Как обеспечить запись и разбор трафик хтха с помощью сетевого монитора

Обновлено: 02.07.2024

Данные, пересылаемые по сети, делятся на кадры. В каждом таком кадре содержатся следующие сведения:

Адрес источника. Адрес сетевого адаптера, с которого поступил кадр.
Адрес назначения. Адрес сетевого адаптера, которому предназначался кадр. Этот адрес может также определять группу сетевых адаптеров.
Данные заголовка. Данные для каждого протокола, используемого при передаче кадра.
Данные. Передаваемые данные (или часть данных).

Каждый компьютер сегмента сети получает кадры, отправленные данному сегменту. Сетевой адаптер каждого компьютера сохраняет и обрабатывает только адресованные данному адаптеру кадры. Остальные кадры отбрасываются и больше не обрабатываются. Сетевой адаптер также сохраняет широковещательные (и, потенциально, многоадресные) кадры.

После установки программы сетевого монитора можно записать в файл все кадры, отправленные сетевому адаптеру данного компьютера, или сохраненные им. Записанные кадры можно просмотреть или сохранить для дальнейшего анализа. Программа позволяет задать фильтр записи, разрешающий запись только определенных кадров. В этом случае запись кадров будет производиться на таких условиях, как адрес источника, адрес назначения или протокол. Сетевой монитор также дает возможность пользователям разработать триггер записи для запуска определенных действий при обнаружении им в сети конкретного набора условий. Такими действиями могут быть запуск записи, конец записи или запуск программы.

По умолчанию размер буфера записи равен 1 МБ. Размер данных можно уменьшить, уменьшив размер буфера записи.

Запись данных.

Процесс копирования пакетов сетевым монитором называется записью. Можно записывать как весь сетевой трафик локального сетевого адаптера, так и отдельные наборы пакетов с помощью фильтров записи. Можно также задать набор условий для триггеров событий. После создания триггеров сетевой монитор может отвечать на события в сети. Например, операционная система может запустить исполняемый файл, если сетевой монитор обнаруживает в сети выполнение определенного набора условий. После записи данных их можно просмотреть. Сетевой монитор преобразует исходные данные в соответствии с логической структурой пакета.

При записи кадров сетевым монитором сведения о кадрах отображаются в окне записи данных, разделенном на четыре панели.

Панель	Значение
График	Графическое представление кадров, отправленных на локальный компьютер или с локального компьютера.
Статистика сеанса	Сведения о каждом отдельном сеансе.
Статистика станции	Сведения о кадрах, отправленных на локальный компьютер или с локального компьютера, на котором запущен сетевой монитор.
Общая статистика	Обобщенные сведения о кадрах, отправленных на локальный компьютер или с локального компьютера после начала процесса записи.

Сетевой монитор копирует передаваемые по сети пакеты с требуемыми характеристиками в буфер записи с помощью спецификации NDIS.

Фильтры записи.

Фильтр записи работает как запрос базы данных, который используется для указания типов пакетов, передаваемых по сети, которые планируется записывать для последующего анализа. Например, для сбора данных, относящихся к определенному подмножеству компьютеров или протоколов, следует подготовить базу данных адресов, использовать эту базу для создания фильтра записи, а затем сохранить этот фильтр в файле. В дальнейшем при необходимости этот файл можно загружать для работы с фильтром. Использование фильтра позволяет сэкономить время и память буфера записи.

Создание фильтров записи

Чтобы создать фильтр записи, следует выбрать критерии фильтрации в диалоговом окне Фильтр записи. В этом диалоговом окне отображается дерево критериев, которое является графическим представлением логики фильтра. При каждом добавлении или исключении компонентов спецификации записи эти изменения отражаются в дереве критериев.

При устранении сложных проблем с подключением или приложением может быть очень полезно увидеть, что передается по сети. Microsoft изначально предложила Microsoft Network Monitor который был заменен Microsoft Message Analyzer, К сожалению, Microsoft прекратила использование Microsoft Message Analyzer и удалила ссылки для его загрузки. В настоящее время доступен только более старый сетевой монитор Microsoft.

Конечно, вы можете использовать сторонние инструменты для выполнения сетевых захватов, такие как WireShark. Хотя некоторые сторонние инструменты могут предложить лучший опыт, Microsoft Network Monitor по-прежнему имеет свои собственные. В этой статье мы рассмотрим, как собирать и проверять пакеты, используя последнюю доступную версию Microsoft Network Monitor, одного из самых популярных инструментов.

Хотя я мог бы использовать WireShark, я обнаружил, что интерфейс и удобство использования Microsoft Network Monitor, из коробки, гораздо проще в использовании. Многое из того же можно сделать в WireShark, но вам, возможно, придется выполнить гораздо больше настроек в интерфейсе.

Захват пакетов с помощью Microsoft Network Monitor

Просмотр стартовой страницы

Просмотр нового экрана захвата до его начала захвата

Одним из больших преимуществ использования Microsoft Network Monitor является то, что он очень легко группирует ваши сетевые разговоры с левой стороны. Это значительно упрощает поиск и анализ конкретных процессов.

Просмотр сетевых разговоров

Фильтрация трафика

Просмотр фильтра DnsAllNameQuery

Строительные фильтры

Как вы могли бы сказать, существует несколько способов объединить фильтры, чтобы сделать их полезными и удобными в использовании. Это отличный способ вернуть только те данные, которые вам интересны, тем более что захват пакетов может стать довольно большим. В следующем разделе мы рассмотрим еще несколько полезных примеров.

Фильтры примеров

Некоторые практические примеры, помимо встроенных по умолчанию, помогают вам понять, как получить именно те полезные данные, которые вам нужны.

Фильтрация по номеру порта

Фрагменты TCP, которые были фрагментированы, собираются и вставляются в новый кадр трассировки, который содержит специальный заголовок с именем Payloadheader , Ища оба, мы можем быть уверены, что получаем все данные, которые ищем здесь.

Найти рамки для переговоров по SSL

При устранении неполадок может потребоваться понять, о каких SSL-соединениях пытаются договориться. Хотя вы, возможно, не сможете расшифровать внутренний трафик, это поможет найти серверы, которые пытается использовать соединение.

Найти TCP ретранслирует и SYN ретранслирует

Чтобы устранить проблемы с загрузкой и загрузкой файлов, вы можете посмотреть, не происходит ли много повторных передач, которые могут повлиять на производительность.

Убедитесь, что разговоры включены, этот фильтр зависит от этой функции.

Чтение фреймов и шестнадцатеричных данных

По умолчанию макет окна имеет две нижние панели, предназначенные для сведений о кадре и шестнадцатеричных данных. В рамках Frame Details каждый пакет разбивается на составные части. На противоположной стороне находятся шестнадцатеричные детали, которые являются необработанными байтами и декодированием. При выборе другого раздела в деталях фрейма, тот же раздел в шестнадцатеричном коде также будет выделен.

Просмотр сведений о кадре и необработанных шестнадцатеричных данных

Вывод

Выполнение сетевых трассировок очень просто с последней версией Windows. Хотя Microsoft решила прекратить или отказаться от своих внутренних инструментов, некоторые все еще процветают. Есть много других, таких как WireShark, но Microsoft Network Monitor по-прежнему позволяет довольно легко анализировать и понимать информацию о пакетах, которая собирается.

Зачем контролировать трафик?

Можно выделить несколько основных причин, из-за которых требуется контроль сетевого трафика:

Отсутствие безлимита. Некоторые компании даже сегодня не могут похвастаться безлимитным подключением и вынуждены экономить трафик.
Забитость каналов связи. Если большое количество сотрудников нецелевым образом используют интернет, скорость доступа может падать, что иногда является проблемой для специалистов, которым требуется хороший канал связи.
Нецелевые траты рабочего времени. Полное отсутствие контроля за трафиком нередко дает сотрудникам возможность часами серфить интернет-ресурсы и не заниматься своими должностными обязанностями.
Вероятность попадания в локальную сеть или на компьютеры пользователей вредоносного ПО. Неконтролируемые действия сотрудников в сети нередко приводят к проникновению вирусов и других вредоносных программ на ПК и в локальную сеть предприятия.

Таким образом, мониторинг трафика в локальной сети дает возможность решать множество задач, снизить вероятность появления вредоносного программного обеспечения на компьютерах, а также повысить результативность работы персонала.

Методы сбора данных

Решить задачу контроля трафика на предприятии можно разными средствами. Снимать и анализировать данные можно как прямо на ПК — с помощью маршрутизатора или VPN-сервера, так и на сервере — с помощью стороннего программного обеспечения.

Рассмотрим подробнее наиболее популярные варианты.

Межсетевой экран

Хорошо известен пользователям, как Firewall или брандмауэр. С его помощью можно контролировать и фильтровать поступающий на ПК трафик. Главной задачей при настройке является правильное формулирование правил захвата трафика сервера и пользовательской сети.

Установка соответствующего правила позволяет файрволу активировать передачу пакета данных в системную библиотеку, где с полученной информацией могут работать специальные приложения, осуществляющие учет и управление трафиком.

Для Линукс в качестве брандмауэра используется iptables. Средствами перехвата могут выступать: ulog, netfliter_queue или ipq. Для работы на FreeBSD обычно используют ipfw с правилами divert или tee.

Брандмауэры дают возможность анализировать структуру и содержимое информационных пакетов, которые поступают из внешней сети, а также пропускать или не пропускать пакеты во внутреннюю сеть.

Основные функции Firewall:

отделение серверов и рабочих станций от внешних каналов связи;
идентификация всех запросов, которые поступают в сеть;
проверка полномочий и прав доступа устройств и их пользователей к локальной сети;
регистрация запросов к сети извне;
контроль целостности данных внутри локальной сети;
сокрытие IP-адресов внутренних серверов для защиты от хакеров.

SNMP — это коммуникационный протокол, с помощью которого можно отслеживать управляемые сетевые устройства: маршрутизаторы, серверы, коммутаторы и другое оборудование, подключенное через IP.

Если сетевое устройство поддерживает данный протокол, системный администратор может включить его и настроить на сбор информации, мониторинг подключенных устройств и контроль трафика в локальной сети.

SNMP дает возможность:

мониторить трафик (как входящий, так и исходящий), который проходит через оборудование;
выявлять сбои в сетевых устройствах, отслеживать возникающие предупреждения и уведомления об их работе;
анализировать данные, собранные с разных устройств в течение определенного времени (даже длительного), для выявления слабых мест системы и проблем с производительностью;
удаленно конфигурировать совместимые устройства;
получить удаленный доступ с возможностью управления к подключенным через SNMP устройствам.

Отдельного рассмотрения заслуживает ситуация, в которой доступ пользователей к системе осуществляется через установление соединения с сервером удаленного доступа (PPTP, L2TP, IPSEC и т.д.).

В таких условиях устройство доступа маршрутизирует IP-трафик и выступает VPN-сервером, терминирующим логические туннели, внутри которых передается трафик пользователей. Для его учета можно использовать любые доступные средства для глубокого анализа по портам и протоколам, а также дополнительные средства управления VPN-доступом: протокол RADIUS.

Тогда контролем доступа будет заниматься RADIUS-сервер (спецприложение, которое имеет базу допустимых пользователей с уникальными атрибутами.

Маршрутизатор

В самой простой ситуации используется маршрутизатор на базе ПК с операционной системой Линукс. Тогда для получения данных о проходящем через сервер трафике можно использовать один из трех способов:

посредством перехвата пакетов, которые проходят через сетевую карту сервера (библиотека libpcap);
за счет перехвата пакетов, которые проходят через встроенный брандмауэр;
посредством использования сторонних средств преобразования пакетной статистики в поток агрегированной информации netflow.

Libpcap

Libpcap — платформонезависимая библиотека с открытым исходным кодом для Линукс (для Windows библиотека называется winpcap).

Для контроля интернет-трафика в локальной сети требуется захват пакетов, которые проходят через сетевую карту. Это можно сделать, когда копия пакета проходит через интерфейс: после прохождения фильтра информация может быть запрошена программой на сервере.

Если системного администратора интересуют только данные из заголовка пакета, длина захватываемой информации может быть ограничена.

К подобным программам относятся, к примеру: tcpdump и Wireshark.

Программы

Пожалуй, самый простой способ мониторинга интернет-трафика в локальной сети — использование специализированных программ. Мы рассмотрим самые функциональные.

CommView

Программа для отслеживания пакетов, позволяющая анализировать информацию по статистике трафика, формировать отчеты с захваченными IP-соединениями и визуализировать их.

ПО поддерживает возможность отслеживания приложений, инициирующих сетевые подключения, и совместимо с более чем 100 разными сетевыми протоколами.

функциональность;
совместимость;
доступ к удаленному мониторингу.

стоимость;
относительно сложный интерфейс.

Программа ориентирована в первую очередь на профессиональных системных администраторов.

NetworkTrafficView

Главное назначение — анализ сетевых процессов и получение данных об инициаторе трафика, используемых портах, типе соединения и т.д. Дает возможность применять фильтр для более удобной аналитики.

портативность;
доступность;
качественный захват пакетов.

отсутствует встроенный файрвол;
нет возможности анализировать объем трафика.

TMeter

Многофункциональное приложение, способное обрабатывать пакеты вне зависимости от используемого протокола. Может графически отображать полученную информацию, строить детальные отчеты. Благодаря интегрированному файрволу может запрещать подключения для отдельных процессов и контролировать доступ устройств к сети.

функциональность;
возможность мониторинга хостов постоянным пингованием;
наличие фильтра по URL;
NAT-сервер.

требует некоторых знаний о работе сетевых протоколов;
доступна визуализация только в линейные графики.

NetPeeker

Программа для мониторинга подключений, шейпинга скорости и блокировки доступа определенных процессов. Отображает все сетевые активности в виде таблицы, где также отражается информация о текущем объеме трафика для каждого процесса.

функциональность;
информативность;
возможность ограничения скорости.

Total Network Monitor

Программа, созданная специально для проверки качества соединения. Периодически связывается с удаленными серверами и локальными устройствами и проверяет время отклика удаленного компьютера.

простой интерфейс;
доступен менеджер сценариев.

Выгоды для директора

Программы для контроля сетевого трафика в локальной сети полезны руководителям. Они позволяют:

оптимизировать работу сети;
экономить рабочее время специалистов;
увеличить производительность труда;
выяснить, кому из специалистов действительно необходим доступ к сетевым ресурсам;
исключить нецелевой доступ к сети.

Выгоды для системного администратора

Для сетевого администратора контроль локальной сети полезен, так как позволяет:

ограничить доступ пользователей к нежелательной информации и определенным ресурсам;
быстро получать информацию об объеме трафика, чтобы исключить перегрузку сети;
защитить сеть от несанкционированного доступа, заражения вредоносным программным обеспечением.

Заключение

Существует множество средств контроля трафика, включая программные и аппаратные маршрутизаторы, коммутаторы, VPN-серверы и т.д. Благодаря этому на каждом предприятии можно создать оптимально работающую схему мониторинга, которая сможет на 100% решить индивидуальные задачи руководителя и системного администратора.

Многие администраторы сетей часто сталкиваются с проблемами, разобраться с которыми поможет анализ сетевого трафика. И здесь мы сталкиваемся с таким понятием, как анализатор трафика. Так что же это такое?

Анализаторы и коллекторы NetFlow — это инструменты, которые помогают отслеживать и анализировать данные сетевого трафика. Анализаторы сетевых процессов позволяют точно определить устройства, из-за которых снижается пропускная способность канала. Они умеют находить проблемные места в вашей системе, и повышать общую эффективность сети.

Программное обеспечение NetFlow собирает и анализирует данные потоков, генерируемых маршрутизаторами, и представляет их в удобном для пользователей формате.

Несколько других поставщиков сетевого оборудования имеют свои собственные протоколы для мониторинга и сбора данных. Например, Juniper , другой весьма уважаемый поставщик сетевых устройств, называет свой протокол « J-Flow «. HP и Fortinet используют термин « s-Flow «. Несмотря на то, что протоколы называются по-разному, все они работают аналогичным образом. В этой статье мы рассмотрим 10 бесплатных анализаторов сетевого трафика и коллекторов NetFlow для Windows .

Мониторинг сетевого трафика — 10 лучших бесплатных анализаторов и коллекторов

SolarWinds Real-Time NetFlow Traffic Analyzer

Free NetFlow Traffic Analyzer является одним из наиболее популярных инструментов, доступных для бесплатного скачивания. Он дает возможность сортировать, помечать и отображать данные различными способами. Это позволяет удобно визуализировать и анализировать сетевой трафик. Инструмент отлично подходит для мониторинга сетевого трафика по типам и периодам времени. А также выполнение тестов для определения того, сколько трафика потребляют различные приложения.

Этот бесплатный инструмент ограничен одним интерфейсом мониторинга NetFlow и сохраняет только 60 минут данных. Данный Netflow анализатор является мощным инструментом, который стоит того, чтобы его применить.

Colasoft Capsa Free

Этот бесплатный анализатор трафика локальной сети позволяет идентифицировать и отслеживать более 300 сетевых протоколов, и позволяет создавать настраиваемые отчеты. Он включает в себя мониторинг электронной почты и диаграммы последовательности TCP-синхронизации , все это собрано в одной настраиваемой панели.

Другие функции включают в себя анализ безопасности сети. Например, отслеживание DoS/DDoS-атак , активности червей и обнаружение ARP-атак . А также декодирование пакетов и отображение информации, статистические данные о каждом хосте в сети, контроль обмена пакетами и реконструкция потока. Capsa Free поддерживает все 32-битные и 64-битные версии Windows XP .

Минимальные системные требования для установки: 2 Гб оперативной памяти и процессор 2,8 ГГц. У вас также должно быть соединение с интернет по сети Ethernet ( совместимой с NDIS 3 или выше ), Fast Ethernet или Gigabit с драйвером со смешанным режимом. Он позволяет пассивно фиксировать все пакеты, передаваемые по Ethernet-кабелю .

Angry IP Scanner

Это анализатор трафика Windows с открытым исходным кодом, быстрый и простой в применении. Он не требует установки и может быть использован на Linux , Windows и Mac OSX . Данный инструмент работает через простое пингование каждого IP-адреса и может определять MAC-адреса , сканировать порты, предоставлять NetBIOS-информацию , определять авторизованного пользователя в системах Windows , обнаруживать веб-серверы и многое другое. Его возможности расширяются с помощью Java-плагинов . Данные сканирования могут быть сохранены в файлы форматов CSV, TXT, XML .

ManageEngine NetFlow Analyzer Professional

Полнофункциональная версия программного обеспечения NetFlow от ManageEngines . Это мощное программное обеспечение с полным набором функций для анализа и сбора данных: мониторинг пропускной способности канала в режиме реального времени и оповещения о достижении пороговых значений, что позволяет оперативно администрировать процессы. Кроме этого предусмотрен вывод сводных данных по использованию ресурсов, мониторинг приложений и протоколов и многое другое.

Бесплатная версия анализатора трафика Linux позволяет неограниченно использовать продукт на протяжении 30 дней, после чего можно производить мониторинг только двух интерфейсов. Системные требования для NetFlow Analyzer ManageEngine зависят от скорости потока. Рекомендуемые требования для минимальной скорости потока от 0 до 3000 потоков в секунду: двухъядерный процессор 2,4 ГГц, 2 Гб оперативной памяти и 250 Гб свободного пространства на жестком диске. По мере увеличения скорости потока, который нужно отслеживать, требования также возрастают.

The Dude

Это приложение представляет собой популярный сетевой монитор, разработанный MikroTik . Он автоматически сканирует все устройства и воссоздает карту сети. The Dude контролирует серверы, работающие на различных устройствах, и предупреждает в случае возникновения проблем. Другие функции включают в себя автоматическое обнаружение и отображение новых устройств, возможность создавать собственные карты, доступ к инструментам для удаленного управления устройствами и многое другое. Он работает на Windows , Linux Wine и MacOS Darwine .

JDSU Network Analyzer Fast Ethernet

Приложение поддерживает создание графиков и таблиц с высокой детализацией, которые позволяют администраторам отслеживать аномалии трафика, фильтровать данные, чтобы просеивать большие объемы данных, и многое другое. Этот инструмент для специалистов начального уровня, а также для опытных администраторов, позволяет полностью взять сеть под контроль.

Plixer Scrutinizer

Wireshark

Wireshark — это мощный сетевой анализатор может работать на Linux , Windows , MacOS X , Solaris и других платформах. Wireshark позволяет просматривать захваченные данные с помощью графического интерфейса, или использовать утилиты TTY-mode TShark . Его функции включают в себя сбор и анализ трафика VoIP, отображение в режиме реального времени данных Ethernet , IEEE 802.11 , Bluetooth , USB , Frame Relay , вывод данных в XML , PostScript , CSV , поддержку дешифрования и многое другое.

Системные требования: Windows XP и выше, любой современный 64/32-битный процессор, 400 Mb оперативной памяти и 300 Mb свободного дискового пространства. Wireshark NetFlow Analyzer — это мощный инструмент, который может существенно упростить работу любому администратору сети.

Paessler PRTG

Этот анализатор трафика предоставляет пользователям множество полезных функций: поддержку мониторинга LAN , WAN , VPN , приложений, виртуального сервера, QoS и среды. Также поддерживается мониторинг нескольких сайтов. PRTG использует SNMP , WMI , NetFlow , SFlow , JFlow и анализ пакетов, а также мониторинг времени бесперебойной работы/простоя и поддержку IPv6 .

Бесплатная версия дает возможность использовать неограниченное количество датчиков в течение 30 дней, после чего можно бесплатно использовать только до 100 штук.

nProbe

Это полнофункциональное приложение с открытым исходным кодом для отслеживания и анализа NetFlow .

nProbe поддерживает IPv4 и IPv6 , Cisco NetFlow v9 / IPFIX , NetFlow-Lite , содержит функции анализа VoIP трафика, выборки потоков и пакетов, генерации логов, MySQL/Oracle и DNS-активности , а также многое другое. Приложение является бесплатным, если вы анализатор трафика скачиваете и компилируете на Linux или Windows . Исполняемый файл установки ограничивает объем захвата до 2000 пакетов. nProbe является полностью бесплатным для образовательных учреждений, а также некоммерческих и научных организаций. Данный инструмент будет работать на 64-битных версиях операционных систем Linux и Windows .

Этот список из 10 бесплатных анализаторов трафика и коллекторов NetFlow поможет вам приступить к мониторингу и устранению неисправностей в небольшой офисной сети или обширной, охватывающей несколько сайтов, корпоративной WAN-сети .

Каждое представленное в этой статье приложение дает возможность контролировать и анализировать трафик в сети, обнаруживать незначительные сбои, определять аномалии пропускного канала, которые могут свидетельствовать об угрозах безопасности. А также визуализировать информацию о сети, трафике и многое другое. Администраторы сетей обязательно должны иметь в своем арсенале подобные инструменты.

Читайте также: