Metody analizy ruchu sieciowego

Podobne dokumenty
Monitoring ruchu sieciowego w nk.pl w oparciu o protokół netflow oraz rozwiązania opensource

Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Instytut Fizyki

Diagnostyka awarii to nie tylko PING Pokaz zintegrowanego systemu monitorowania sieci IBM Corporation

WOJSKOWA AKADEMIA TECHNICZNA

Zdalne monitorowanie i zarządzanie urządzeniami sieciowymi

Nadzorowanie stanu serwerów i ich wykorzystania przez użytkowników

Międzyplatformowy interfejs systemu FOLANessus wykonany przy użyciu biblioteki Qt4

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Katedra Inżynierii Komputerowej Politechnika Częstochowska. Zastosowania protokołu ICMP Laboratorium podstaw sieci komputerowych

Laboratorium 6.7.2: Śledzenie pakietów ICMP

MASKI SIECIOWE W IPv4

7. Konfiguracja zapory (firewall)

Praca dyplomowa. Program do monitorowania i diagnostyki działania sieci CAN. Temat pracy: Temat Gdańsk Autor: Łukasz Olejarz

Monitorowanie aplikacji i rozwiązywanie problemów

Zaawansowane metody pomiarów i diagnostyki w rozległych sieciach teleinformatycznych Pomiary w sieciach pakietowych. Tomasz Szewczyk PCSS

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

ZiMSK NAT, PAT, ACL 1

Elastyczna sieć dla rozwiązań Cloud Open vswitch

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Laboratorium - Wykorzystanie programu Wireskark do badania ramek Ethernetowych

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

Monitorowanie i zarządzanie urządzeniami sieciowymi przy pomocy narzędzi Net-SNMP

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Sieci Komputerowe Translacja adresów sieciowych

Internet Protocol v6 - w czym tkwi problem?

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Opis przedmiotu zamówienia - Załącznik nr 1 do SIWZ

Wykaz zmian w programie SysLoger

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

z paska narzędzi lub z polecenia Capture

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Instalacja SQL Server Express. Logowanie na stronie Microsoftu

Zapory sieciowe i techniki filtrowania danych

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP. WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r.

Monitor sieci wbudowany w Windows

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

ADRESY PRYWATNE W IPv4

Załącznik nr 1 do SIWZ

Podstawowe protokoły transportowe stosowane w sieciach IP cz.1

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ PODSTAWY RUTINGU IP. WSTĘP DO SIECI INTERNET Kraków, dn. 7 listopada 2016 r.

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Tom 6 Opis oprogramowania Część 8 Narzędzie do kontroli danych elementarnych, danych wynikowych oraz kontroli obmiaru do celów fakturowania

Adresy w sieciach komputerowych

Grzegorz Ruciński. Warszawska Wyższa Szkoła Informatyki Promotor dr inż. Paweł Figat

Wykaz zmian w programie SysLoger

Laboratorium - Przeglądanie tablic routingu hosta

Załącznik nr 1b do SIWZ Opis przedmiotu zamówienia dla części II

Webowy generator wykresów wykorzystujący program gnuplot

ARP Address Resolution Protocol (RFC 826)

Ćwiczenie Konfiguracja statycznych oraz domyślnych tras routingu IPv4

Tworzenie i obsługa wirtualnego laboratorium komputerowego

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Akademia Techniczno-Humanistyczna w Bielsku-Białej

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Co w sieci siedzi. Protokół CDP

Szczegółowy Opis Przedmiotu Zamówienia (SOPZ)

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Ataki na serwery Domain Name System (DNS Cache Poisoning)

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Formularz specyfikacji technicznej oferowanych urządzeń sieci komputerowej i oprogramowania dla tych urządzeń

Instrukcja 5 - Zastosowania protokołu ICMP

SIECI KOMPUTEROWE LABORATORIUM ĆWICZENIE 5. Analiza ruchu sieciowego z wykorzystaniem programu WIRESHARK Cz. I podstawy.

System kontroli wersji - wprowadzenie. Rzeszów,2 XII 2010

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

Skuteczne metody przechwytywania ruchu sieciowego w różnych konfiguracjach sieciowych. Adrian Turowski

Instrukcja programu Wireshark (wersja 1.8.3) w zakresie TCP/IP

Firewall bez adresu IP

ZiMSK. Konsola, TELNET, SSH 1

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci

Protokoły sieciowe - TCP/IP

IPv6 Protokół następnej generacji

KARTA KURSU. Administracja serwerami WWW

Przegląd oprogramowania GIS do tworzenia map tematycznych. Jacek Jania

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

router wielu sieci pakietów

System zarządzania i monitoringu

Wireshark analizator ruchu sieciowego

Skanowanie podsieci oraz wykrywanie terminali ABA-X3

Warstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa

Rejestrowanie pełne i selektywne danych o ruchu sieciowym w środowisku urządzeń Cisco

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

SPECYFIKACJA TECHNICZNA ZAMÓWIENIA

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

I. Rozbudowa istniejącej infrastruktury Zamawiającego o przełączniki sieciowe spełniające poniższe minimalne wymagania - szt. 5

Sterowanie ruchem w sieciach szkieletowych

Bezpieczeństwo systemów i lokalnej sieci komputerowej

Zdarzenia bezpieczeństwa

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

WYMAGANIA SPRZĘTOWE DLA SIECI LAN W INFRASTRUKTURZE POCZTY POLSKIEJ

Laboratorium 5. Programy wspomagające zarządzanie I: MRTG i LinuxStat

Warstwa sieciowa rutowanie

Wykorzystanie układów FPGA w implementacji systemów bezpieczeństwa sieciowego typu Firewall

Backend Administratora

Projekt i implementacja filtra dzeń Pocket PC

Transkrypt:

Metody analizy ruchu sieciowego Robert Tomczak 1 Wydział Inżynierii Mechanicznej i Informatyki Kierunek informatyka, Rok III Politechnika Częstochowska Roberttomczak91@gmail.com Streszczenie Celem niniejszej pracy jest przedstawienie metod analizy ruchu sieciowego, W oparciu o statystyki generowane przez urządzenia IP (routery, przełączniki warstwy 3). W tym celu powstały standardy takie jak NetFlow, JFlow, SFlow. Wszystkie te rozwiązania bazują na gromadzeniu informacji o przepływających przez urządzenie sieciowe pakietach. Poprzez analizę tych informacji możliwe jest m.in. monitorowanie pracy sieci komputerowej, rozwiązywanie problemów. W tym artykule zostały zaprezentowane przykładowe narzędzia służące do gromadzenia informacji NetFlow jak i narzędzia służące do analizowania zgromadzonych informacji. 1 Wstęp NetFlow jest to protokół sieciowy stworzony przez Cisco Systems Inc w celu zbierania informacji na temat ruchu IP w sieci. Przy użyciu kolektora zbierane są informacje z routerów lub przełączników warstwy 3. Obsługa NetFlow została zaimplementowana w niemal każdym routerze Cisco, który jest obsługiwany przez IOS (ang. Internetwork Operating System). Pakiety NetFlow zawierają wszystkie niezbędne informacje odnośnie pakietów przepływających przez urządzenie IP, np. takie jak adres źródłowy pakietu, adres docelowy, next hop czy też rozmiar. Analiza pojedynczego flow nie daje zbyt wiele możliwości. Z pomocą przychodzą jednak analizatory NetFlow, umożliwiając nam analizę większej ilości Flow. Za pomocą tych narzędzi możemy przeanalizować zebrane pakiety pod kątem: - użytych protokołów - adresów oraz numerów portów docelowych jak i źródłowych - obciążenia interfejsów - możliwe jest dokładne przeanalizowanie wielkości ruchu sieciowego - diagnostyki sieci. 1

2 Historia NetFlow NetFlow w wersji v1 został zaprezentowany w 1990 roku. Pierwsza implementacja w IOS 11, dla routerów Cisco 7000,7200,7500. Najnowszą wersją jest v10. Wersja Opis NetFlow V1 Wersja pierwsza, ograniczona do IPv4 V2,V3,V4 Nigdy nieopublikowana V5 Najbardziej popularna, ograniczona do IPv4 jednak w stosunku do V1 wspiera maski IP oraz numery AS V6 Niewspierany V7 NetFlow v5 z dodatkowym polem source router przeznaczony dla switchy Cisco Catalyst V8 Inny sposób prezentacji V5 V9 Wsparcie IPv6, MPLS, BPG nexthop V10 Inaczej IPFIX, najnowszy standard w zasadzie V9 z dodatkowymi definiowalnymi polami. Powyższa tabela przedstawia zmiany, które zaszły w poszczególnych wersjach NetFlow. Pogrubione zostały obecnie najpopularniejsze standardy. Standardy te nie są wspieranie tylko przez Cisco Systems, na ich implementacje zdecydowali się również producenci tacy jak NetFlow v5 (Huawei, Juniper, Packeteer, Riverbed), NetFlow v9 (EnteraSys). 3 Budowa pakietów NetFlow v5 oraz NetFlow v9 Fundamentalną różnicą pomiędzy NetFlow v5 oraz v9 jest to, iż NetFlow v5 w przeciwieństwie do v9 ma stały format struktury danych: Budowa rekordu NetFlow v5 Adres źródłowy (IP) Adres docelowy (IP) Next hop(ip) Znacznik interfejsu wejściowego Znacznik interfejsu wyjściowego Liczba pakietów Liczba bajtów Czas rozpoczęcia Flow Czas zakończenia Flow Port źródłowy Port docelowy Padding Flagi TCP TCP/UDP Type of Service Źródłowy AS Docelowy AS Długość maski (źródło) Długość maski (docelowo) padding 2

Budowa rekordu NetFlow v9 NetFlow v9 natomiast jest dużo bardziej elastyczny w porównaniu do v5. Budowa rekordu definiowana jest w tzw. Template flow-set. Rekord ten poprzedza właściwy rekord zawierający informacje NetFlow definiując jednocześnie jego strukturę. Konfigurując NetFlow v9 na urządzeniach Cisco można wybrać spośród następujących pól: Umożliwia to elastyczne dopasowanie exportowanego Flow do konkretnych potrzeb. 4 Konfiguracja routera Topologia testowa R2(config)#interface fastethernet 1/1 R2(config-if)#ip route-cache flow R2(config)#ip flow-export destination 192.168.2.2 9001 R2(config)#ip flow-export version 5 Po wprowadzeniu takiej konfiguracji, ruch występujący pomiędzy hostami zostanie zapisany w cache NetFlow v5, następnie po jego przepełnieniu przesłany do kolektora znajdującego się pod adresem 192.168.2.2 na porcie 9001. 3

5 Kolektor Przykładowym kolektorem jest nfcapd zawarty w NFdump. Nfdump jest zestawem narzędzi do zbierania oraz przetwarzania NetFlow. - Wspiera NetFlow w wersji v1,v5,v7,v9 oraz IPFix. - Napisany w c szybkość (kolektor musi być szybki) np. 25 gb/dzień - Obsługiwany z poziomu linii komend -p (port, na który przesyłany jest NetFlow) -l (folder do zapisu NetFlow) -w (parametr określający czas rotacji w minutach) -D (uruchamianie, jako deamon) 6 Analiza zgromadzone NetFlow W zestawie Nfdump znajduje się również narzędzie do prostej analizy zgromadzonego przy pomocy nfcapd NetFlow. Po wykonaniu polecenia nfdump z podanym katalogiem, w którym znajdują się nasze NetFlow, uzyskujemy czytelne statystyki przedstawiające informacje na temat: - czasu rozpoczęcia jak i zakończenia flow - adresu źródłowego - adresu docelowego - portu źródłowego - portu docelowego - ilości przesłanych danych. Przy pomocy nfdump możliwe jest również proste filtrowanie zgromadzonego NetFlow. Ponieważ nfdump jako argument przyjmuje filtry zgodnie z pcap, możliwe jest ograniczenie wyświetlonych rezultatów na przykład do danego source ip: 4

7 Graficzne analizatory Przykładowym graficznym analizatorem NetFlow, jest Nfsen. NFsen jest aplikacją webową przeznaczoną do analizy danych zebranych przypomocy nfcapd. Aplikacja ta składa się z dwóch części: - programu napisanego w Perl działającego w tle Nfsend uruchamiającego nfcapd oraz graficznego interfejsu napisanego w PHP. Instalacja oraz podstawowa konfiguracja sprowadza się tylko do modyfikacji pliki konfiguracyjnego. Niezbędne jest podanie urządzeń, z których chcemy zbierać netflow. Przy czym określamy nazwę urządzenia, port, na którym prowadzony będzie nasłuch oraz typ zbieranego flow. Możliwe jest jednoczesne zbieranie informacji z wielu urządzeń. Fragment pliku konfiguracyjnego: %sources = ( 'Urzadzenie' => { 'port' => '9995', 'col' => '#ff0000', 'type' => 'netflow' },); Interfejs graficzny nfsen umożliwia wygodną interpretacje ruchu sieciowego z nadzorowanych urządzeń. Udostępniając przy tym wszystkie niezbędne narzędzia do przeszukiwania, filtrowania zgromadzonego flow. 5

8 Podsumowanie W powyższym artykule zostały zaprezentowane przykładowe narzędzia służące do zbierania oraz analizy danych o strumieniach przepływających przez urządzenia sieciowe określane jako NetFlow. Wszystkie przedstawione narzędzia są narzędziami udostępnianymi na licencji Freeware. Zapewniają one podstawowe funkcjonalności oraz niezbędną wydajność do podstawowej analizy ruchu sieciowego. Istnieją również komercyjne rozwiązania takie jak np. NetFlow Traffic Analyzer firmy SolarWinds udostępniające możliwość bardziej wnikliwej analizy oraz lepszej prezentacji ruchu sieciowego. 9 Bibliografia [1] http://en.wikipedia.org/wiki/netflow [2] http://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/iosnetflow/prod_white_paper0900aecd80406232.html [3] http://www.lancope.com/blog/netflow-v5-vs-netflow-v9/ [4] http://nfsen.sourceforge.net/ [5] http://www.manageengine.com/products/netflow/help/cisco-netflow/cisco-ios-netflow.html [6] http://en.wikipedia.org/wiki/netflow [7] http://nfdump.sourceforge.net/ 6

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres