dhe të brendshëm, të quajtura "flukse". Për shembull, si pjesë e një operacioni të dërgimit të një emaili (protokolli SMTP), hapet një seancë TCP midis klientit dhe serverit. Karakterizohet nga një grup i vazhdueshëm parametrash (adresa IP e burimit, porta TCP e burimit, adresa IP e destinacionit, porta TCP e destinacionit). Në vend të përpunimit dhe ruajtjes së paketës së informacionit për paketë, është shumë më i përshtatshëm të ruhen parametrat e rrjedhës (adresat dhe portet), si dhe informacione shtesë - numri dhe shuma e gjatësive të paketave të transmetuara në çdo drejtim, opsionalisht kohëzgjatja e seancës, ndërfaqja e ruterit. indekset, vlera e fushës ToS, etj. Kjo qasje është e dobishme për protokollet e orientuar drejt lidhjes (TCP), ku është e mundur të përgjohet në mënyrë eksplicite përfundimi i një sesioni. Megjithatë, edhe për protokollet jo të orientuara nga sesionet, është e mundur të kryhet grumbullimi dhe plotësimi logjik i një regjistrimi të rrjedhës bazuar, për shembull, në një afat kohor. Më poshtë është një fragment nga baza e të dhënave SQL e sistemit tonë të faturimit, i cili regjistron informacione rreth flukseve të trafikut:

Është e nevojshme të theksohet rasti kur pajisja e aksesit kryen përkthimin e adresave (NAT, maskuar) për të organizuar aksesin në internet për kompjuterët e rrjetit lokal duke përdorur një adresë IP të jashtme publike. Në këtë rast, një mekanizëm i veçantë zëvendëson adresat IP dhe portat TCP/UDP të paketave të trafikut, duke zëvendësuar adresat e brendshme (jo të rutueshme në internet) sipas tabelës së tij dinamike të përkthimit. Në këtë konfigurim, është e nevojshme të mbani mend se për të regjistruar saktë të dhënat në hostet e rrjetit të brendshëm, statistikat duhet të mblidhen në një mënyrë dhe në një vend ku rezultati i përkthimit ende nuk "anonimizon" adresat e brendshme.

Metodat për mbledhjen e informacionit të trafikut/statistikave

Mund të kapni dhe përpunoni informacione rreth kalimit të trafikut drejtpërdrejt në vetë pajisjen e aksesit (ruteri PC, server VPN), duke e transferuar atë nga kjo pajisje në një server të veçantë (NetFlow, SNMP) ose "nga tela" (trokitje e lehtë, SPAN). Le të shohim të gjitha opsionet në rend.
Ruter PC
Le të shqyrtojmë rastin më të thjeshtë - një pajisje aksesi (ruter) bazuar në një PC që funksionon Linux.

Si të konfiguroni një server të tillë, përkthimin e adresave dhe rrugëzimin, është shkruar shumë. Ne jemi të interesuar për hapin tjetër logjik - informacion se si të marrim informacione në lidhje me trafikun që kalon përmes një serveri të tillë. Ekzistojnë tre metoda të zakonshme:

  • përgjimi (kopjimi) i paketave që kalojnë përmes kartës së rrjetit të serverit duke përdorur bibliotekën libpcap
  • përgjimi i paketave që kalojnë përmes murit të zjarrit të integruar
  • duke përdorur mjete të palëve të treta për konvertimin e statistikave paketë për paketë (të marra nga një nga dy metodat e mëparshme) në një rrjedhë informacioni të grumbulluar në rrjet
Libpcap


Në rastin e parë, një kopje e paketës që kalon përmes ndërfaqes, pas kalimit të filtrit (man pcap-filter), mund të kërkohet nga një program klient në server i shkruar duke përdorur këtë bibliotekë. Paketa vjen me një kokë të shtresës 2 (Ethernet). Është e mundur të kufizohet gjatësia e informacionit të kapur (nëse na intereson vetëm informacioni nga titulli i tij). Shembuj të programeve të tilla janë tcpdump dhe Wireshark. Ekziston një implementim i libpcap për Windows. Nëse përkthimi i adresës përdoret në një ruter PC, një përgjim i tillë mund të kryhet vetëm në ndërfaqen e tij të brendshme të lidhur me përdoruesit lokalë. Në ndërfaqen e jashtme, pas përkthimit, paketat IP nuk përmbajnë informacion për hostet e brendshëm të rrjetit. Megjithatë, me këtë metodë është e pamundur të merret parasysh trafiku i gjeneruar nga vetë serveri në internet (i cili është i rëndësishëm nëse ai drejton një shërbim ueb ose email).

libpcap kërkon mbështetje nga sistemi operativ, i cili aktualisht përbën instalimin e një biblioteke të vetme. Në këtë rast, programi i aplikacionit (përdoruesi) që mbledh paketat duhet:

  • hapni ndërfaqen e kërkuar
  • specifikoni filtrin përmes të cilit kalojnë paketat e marra, madhësinë e pjesës së kapur (snaplen), madhësinë e tamponit,
  • vendos parametrin promisc, i cili e vendos ndërfaqen e rrjetit në modalitetin e kapjes për të gjitha paketat që kalojnë pranë, dhe jo vetëm ato të adresuara në adresën MAC të kësaj ndërfaqeje
  • caktoni një funksion (kthim të thirrjes) që do të thirret në secilën paketë të marrë.

Kur një paketë transmetohet përmes ndërfaqes së zgjedhur, pasi kalon filtrin, ky funksion merr një buffer që përmban Ethernet, (VLAN), IP, etj. headers, madhësia totale deri në snaplen. Meqenëse biblioteka libcap kopjon paketat, ajo nuk mund të përdoret për të bllokuar kalimin e tyre. Në këtë rast, programi i grumbullimit dhe përpunimit të trafikut do të duhet të përdorë metoda alternative, të tilla si thirrja e një skripti për të vendosur një adresë IP të caktuar në një rregull të bllokimit të trafikut.

Firewall


Kapja e të dhënave që kalojnë përmes murit të zjarrit ju lejon të merrni parasysh trafikun e vetë serverit dhe trafikun e përdoruesve të rrjetit, edhe kur përkthimi i adresës është duke u ekzekutuar. Gjëja kryesore në këtë rast është të formuloni saktë rregullin e kapjes dhe ta vendosni atë në vendin e duhur. Ky rregull aktivizon transferimin e paketës drejt bibliotekës së sistemit, nga ku mund ta marrë aplikacioni i kontabilitetit dhe menaxhimit të trafikut. Për Linux OS, iptables përdoret si mur zjarri dhe mjetet e përgjimit janë ipq, netfliter_queue ose ulog. Për OC FreeBSD – ipfw me rregulla si tee ose devijimi. Në çdo rast, mekanizmi i murit të zjarrit plotësohet nga aftësia për të punuar me një program përdoruesi në mënyrën e mëposhtme:
  • Një program përdoruesi - një mbajtës trafiku - regjistrohet në sistem duke përdorur një thirrje sistemi ose një bibliotekë.
  • Një program përdoruesi ose skript i jashtëm instalon një rregull në murin e zjarrit, duke "mbështjellë" trafikun e zgjedhur (sipas rregullit) brenda mbajtësit.
  • Për çdo paketë që kalon, mbajtësi merr përmbajtjen e tij në formën e një buferi memorie (me kokë IP, etj. Pas përpunimit (kontabilitetit), programi duhet t'i tregojë gjithashtu bërthamës së sistemit operativ se çfarë të bëjë më pas me një paketë të tillë - hidheni atë ose kaloni atë Përndryshe, është e mundur të kaloni paketën e modifikuar në kernel.

Meqenëse paketa IP nuk kopjohet, por dërgohet në softuer për analizë, bëhet e mundur "heqja" e saj, dhe për këtë arsye, kufizohet plotësisht ose pjesërisht trafiku i një lloji të caktuar (për shembull, te një pajtimtar i zgjedhur i rrjetit lokal). Sidoqoftë, nëse programi i aplikacionit ndalon t'i përgjigjet kernelit në lidhje me vendimin e tij (për shembull, i varur), trafiku përmes serverit thjesht bllokohet.
Duhet të theksohet se mekanizmat e përshkruar, me vëllime të konsiderueshme të trafikut të transmetuar, krijojnë ngarkesë të tepërt në server, e cila shoqërohet me kopjimin e vazhdueshëm të të dhënave nga kerneli në programin e përdoruesit. Metoda e mbledhjes së statistikave në nivelin e kernelit OS, me daljen e statistikave të grumbulluara në programin aplikativ nëpërmjet protokollit NetFlow, nuk e ka këtë pengesë.

Rrjedha e rrjetit
Ky protokoll u zhvillua nga Cisco Systems për të eksportuar informacionin e trafikut nga ruterët për qëllime të kontabilitetit dhe analizës së trafikut. Versioni më i popullarizuar 5 tani i siguron marrësit një rrjedhë të dhënash të strukturuara në formën e paketave UDP që përmbajnë informacione rreth trafikut të kaluar në formën e të ashtuquajturave regjistrime të rrjedhës:

Sasia e informacionit rreth trafikut është disa renditje më e vogël se vetë trafiku, gjë që është veçanërisht e rëndësishme në rrjetet e mëdha dhe të shpërndara. Sigurisht, është e pamundur të bllokohet transferimi i informacionit gjatë mbledhjes së statistikave përmes netflow (përveç nëse përdoren mekanizma shtesë).
Aktualisht, një zhvillim i mëtejshëm i këtij protokolli po bëhet i njohur - versioni 9, bazuar në strukturën e regjistrimit të rrjedhës së shabllonit, zbatimin për pajisjet nga prodhuesit e tjerë (sFlow). Kohët e fundit, u miratua standardi IPFIX, i cili lejon që statistikat të transmetohen përmes protokolleve në nivele më të thella (për shembull, sipas llojit të aplikacionit).
Zbatimi i burimeve të rrjedhës së rrjetit (agjentë, sonda) është i disponueshëm për ruterat e PC, si në formën e shërbimeve që punojnë sipas mekanizmave të përshkruar më sipër (flowprobe, softflowd), ashtu edhe të integruara drejtpërdrejt në kernelin e OS (FreeBSD:, Linux:). Për ruterat e softuerit, rryma e statistikave të netflow mund të merret dhe përpunohet në nivel lokal në vetë ruterin, ose të dërgohet përmes rrjetit (protokolli i transferimit - mbi UDP) në pajisjen marrëse (kolektor).


Programi mbledhës mund të mbledhë informacion nga shumë burime në të njëjtën kohë, duke qenë në gjendje të dallojë trafikun e tyre edhe me hapësira adresash të mbivendosura. Duke përdorur mjete shtesë si nprobe, është gjithashtu e mundur të kryhet grumbullimi shtesë i të dhënave, bifurkimi i rrjedhës ose konvertimi i protokollit, gjë që është e rëndësishme kur menaxhoni një rrjet të madh dhe të shpërndarë me dhjetëra rutera.

Funksionet e eksportit të Netflow mbështesin ruterat nga Cisco Systems, Mikrotik dhe disa të tjerë. Funksionalitet i ngjashëm (me protokolle të tjera të eksportit) mbështetet nga të gjithë prodhuesit kryesorë të pajisjeve të rrjetit.

Libpcap "jashtë"
Le ta komplikojmë pak detyrën. Po sikur pajisja juaj e aksesit të jetë një ruter hardueri nga një prodhues tjetër? Për shembull, D-Link, ASUS, Trendnet, etj. Me shumë mundësi është e pamundur të instaloni softuer shtesë për marrjen e të dhënave në të. Përndryshe, ju keni një pajisje me akses inteligjent, por nuk është e mundur ta konfiguroni atë (nuk keni të drejta ose menaxhohet nga ofruesi juaj). Në këtë rast, ju mund të mbledhni informacione rreth trafikut direkt në pikën ku pajisja e aksesit takohet me rrjetin e brendshëm, duke përdorur mjetet e kopjimit të paketave "hardware". Në këtë rast, do t'ju duhet patjetër një server i veçantë me një kartë rrjeti të dedikuar për të marrë kopje të paketave Ethernet.
Serveri duhet të përdorë mekanizmin e mbledhjes së paketave duke përdorur metodën libpcap të përshkruar më sipër dhe detyra jonë është të dërgojmë një rrjedhë të dhënash identike me atë që vjen nga serveri i aksesit në hyrjen e kartës së rrjetit të dedikuar për këtë qëllim. Për këtë ju mund të përdorni:
  • Ethernet - shpërndarës: një pajisje që thjesht përcjell paketat midis të gjitha porteve të saj pa dallim. Në realitetet moderne, mund të gjendet diku në një depo me pluhur, dhe përdorimi i kësaj metode nuk rekomandohet: jo i besueshëm, me shpejtësi të ulët (nuk ka shpërndarës me shpejtësi 1 Gbit/s)
  • Ethernet - një ndërprerës me aftësinë për të pasqyruar (pasqyrim, porte SPAN. Çelësat modernë inteligjentë (dhe të shtrenjtë) ju lejojnë të kopjoni të gjithë trafikun (në hyrje, në dalje, të dyja) të një ndërfaqeje tjetër fizike, VLAN, duke përfshirë telekomandën (RSPAN) në një të caktuar port
  • Ndarës i harduerit, i cili mund të kërkojë instalimin e dy kartave të rrjetit në vend të njërës për të mbledhur - dhe kjo është përveç asaj kryesore, të sistemit.


Natyrisht, mund të konfiguroni një portë SPAN në vetë pajisjen e aksesit (ruter), nëse e lejon - Cisco Catalyst 6500, Cisco ASA. Këtu është një shembull i një konfigurimi të tillë për një ndërprerës Cisco:
monitoroni sesionin 1 burim vlan 100 ! nga i marrim paketat?
monitoroni ndërfaqen e destinacionit të seancës 1 Gi6/3! ku i lëshojmë paketat?

SNMP
Po nëse nuk kemi një ruter nën kontrollin tonë, nuk duam të kontaktojmë netflow, nuk jemi të interesuar për detajet e trafikut të përdoruesve tanë. Ata thjesht lidhen me rrjetin përmes një ndërprerësi të menaxhuar, dhe ne vetëm duhet të vlerësojmë përafërsisht sasinë e trafikut që shkon në secilën prej porteve të tij. Siç e dini, pajisjet e rrjetit që mbështesin telekomandën dhe mund të shfaqin numëruesit e paketave (bajt) që kalojnë nëpër ndërfaqet e rrjetit. Për t'i anketuar ato, do të ishte e saktë të përdoret protokolli i standardizuar i menaxhimit në distancë SNMP. Duke përdorur atë, ju mund të merrni mjaft lehtë jo vetëm vlerat e numëruesve të specifikuar, por edhe parametra të tjerë, siç janë emri dhe përshkrimi i ndërfaqes, adresat MAC të dukshme përmes tij dhe informacione të tjera të dobishme. Kjo bëhet si nga shërbimet e linjës së komandës (snmpwalk), shfletuesit grafikë SNMP dhe programet më komplekse të monitorimit të rrjetit (rrdtools, kaktusët, zabbix, whats up gold, etj.). Sidoqoftë, kjo metodë ka dy disavantazhe të rëndësishme:
  • Bllokimi i trafikut mund të bëhet vetëm duke çaktivizuar plotësisht ndërfaqen, duke përdorur të njëjtin SNMP
  • numëruesit e trafikut të marra nëpërmjet SNMP i referohen shumës së gjatësisë së paketave Ethernet (unicast, transmetimi dhe multicast veçmas), ndërsa pjesa tjetër e mjeteve të përshkruara më parë japin vlera në lidhje me paketat IP. Kjo krijon një mospërputhje të dukshme (veçanërisht në paketat e shkurtra) për shkak të kostos së sipërme të shkaktuar nga gjatësia e kokës së Ethernetit (megjithatë, kjo mund të luftohet përafërsisht: L3_byte = L2_byte - L2_packets * 38).
VPN
Më vete, vlen të merret në konsideratë rasti i aksesit të përdoruesit në rrjet duke krijuar në mënyrë eksplicite një lidhje me serverin e aksesit. Një shembull klasik është dial-up-i i vjetër, analog i të cilit në botën moderne janë shërbimet e qasjes në distancë VPN (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


Pajisja e aksesit jo vetëm që drejton trafikun IP të përdoruesit, por gjithashtu vepron si një server i specializuar VPN dhe përfundon tunelet logjike (shpesh të koduar) brenda të cilëve transmetohet trafiku i përdoruesit.
Për të llogaritur një trafik të tillë, mund të përdorni të gjitha mjetet e përshkruara më sipër (dhe ato janë të përshtatshme për analiza të thella nga portet/protokollet), si dhe mekanizmat shtesë që ofrojnë mjete të kontrollit të aksesit VPN. Para së gjithash, ne do të flasim për protokollin RADIUS. Puna e tij është një temë mjaft komplekse. Shkurtimisht do të përmendim se kontrolli (autorizimi) i aksesit në serverin VPN (klienti RADIUS) kontrollohet nga një aplikacion i veçantë (serveri RADIUS), i cili ka një bazë të dhënash (skedar teksti, SQL, Active Directory) të përdoruesve të lejuar me atributet e tyre. (kufizime në shpejtësinë e lidhjes, adresat IP të caktuara). Përveç procesit të autorizimit, klienti transmeton periodikisht mesazhet e kontabilitetit në server, informacione për gjendjen e çdo sesioni VPN aktualisht në zhvillim, duke përfshirë numëruesit e bajteve dhe paketave të transmetuara.

konkluzioni

Le të sjellim së bashku të gjitha metodat për mbledhjen e informacionit të trafikut të përshkruar më sipër:

Le të përmbledhim. Në praktikë, ekziston një numër i madh metodash për lidhjen e rrjetit që menaxhoni (me klientët ose abonentët e zyrës) me një infrastrukturë të jashtme rrjeti, duke përdorur një sërë mjetesh aksesi - ruterë softuerësh dhe harduerësh, ndërprerës, serverë VPN. Sidoqoftë, pothuajse në çdo rast, është e mundur të krijohet një skemë ku informacioni në lidhje me trafikun e transmetuar përmes rrjetit mund të dërgohet në një mjet softueri ose hardueri për analizën dhe menaxhimin e tij. Është gjithashtu e mundur që ky mjet të lejojë reagime në pajisjen e aksesit, duke përdorur algoritme inteligjente të kufizimit të aksesit për klientë individualë, protokolle dhe gjëra të tjera.
Këtu do të përfundoj analizën e materialit. Temat e mbetura pa përgjigje janë:

  • si dhe ku shkojnë të dhënat e grumbulluara të trafikut
  • softuer i kontabilitetit të trafikut
  • cili është ndryshimi midis faturimit dhe një "counter" të thjeshtë
  • Si mund të vendosni kufizime në trafik?
  • kontabiliteti dhe kufizimi i faqeve të vizituara në internet

Përdoruesit që nuk janë në gjendje të lidhen me internetin e pakufizuar janë të interesuar kryesisht për konsumin e trafikut. Trafiku kontrollohet nga programe speciale ose duke përdorur aftësitë e Windows.

Windows 8 ju lejon të kontrolloni trafikun pa përdorur programe shtesë. Për të aktivizuar numëruesin e trafikut, gjeni ikonën e lidhjes së rrjetit në shiritin e detyrave. Pasi të klikoni në ikonën, do të hapet dritarja "Rrjetet". Zgjidhni lidhjen aktive dhe kliko me të djathtën. Në dritaren që shfaqet, në rreshtin e parë do të shihni "Shfaq informacionin rreth përdorimit të synuar". Aktivizoni këtë artikull dhe në të ardhmen, kur të hapni dritaren "Rrjetet", do të shihni statistika për vëllimet e përdorura. Në produktet e mëparshme të Windows - 7 ose XP, procesi i kontrollit të trafikut kryhet pak më ndryshe. Pas lidhjes me internetin, gjithashtu klikoni me të majtën në ikonën e lidhjes dhe zgjidhni rrjetin aktiv. Përdorni butonin e djathtë për të shkuar te "Statusi". Këtu do të shihni vëllimin e trafikut në hyrje dhe në dalje, i cili tregohet në bajt.


Ju mund të kontrolloni trafikun duke përdorur programin falas Networx 5.3.2. Programi mbështet çdo lloj lidhjeje - internet me kabllo, kabllor, celular. Networx tregon trafikun në hyrje dhe në dalje. Mund të shikoni statistikat për periudhën që ju intereson, si dhe të monitoroni shpejtësinë e lidhjes suaj në internet. Programi ju lejon të kontrolloni se sa trafik konsumon çdo aplikacion.


Programi Networx fillon të numërojë trafikun tuaj të internetit që nga momenti i instalimit. Mund ta konfiguroni programin në mënyrë që aktiviteti i trafikut të jetë i dukshëm në ikonën e tabakasë. Nëpërmjet cilësimeve, hapni skedën "Trafiku", më pas shënoni opsionet e nevojshme, siç tregohet në foto, dhe ruani veprimet e përfunduara.


Ju gjithashtu mund të vendosni një kuotë. Për ta bërë këtë, zgjidhni llojin e kuotës, trafikun, orët dhe njësitë e matjes. Pasi të vendosni madhësinë e kuotës, klikoni "OK". Kur konsumi i trafikut i afrohet kufirit, programi do t'ju paralajmërojë për këtë. Kjo do të shmangë tejkalimet e trafikut.


Kontrolli i trafikut në pajisjet celulare varet nga sistemi i pajisjes. Për shembull, sistemi Android është i aftë të numërojë trafikun në hyrje dhe në dalje. Për ta bërë këtë, duhet të zgjidhni "Transferimin e të dhënave" në cilësimet dhe të zgjidhni një operator telekomi. Do të hapet një dritare ku do të shfaqen të dhënat për trafikun në hyrje dhe në dalje. Përveç kontrollit të volumit, mund të vendosni një kufi në përdorimin e trafikut.


Kontrolli i konsumit të trafikut do t'ju ndihmojë të shmangni shpenzimet e panevojshme. Edhe nëse përdorni internet të pakufizuar, kontrolloni periodikisht aktivitetin e rrjetit tuaj. Një rritje e mprehtë e konsumit të trafikut tregon se një virus ose Trojan ka zënë vend në sistem.

Udhëzimet

Si rregull, të dhënat merren në dy mënyra: me lidhje të drejtpërdrejtë me një kompjuter të largët, si rezultat i së cilës hakeri merr mundësinë të shikojë dosjet e kompjuterit dhe të kopjojë informacionin që i nevojitet, dhe duke përdorur programe trojan. Zbulimi i funksionimit të një programi trojan të shkruar në mënyrë profesionale është shumë i vështirë. Por nuk ka aq shumë programe të tilla, kështu që në shumicën e rasteve përdoruesi vëren disa çudira në funksionimin e kompjuterit, duke treguar se ai është i infektuar. Për shembull, përpjekjet për t'u lidhur me rrjetin, aktiviteti i paqartë i rrjetit kur nuk hapni asnjë faqe, etj. e kështu me radhë.

Në të gjitha situatat e tilla, është e nevojshme të monitoroni trafikun për këtë ju mund të përdorni mjete standarde të Windows. Hapni vijën e komandës: "Fillimi" - "Të gjitha programet" - "Aksesorët" - "Rreshti i komandës". Mund ta hapni kështu: "Start" - "Run", më pas futni komandën cmd dhe shtypni Enter. Do të hapet një dritare e zezë, kjo është linja e komandës (konsola).

Shkruani netstat –aon në vijën e komandës dhe shtypni Enter. Do të shfaqet një listë e lidhjeve që tregon adresat IP me të cilat lidhet kompjuteri juaj. Në kolonën "Statusi" mund të shihni statusin e lidhjes - për shembull, linja ESTABLISHED tregon që kjo lidhje është aktive, domethënë e pranishme në këtë moment. Kolona "Adresa e jashtme" tregon adresën IP të kompjuterit në distancë. Në kolonën "Adresa lokale" do të gjeni informacione rreth portave të hapura në kompjuterin tuaj përmes të cilave kryhen lidhjet.

Kushtojini vëmendje kolonës së fundit - PID. Ai tregon identifikuesit e caktuar nga sistemi për proceset aktuale. Ato janë shumë të dobishme për të gjetur aplikacionin përgjegjës për lidhjet që ju interesojnë. Për shembull, shihni se keni një lidhje përmes një porti. Mbani mend PID-in, më pas në të njëjtën dritare të linjës së komandës, shkruani listën e detyrave dhe shtypni Enter. Shfaqet një listë e proceseve, kolona e saj e dytë përmban identifikues. Pasi të keni gjetur identifikuesin tashmë të njohur, mund të përcaktoni lehtësisht se cili aplikacion e ka krijuar këtë lidhje. Nëse emri i procesit është i panjohur për ju, futeni atë në një motor kërkimi, menjëherë do të merrni të gjitha informacionet e nevojshme në lidhje me të.

Për të monitoruar trafikun, mund të përdorni gjithashtu programe speciale - për shembull, BWMeter. Shërbimi është i dobishëm sepse mund të kontrollojë plotësisht trafikun, duke treguar se me cilat adresa lidhet kompjuteri juaj. Mos harroni se nëse konfigurohet saktë, ai nuk duhet të hyjë në rrjet kur nuk jeni duke përdorur internetin - edhe nëse shfletuesi është në punë. Në një situatë kur treguesi i lidhjes në tabaka sinjalizon vazhdimisht aktivitetin e rrjetit, duhet të gjeni aplikacionin përgjegjës për lidhjen.

Seksionet