Hálózati forgalom elemzése kereskedelmi eszközök nélkül

  • A hálózati forgalom elemzése lehetővé teszi a teljesítményproblémák, anomáliák és potenciális behatolók észlelését a csomagok és folyamatok vizsgálatával.
  • Az olyan ingyenes eszközök, mint a Wireshark, a WinDump, a Nagios, a Zabbix vagy a Pandora FMS, fejlett monitorozást és elemzést kínálnak fizetős licencek nélkül.
  • A csomagrögzítés, a folyamatos monitorozás és az áramláselemzés együttes használata nagyon átfogó hálózati láthatóságot biztosít.
  • Bár a Windows alapvető segédprogramokat tartalmaz, a valódi hálózati vezérléshez célszerű nyílt és speciális megoldásokra támaszkodni.
Daniel Terrasa

14 perc

hálózati elemzés

A hálózatunkon történtek monitorozása, mind a vállalatnál, mind az otthon, kritikus feladattá vált. A lassú, túlterhelt vagy instabil hálózat szinte mindig annak a jele, hogy valami nincs rendben.Egy fertőzött eszköz, egy szűk keresztmetszet, egy alkalmazás, amely az összes sávszélességet lefoglalja, vagy akár egy potenciális behatoló, aki beoson a nem megfelelő helyre. Forgalmi láthatóság nélkül például... megtudhatja, hány eszköz van a hálózatánGyakorlatilag lehetetlen jó döntéseket hozni vagy időben reagálni.

A probléma az, hogy sok kereskedelmi megoldás drága, bonyolult a telepítése, és ráadásul túlméretezett a mindennapi szükségleteinkhez képest. A jó hír az, hogy lehetséges létrehozni egy Kiváló minőségű hálózati forgalomelemzés fizetős kereskedelmi eszközök igénybevétele nélkül, amely ingyenes segédprogramokat, ingyenes szoftvereket és az operációs rendszerekbe integrált néhány funkciót ötvöz.

Mi is pontosan a hálózati forgalom elemzése?

Amikor hálózati forgalomelemzésről beszélünk, akkor a következő folyamatra gondolunk: a hálózaton keresztül áramló adatcsomagok és adatfolyamok rögzítése, vizsgálata és megértéseEz az elemzés elvégezhető nagyon alacsony szinten (csomagonként) vagy összesített szinten (folyamatok, beszélgetések, sávszélesség-statisztikák stb.).

A gyakorlatban a forgalomelemzést arra használják, hogy Azonosítsa, hogy ki kivel beszél, milyen protokollokat és alkalmazásokat használnak, mennyi terhelést generálnak, és hogyan viselkedik a hálózat az idő múlásával.Ebből kiindulva minták, trendek és furcsaságok is megjelennek, amelyek mind a teljesítmény, mind a biztonság terén segítenek; például módszerek használatával IP-címek felderítése a helyi hálózaton és keresse meg a fő forgalmi forrásokat.

A láthatóság eléréséhez két egymást kiegészítő megközelítést alkalmaznak: közvetlen csomagrögzítés (szippantás) és a gyűjtemény áramlási adatok (NetFlow, sFlow, IPFIX, J-Flow stb.)Az előbbiek az egyes csomagok maximális részletességét mutatják, míg az utóbbiak nagyon hatékony összefoglalókat kínálnak a források és a célállomások közötti forgalomról.

Ez a fajta elemzés nem csak nagyvállalati hálózatokra alkalmazható. Bármely rendszergazda, aki meg akarja érteni, miért akadozik a hálózata, honnan származik a használatnövekedés, vagy mely berendezések generálnak szokatlan forgalmat. Előnyös a forgalom figyelése, még akkor is, ha csak néhány eszközzel rendelkezik.

Eszközök a hálózati forgalom elemzéséhez

Mire hasznos a forgalomelemzés: főbb felhasználási módok és előnyök

Az elsődleges cél általában a teljesítmény, de a forgalomelemzés sokkal többet kínál. Ezek a leggyakoribb feladatok, amelyeket egy jó hálózati elemzés lefed kereskedelmi eszközök nélkül:

  • A hálózaton keresztül továbbított információk rögzítéseA csomagok vizsgálata lehetővé teszi a sima szöveges tartalom (ha nincs titkosítva), a fejlécek, a protokollok, a portok és a munkamenet-paraméterek megtekintését.
  • Használati statisztikák: annak ismerete, hogy az egyes gazdagépek, alkalmazások, portok vagy protokollok mennyi sávszélességet fogyasztanak, és milyen időszakokban koncentrálódnak a csúcsok.
  • Teljesítményproblémák észlelése: szűk keresztmetszetek, bizonyos kapcsolatok telítettségének, TCP-újraküldések, rendellenes késleltetések vagy túl sok forgalmat generáló berendezések beazonosítása.
  • Adatrögzítés és exportálás: mentse el a rögzítéseket és a folyamatokat későbbi elemzéshez, időbeli összehasonlításhoz, vagy bizonyítékként való felhasználáshoz auditokban és szakértői jelentésekben.
  • Behatolás- és anomáliaészlelés: Azonosítsa a jogosulatlan eszközöket, a gyanús forgalmi mintákat, a portszkenneléseket, a nyers erővel történő támadásokat vagy a rosszindulatú programokra jellemző viselkedéseket.

Mindez nagyon kézzelfogható előnyökkel jár: Gyorsabb incidensmegoldás, kevesebb szolgáltatáskiesés, jobb felhasználói élmény és sokkal magasabb szintű biztonságKülönösen üzleti környezetben ez a kontroll számos problémát... és számos költséget előz meg.

Továbbá, a korábbi forgalmi adatokkal meg tudjuk állapítani, hogy a sávszélesség vagy az infrastruktúra bővítésének megtervezése józan megfontolássalAhelyett, hogy folyamatosan tüzeket oltanánk, tudjuk, mely kapcsolatok vannak a határukon, mely alkalmazások indokolják ezt a terhelést, és mikor érdemes befektetni például... Ultra Ethernet otthoni hálózatokhoz.

Egy kulcsfontosságú pontot nem szabad figyelmen kívül hagyni: ezen eszközök bizonyos képességei technikailag lehetővé teszik, bizalmas információk, például jelszavak vagy titkosítatlan munkamenet-tartalom elfogásaEzért kulcsfontosságú, hogy a törvények és az adatvédelmi irányelvek tiszteletben tartása mellett használjuk őket, különösen vállalati környezetben.

Hálózatfelügyelet: miért olyan fontos a mindennapi életben

A konkrét elemzéseken túl az igazi különbséget az jelenti, hogy fenntartjuk a folyamatos hálózatfelügyelet, hogy mindig tudjuk, mi történikNem ugyanaz egy képernyőképet átnézni egy szolgáltatás leállása után, mint riasztásokat kapni, amelyek figyelmeztetik a felhasználókat, mielőtt a probléma érintené őket; ezért érdemes átnézni az útmutatókat arról, hogyan kell ezt megtenni. Egészséges hálózati infrastruktúra fenntartása Windows rendszerben és a gyakorlatokat a környezetedhez igazítsd.

Egy modern vállalati hálózat több tucat kritikus alkalmazást, leterhelt szervert, felhőkapcsolatot, VPN-t és mindenféle eszközt egyesít. Monitorozás nélkül a lassúság vagy a forgalmi csúcs okának felderítése szinte találgatás.Jó forgalmi adatokkal a probléma megtalálása általában percek kérdése.

Vállalati környezetben a monitoringnak egyértelmű gazdasági összetevője is van. Ha a megfelelő ingyenes vagy nyílt forráskódú eszközöket választja Forgalomelemzés és -monitorozás esetén a licenceken elért megtakarítások óriásiak lehetnek, miközben a teljes körű professzionális szintű ellenőrzés megmarad.

Még személyes szinten vagy egy kis irodában is megéri. Annak ismerete, hogy melyik eszköz használja az összes Wi-Fi-hálózatotAz ismeretlen eszközök felderítése vagy a kapcsolat túlterhelését okozó alkalmazások kiderítése olyan feladatok, amelyeket a forgalom alapos vizsgálata pontosan megold.

Hálózati forgalom elemzése kereskedelmi eszközök nélkül

A legnépszerűbb ingyenes csomag- és forgalomelemzők

A hálózatos világ egyik nagy előnye, hogy létezik Évek óta működő, ingyenes eszközök, amelyek nagyon kiforrottak és szakemberek által használtak.Nincs szükséged kereskedelmi csomagokra a magas szintű elemzésekhez. Az alábbiakban bemutatunk néhányat a leghatékonyabb lehetőségek közül, amelyek tökéletesen illeszkednek fizetős licencek nélküli környezetbe.

Wireshark: a csomagelemzés alapvető klasszikusa

A Wireshark valószínűleg a a világ legismertebb és legszélesebb körben használt forgalomelemzőjeA 90-es évek végén született, nyílt forráskódú, teljesen ingyenes, és elérhető Linuxra, Windowsra, macOS-re és számos Unix rendszerre (Solaris, FreeBSD stb.).

Fő funkciója a csomagrögzítés és mélyreható elemzésLehetővé teszi az interfészen áthaladó összes képkockát megtekinteni, olyan részletekkel, mint:

  • Az egyes csomagok azonosító száma vagy sorozata.
  • Pontos feldolgozási idő és időbélyegek.
  • Forrás és cél IP (vagy MAC) címek.
  • Használt protokoll (TCP, UDP, HTTP, HTTPS, DNS stb.).
  • Csomag mérete.
  • Összefoglaló információk a foglalkozás tartalmáról vagy szakaszáról.

Miután kiválasztott egy sort a rögzítésben, Teljes körű tájékoztatást kapsz a csomagról: rétegfejlécek (Ethernet, IP, TCP/UDP, alkalmazás), egyedi mezők, flagek, portok stb. Ideális finom protokollproblémák hibakereséséhez, VoIP forgalom elemzéséhez, TCP újraküldések megtekintéséhez vagy egy munkamenet létrehozásának részletes tanulmányozásához.

A Wireshark kiemelkedik a többi közül több száz protokoll támogatása, nagyon hatékony rögzítési és megtekintési szűrők, valamint a rögzítések mentésének és megosztásának lehetősége későbbi elemzés céljából, vagy más technikusoknak való elküldésük.

WinDump: a tcpdump Windows-verziója

Ha a parancssort részesíted előnyben, a WinDump az. a történelmi tcpdump eszköz Windows-adaptációjaKönnyű, gyors, és tökéletes szkripteléshez vagy diagnosztikához a konzolról.

A WinDump segítségével megteheti Forgalom rögzítése adott interfészekről BPF szűrők alkalmazásával (IP, port, protokoll stb. alapján), másold a csomagokat egy fájlba, majd elemezd őket a Wireshark segítségével, és ellenőrizd azokat hibák, például hibásan formázott csomagok vagy bizonyos munkamenetek hibái után.

Nincs grafikus felülete, de pont ezért ideális szerverberendezések, távoli munkamenetek, vagy ha automatizálni szeretné az időszakos rögzítéseket nehéz alkalmazások telepítése nélkül.

BruteShark: Speciális munkamenet-elemzés és biztonság

A BruteShark egy újabb és jobban felszerelt segédprogram hálózati rögzítések biztonsági elemzéseGrafikus és parancssori verziókat is tartalmaz, és olyan feladatokra összpontosít, mint:

  • A TCP-munkamenetek rekonstruálása a kommunikáció teljes folyamatának megtekintéséhez.
  • Hálózati térkép generálása a megfigyelt forgalomból.
  • Hashek és hitelesítő adatok kinyerése az azt lehetővé tevő protokollokból, hasznos az auditok során.

Ez egy nagyon hatékony eszköz, amelyet kifejezetten erre a célra terveztek Hálózati forenzika, penetrációs tesztelés, valamint protokollok és szolgáltatások biztonsági felülvizsgálataRögzítési fájlokból működik (pl. Wireshark vagy tcpdump/WinDump által generált pcap).

Egyéb speciális eszközök, amelyek ingyenesek vagy nyílt forráskódú verzióval rendelkeznek

A tisztán analizátorokon kívül vannak olyan alkalmazások is, amelyek Egyesítik a monitorozást, a statisztikát és a diagnózist.:

  • OmniPeekNagy professzionális környezetekre tervezték. Nagyon fejlett teljesítményelemzési képességekkel rendelkezik, bár a legerősebb kiadásai kereskedelmi forgalomban kaphatók.
  • TűzőWindows rendszerre ingyenes, standard és vállalati verzióban érhető el. Még az ingyenes kiadás is több mint 300 protokollt és számos elemzési nézetet támogat.

Ezek az alternatívák hasznosak lehetnek azok számára, akik egy irányítottabb és vizuálisabb megközelítés mint a klasszikus Wireshark, miközben továbbra is kihasználja a nagyon teljes körű ingyenes vagy próbaverziós lehetőségeket.

Zabbix

Ingyenes hálózatfigyelő eszközök: Nagios, Zabbix és Pandora FMS

Ha a cél nem csak az, hogy konkrét felvételeket lássunk, hanem folyamatosan figyeli a szerverek, szolgáltatások és hálózati csomópontok állapotátEz nagyon komoly monitorozó platformokat hoz játékba, amelyek kereskedelmi licencek nélkül is használhatók.

Nagios Ez az egyik veterán. Lehetővé teszi a hálózaton lévő gyakorlatilag bármely eszköz elérhetőségének, késleltetésének, portállapotának, erőforrás-fogyasztásának és szolgáltatásainak figyelését ügynökök és távoli ellenőrzések segítségével. A monitorozási környezete összesített képet ad a hosztok és szolgáltatások állapotárólvalamint riasztásokat küld, ha valami leesik vagy meghaladja a meghatározott küszöbértékeket.

Zabbix Ez egy másik széles körben használt nyílt forráskódú megoldás. [A webes felületéről a következőket láthatja.] hálózati forgalom, CPU-használat, memória, lemezterület és sok más mutató grafikonjaiHivatalos dokumentációja világos példákat mutat be arra, hogyan ábrázolja a forgalmat interfészenként, így ideális a sávszélesség időbeli alakulásának nyomon követésére.

Pandora FMS (Rugalmas Monitoring Rendszer) egy rendkívül rugalmas spanyol monitoring platform. A dokumentációja elmagyarázza... panelek, ahol a hálózati mutatók, az elérhetőség és a teljesítmény láthatóA hálózati szondák és az eszközökre telepített ügynökök kombinálásával ez egy nagyon komplett lehetőség mindazok számára, akik központosított felügyeleti környezetet szeretnének létrehozni anélkül, hogy alapvető kereskedelmi licencekért kellene fizetniük.

E három megoldás bármelyike ​​​​eredményt nyújt az infrastruktúra állapotának globális áttekintése...tökéletesen kiegészítik a csomag- és folyamelemzőket. Míg a Wireshark vagy a WinDump a finomhangolásra szolgál, a Nagios, a Zabbix vagy a Pandora FMS panorámás nézetet biztosít.

Átláthatóság folyamatokon keresztül: nem kereskedelmi célú alternatívák a nagyméretű analizátorokhoz képest

A nagyobb gyártók áramlásalapú forgalomelemző csomagokat árulnak (NetFlow, sFlow, IPFIX, J-Flow stb.). Bár sok közülük kereskedelmi forgalomban kapható, a koncepció könnyen lemásolható ingyenes vagy nyílt forráskódú eszközökkel. Az ötlet az, hogy az útválasztók és a kapcsolók exportálják a kommunikációs összefoglalókatés egy alkalmazás összegyűjti és megjeleníti ezeket az adatokat.

Egy tipikus áramlásanalizátor akár egyperces pontossággal is lehetővé teszi a következők megtekintését: a bejövő és kimenő forgalom mennyisége interfész, IP, alkalmazás, port és protokoll szerintInnen grafikonok készülnek, amelyek a forgalmi csúcsokat mutatják, és olyan statisztikákat jelenítenek meg, mint például:

  • Sebesség (bps).
  • Teljes átvitt térfogat.
  • Csomagok száma.
  • Az elérhető sávszélesség-kihasználtság százalékos aránya.

Az érdekes az, hogy ezeket a jelentéseket át lehet tekinteni az utolsó óra, az utolsó nap, egy teljes negyedév vagy egy testreszabott időszak, és exportálhatók CSV vagy PDF formátumban vezetői jelentésekhez vagy belső dokumentációhoz.

Az általános sávszélesség-használaton túl az áramláselemzés a következőket is biztosítja: betekintés a hálózat főbb „beszélőibe”Megmutatja, hogy mely hosztok, alkalmazások, portok és protokollok fogyasztják a legtöbb erőforrást. Lehetővé teszi továbbá a forrás- és cél IP-címek közötti konkrét párbeszédekbe való mélyebb betekintést a teljesítménybeli vagy biztonsági problémák megoldása érdekében.

Számos ingyenes és platformfüggetlen megoldás képes betölteni ezt a szerepet, mint adatfolyam-gyűjtő és -megjelenítő, kínálva testreszabható irányítópultok, küszöbérték-riasztások és korábbi trendnézetek anélkül, hogy zárt kereskedelmi egységért kellene fizetni.

Forgalomelemzés használata a biztonság javítása érdekében

A forgalomelemzés nem csak a teljesítményről szól. A biztonság területén ez az egyik legértékesebb információforrás. Mielőtt egy támadás láthatóvá válik, általában változás áll be a forgalmi mintában.: a szokásosnál több kapcsolat, hibásan formázott csomagok, tömeges sikertelen hitelesítési kísérletek vagy furcsa kimenő folyamatok.

Az elemzőeszközök lehetővé teszik a generálást a rendellenes viselkedésre összpontosító biztonsági jelentések: érvénytelen szolgáltatástípusokkal (TOS) rendelkező folyamok, szokatlan forrás-cél kombinációk, forgalmi csúcsok olyan időpontokban, amikor a hálózatnak csendesnek kellene lennie stb.

Például sok zsarolóvírus és gyorsan terjedő féreg generál a hálózati szkennelés és a parancs- és vezérlőszerverek felé irányuló forgalom jellemző mintázataiA háttérforgalom monitorozásával lehetőség van a fertőzés megállítására jóval azelőtt, hogy az a teljes szervezetet érintené.

További előnye annak lehetősége blokkolja a forgalmat olyan IP-címekről vagy tartományokról, amelyek nem részei a szervezetnek Amikor gyanús tevékenységet észlelnek, ezáltal megerősítve a biztonsági helyzetet; hasznos ismerni a módszereket is gyanús kapcsolatok blokkolása parancsokkal Windows környezetben, és gyorsan reagál.

Azonban nem ajánlott teljes mértékben egy varázslatos eszközre hagyatkozni. A kulcs a jó forgalmi adatforrások kombinálása jól meghatározott szabályokkal és egyértelmű válaszadási eljárásokkal.hogy a figyelmeztetések ne merüljenek feledésbe, és konkrét tettekre váltsanak.

Hogyan válasszuk ki a megfelelő forgalomelemző eszközt

Nincs egyetlen olyan megoldás, amely minden esetben működik. A hálózat mérete, a költségvetés, a csapat szakértelmének szintje és a konkrét célok Nagyban befolyásolják a választást. Ennek ellenére számos alapvető kritériumot kell figyelembe venni a kereskedelmi forgalomban kapható eszközök alternatíváinak keresésekor:

  • Konfigurálható jelentések: amely lehetővé teszi a megjelenített metrikák testreszabását (IP, alkalmazás, protokoll, interfész stb. szerint), milyen időintervallumban és milyen formátumban, hogy a nézetek a valós igényekhez igazodjanak.
  • Több gyártó kompatibilitásaMinél nyitottabb egy eszköz, és minél több eszközt támogat (routerek, switchek, különböző gyártók tűzfalai), annál kevésbé fogsz a gyártó saját megoldásaira támaszkodni.
  • Hálózatoptimalizálási lehetőségekNemcsak adatokat kell megjelenítenie, hanem segítenie kell a menedzsment döntések meghozatalában is, például a kritikus alkalmazások azonosításában, a nem létfontosságú forgalom korlátozásában vagy a sávszélesség-felhasználás átszervezésében.
  • Könnyű telepítés és integrációEgy olyan megoldás, ami hetekig tartó beállítást igényel, nem biztos, hogy praktikus. Jobb olyat választani, amit gyorsan be tudsz állítani és működtetni tudsz, fokozatosan integrálva a további modulokat vagy bővítményeket.

Sok esetben a nyerő kombináció a következőkből áll: Használj csomagelemzőt (Wireshark/WinDump), monitorozó rendszert (Nagios/Zabbix/Pandora) és flow tool-t. hogy minden területet lefedjen: részleteket, globális látásmódot és statisztikai elemzést.

Mit kínál már a Windows, és mikor marad elégtelen

A Windows tartalmaz néhány olyan segédprogramot, amelyek bár nem valódi forgalomelemzők, Segítenek gyorsan képet kapni arról, hogy mi történik egy adott csapat hálózatával. Nem helyettesítik a korábbi eszközöket, de első rátekintésként szolgálnak.

El Feladatkezelő A Teljesítmény lap grafikonokat jelenít meg a hálózati használatról interfészenként. Ezenkívül a folyamatlista azt is jelzi, hogy az egyes feladatok a hálózati sávszélesség hány százalékát használják. Ez egy egyszerű módja annak, hogy észlelje, hogy melyik program használja a kapcsolatot egy adott időpontban.

El Resource Monitor (elérhető a Start menüben az „Erőforrás-figyelő” kifejezésre keresve) egy lépéssel tovább megy: kínálja Forgalmi adatok folyamatonként, aktív TCP-kapcsolatok, figyelőportok és küldési/fogadási statisztikákGyors diagnosztikához sokkal átfogóbb, mint a Feladatkezelő.

Ennek ellenére ezek az eszközök Nem teszik lehetővé a csomagok rögzítését, a protokollok mélyreható elemzését vagy a hálózaton lévő más eszközök forgalmának megtekintését.Hasznosak a mindennapi feladatokhoz egyetlen számítógépen, de komoly elemzéshez a korábban említett konkrét alkalmazásokra kell támaszkodni.

Ha csak azt szeretnéd tudni, hogy a számítógéped milyen forgalmat bonyolít le, ez elég lehet. Bármikor, amikor csak akarod a teljes hálózat auditálása, globális minták tanulmányozása vagy biztonsági incidensek kivizsgálásaTovább kell majd menned.

Röviden, bár léteznek nagyon hatékony kereskedelmi megoldások, Teljesen megvalósítható a hálózati forgalom teljes láthatósága kizárólag ingyenes és nyílt forráskódú eszközök használatával.Az olyan csomagelemzők, mint a Wireshark vagy a WinDump, a monitorozó platformok, mint a Nagios, a Zabbix vagy a Pandora FMS, valamint a NetFlow, sFlow vagy IPFIX adatait hasznosítani képes folyamelemző rendszerek mind hasznos eszközök. Némi gyakorlással és egy jól meghatározott módszertannal jól monitorozott, nagy teljesítményű és sokkal biztonságosabb hálózatot hozhat létre anélkül, hogy egyetlen eurót is költene kereskedelmi licencekre.

nmap
Kapcsolódó cikk:
Helyi hálózat auditálása Nmap és Wireshark segítségével lépésről lépésre