Monitorizați traficul în rețea. Revizuirea celor mai bune programe pentru monitorizarea traficului pe un PC

Un contor de date nu este doar un program interesant care va fi folosit de utilizatorii de internet. Functioneaza bine pe un PC cu cablu de rețea. Datorită acestui fapt, vom putea analiza tot traficul din rețea, chiar și cel care este localizat. Folosind un program de monitorizare a traficului de internet pe un computer, putem afla cu ușurință dacă computerul nostru este infectat și dacă trimite pachete inutile.

Alegerea celui mai bun program pentru monitorizarea traficului pe Internet.

Network Meter este un gadget de desktop la îndemână și un program de măsurare a traficului care vă permite să vă monitorizați cu ușurință conexiunea la internet și să o distribuiți retea localași Wi-Fi. Majoritatea utilizatorilor ignoră funcțiile oferite de gadgeturile desktop care au apărut deja în Windows Vistași portat pe Windows 7. Unele dintre aceste aplicații pot fi foarte utile.

Network Meter este o aplicație care vă monitorizează conexiunea activă la Internet. Vă permite să specificați o adresă IP atât în ​​rețeaua locală, cât și pe Internet. Afișează transferul de date curent, descărcarea, viteza de încărcare și cantitatea de date pe care le-am descărcat și trimis în timpul ultimei sesiuni (din moment ce reporniți Windows). În plus, în modul de monitorizare a rețelei fără fir, aplicația arată SSID-ul Rețele Wi-Fi, adică numele acestuia și valoarea procentuală a calității semnalului (0 - 100%). Un element suplimentar al gadgetului este un localizator de adrese IP (căutare IP) și un tester de Internet (test de viteză).

Oricine poate folosi programul:

1. Despachetați programul de instalare gadget din arhiva ZIP, selectând o locație de pe hard disk. Faceți dublu clic pe fișierul extras pentru a instala Network Meter.
2. Vi se va solicita să verificați producătorul, faceți clic pe Instalare. Gadgetul ar trebui să apară pe desktopul nostru (de obicei în partea dreaptă), dar poate fi plasat oriunde făcând clic și trăgând cu butonul stâng al mouse-ului.
3. Aplicația este deja activă, dar pentru a vă asigura că monitorizează conexiunea care vă interesează, accesați opțiunea „Contor de rețea”. Pentru a face acest lucru, faceți clic dreapta pe gadget și selectați „Opțiuni”.
4. În fila principală „Setări”, puteți gestiona funcțiile gadgetului. În primul rând, trebuie să alegeți ce rețea să monitorizați (tipul de rețea). Puteți alege să vă conectați la rețeaua locală prin cablu ( Rețea cu fir) sau Wi-Fi ( retea fara fir). În acest din urmă caz, gadgetul va fi echipat cu funcții suplimentare - SSID și un contor de calitate a semnalului. Funcția indicată de marcator arată placa de rețea controlată de adresa noastră IP locală (rețea locală), precum și rețeaua controlată pentru transmisia de date. Dacă îl utilizați pe un PC personal, nu vor fi probleme, dar pe un laptop ar trebui să vă asigurați că All Network Meter este în în prezent controale card activ– de obicei trebuie să alegeți între o rețea LAN Ethernet și un card Wi-Fi.
5. Fila „Ecran” determină modul în care gadgetul va afișa informații. De exemplu, se recomandă modificarea setării implicite a unității de la biți pe secundă pentru a obține viteza în kiloocteți sau megabiți. Setările sunt salvate prin apăsarea butonului „OK”.
6. Modificările la fereastra Network Meter apar imediat. Este de remarcat faptul că contorul reprezintă transferul curent de date - pornit acest momentși astfel monitorizează activitatea rețelei. Cu toate acestea, o altă valoare contorizează câte date sunt descărcate și trimise în timpul acelei sesiuni. Poate fi util pentru utilizatorii care folosesc rețele contorizate - de exemplu, Internetul mobil 3G. Acest lucru face ușor să știți dacă pachetul este supraîncărcat.

Licență: gratuită

IMPORTANT. Funcționarea corectă a programului necesită instalarea pachetului .NET Framework 1.1 pe sistem.

Program genial din punct de vedere al GUI, care vă poate surprinde cu câteva caracteristici foarte interesante. GlassWire este un program pentru controlul fluxului de date al unei conexiuni la Internet, trăsătură caracteristică care este, în primul rând, o interfață animată modernă, aspect care pot fi modificate în continuare folosind șabloane grafice, care cresc lizibilitatea informațiilor prezentate pe grafice. Programul vă permite să afișați numele proceselor și aplicațiilor care inițiază noi sesiuni și folosesc conexiunea la rețea. Utilizatorul este informat despre totul prin ferestre pop-up și direct din fereastra programului.

Utilizarea GlassWire este intuitivă și se rezumă la comutarea între file succesive care corespund principalelor funcții implementate în program: analiza grafica date, setări firewall, transmiterea datelor de consum împărțite în aplicații și o listă de notificări. În ele avem de obicei următoarele trei vizualizări, care ne permit să personalizăm conținutul ecranului pentru nevoile noastre - în același timp putând afișa mai multe informatii despre procesele individuale, precum și cont, reprezentând datele în diagrame.

Direct din meniul programului poți accesa secțiunea suport tehnic, disponibil online pe site-ul producătorului. Este foarte clar și conține nu numai rapid și ghid complet despre utilizarea programului, dar și acces la o bază de date cu întrebări frecvente sau forumuri pentru utilizatori. Deși programul este în prezent disponibil doar într-o versiune de dezvoltare, angajamentul producătorului de a reglaj fin toate detaliile îl fac rapid popular. Avantaje:

• functie firewall;
• interfață foarte convenabilă și frumoasă;
• ușurință de operare.

Defecte:

• lipsa multor funcții în versiunea gratuită;
• nu există un program de urmărire a transferului de date.

Licență: gratuită.

Un utilitar avansat de monitorizare care vă permite să monitorizați traficul în rețea, generate de aplicație. Creează rapoarte în mai multe formate. Acest program raportează descărcarea și trimiterea de date pentru Internet, rețeaua locală și pentru anumite programe. De asemenea, vă spune ce aplicații folosesc internetul. Monitorizează calitatea semnalului Wi-Fi. Cea mai recentă versiune este pe deplin compatibilă cu Windows 10. Valoarea DU urmărește în mod clar utilizarea datelor. Oferă rapoarte orare, zilnice, săptămânale și lunare. Poate avertiza și când limitele fixe sunt depășite. Datele din rapoarte pot fi exportate în Excel, Word și PDF. Modul cronometru vă permite să măsurați consumul de date de la grad înalt exact anumit timp. Nu numai că poți specifica orele în care transferurile nu trebuie numărate (ceea ce ar fi util pentru persoanele care folosesc planuri cu ore libere).

DU Meter apare ca o fereastră de notificare translucidă în colțul din dreapta jos al desktopului și afișează informații despre traficul de rețea în timp real. Fereastra DU Meter poate fi mărită trăgând marginile sale cu mouse-ul. Fiecare linie verticală este de o secundă. Linia roșie este trafic de intrare, iar linia verde este de ieșire. În partea de jos a ferestrei există file „Internet”, „LAN”, „Programe” - prin comutarea între ele, puteți vedea datele corespunzătoare. Făcând clic dreapta pe fereastra programului, puteți afișa un meniu pop-up care oferă acces la diferite rapoarte, un mod de cronometru sau opțiuni pentru utilizator și administrator.

Pentru a vedea raportul principal de trafic pe Internet cât mai repede posibil, treceți mouse-ul peste pictograma DU Meter din bara de activități. A vedea informatii detaliate despre activitatea online a programelor, faceți clic dreapta pe fereastra semitransparentă contorului DU și selectați „Vizualizare conexiuni de rețea”. În fereastra nouă, în fila „Programe”, există toate aplicațiile care folosesc transferul de date. În fila „Deschidere”. conexiuni TCP» afișează informații care vă vor ajuta să identificați traficul neautorizat de pe computer. Avantaje:

• numărul maxim de formate de raport;
• calculul simultan de date pt aplicatii specificeși trafic de rețea;
• cronometru de utilizare.

Dezavantaj: versiune de încercare.

Licență: probă.

Acestea sunt cele mai populare aplicații. Puteți încerca câteva altele care se remarcă prin funcționalitatea lor.

Un program foarte util. Mulți funcții suplimentare face-o la maximum aplicare universală pentru a monitoriza transferul de date pe PC. Avantaje:

• ușurință în operare;
• urmărirea aplicațiilor specifice;
• capacitatea de a crea rapoarte;
• modul de monitorizare a traficului pe router (necesită SNMP suportat de router).

Dezavantaj: Urmărirea incorectă a aplicațiilor care rulează pe sistem.

Licență: gratuită.

Ocupă foarte puțin spațiu și nu supraîncărcă procesorul în timpul funcționării. Nu există multe funcții avansate, dar aplicația excelează prin simplitate. Avantaje:

• comenzi simple;
• functie de cronometru.

Defecte:

• aspect neinteresant;
• Lipsa urmăririi datelor specifice aplicației.

Licență: gratuită.

Funcționează fără probleme în aproape toate versiuni Windows, are funcții disponibile numai în versiunile plătite ale acestui tip de program. Avantaje:

• functie firewall;
• program cu posibilitatea de a dezactiva urmărirea la un anumit moment;
• gestionarea de la distanță a statisticilor prin intermediul rețelei.

Dezavantaj: Destul de greu de utilizat.

Licență: gratuită.

Desigur, lista de programe pentru urmărirea traficului pe un computer poate fi continuată destul de mult timp. Am colectat cele mai bune și mai populare aplicații. Dacă aveți deja experiență în utilizarea altor software, distribuiți-l în comentarii.

Utilizatorii care nu se pot conecta la internet nelimitat sunt interesați în primul rând de consumul de trafic. Traficul este controlat programe speciale sau folosind capabilitățile Windows.

Windows 8 vă permite să controlați traficul fără a utiliza programe suplimentare. Pentru a activa contorul de trafic, găsiți pictograma conexiunii la rețea în bara de activități. După ce faceți clic pe pictogramă, se va deschide fereastra „Rețele”. Selectați conexiunea activă și faceți clic dreapta. În fereastra care apare, pe prima linie veți vedea „Afișați informații despre utilizarea intenționată”. Activați acest element și în viitor, când deschideți fereastra „Rețele”, veți vedea statistici privind volumele utilizate. În mai devreme produse Windows– 7 sau XP, procesul de verificare a traficului se realizează puțin diferit. După conectarea la Internet, de asemenea, faceți clic stânga pe pictograma de conectare și selectați rețeaua activă. Prin utilizarea butonul corect mergeți la „Stare”. Aici veți vedea volumul de trafic de intrare și de ieșire, care este afișat în octeți.

Puteți controla traficul folosind programul gratuit Networx 5.3.2. Programul acceptă orice tip de conexiune - internet prin cablu, prin cablu, mobil. Networx afișează traficul de intrare și de ieșire. Puteți vizualiza statistici pentru perioada care vă interesează și, de asemenea, puteți monitoriza viteza conexiunii dvs. la Internet. Programul vă permite să verificați cât trafic consumă fiecare aplicație.

Programul Networx începe să conteze traficul dvs. de Internet din momentul instalării. Puteți configura programul astfel încât activitatea de trafic să fie vizibilă în pictograma tavă. Prin setări, deschideți fila „Trafic”, apoi verificați opțiunile necesare, așa cum se arată în fotografie și salvați acțiunile finalizate.

De asemenea, puteți seta o cotă. Pentru a face acest lucru, selectați tipul de cotă, traficul, orele și unitățile de măsură. După ce setați dimensiunea cotei, faceți clic pe „OK”. Când consumul de trafic se apropie de pragul limită, programul vă va avertiza despre acest lucru. Acest lucru va evita depășirile de trafic.

Controlul traficului activat dispozitive mobile depinde de sistemul dispozitivului. De exemplu, sistemul Android este capabil să contorizeze traficul de intrare și de ieșire. Pentru a face acest lucru, trebuie să selectați „Transfer de date” în setări și să selectați un operator de telecomunicații. Se va deschide o fereastră în care vor fi afișate datele despre traficul de intrare și de ieșire. Pe lângă verificarea volumului, puteți seta o limită de utilizare a traficului.

Controlul consumului de trafic vă va ajuta să evitați cheltuielile inutile. Chiar dacă folosești internet nelimitat, verificați periodic activitatea în rețea. O creștere bruscă a consumului de trafic indică faptul că un virus sau un troian și-a instalat reședința în sistem.

Există o mulțime de programe pentru urmărirea traficului pe o rețea locală: atât plătite, cât și gratuite, care diferă foarte mult în funcție de funcționalitate. Una dintre cele mai populare Sursa deschisa programe - SAMS. Ea lucrează pentru Platforma Linuxîn colaborare cu Squid.

SAMS necesită PHP5, vom folosi Ubuntu Server 14.04. Vom avea nevoie de pachete Squid, Apache2, PHP5 cu module.

Contabilizarea traficului de internet pe o rețea locală Linux

Să încercăm să ne dăm seama cum funcționează.

Squid distribuie Internetul, acceptând cereri pe portul 3128. În același timp, scrie un access.log detaliat. Tot controlul se realizează prin fișierul squid.conf. Squid are capabilități extinse pentru gestionarea accesului la Internet: limitarea accesului după adresă, controlul lățimii de bandă pentru anumite adrese, grupuri de adrese și rețele.

SAMS funcționează pe baza analizei jurnalului Server proxy Squid. Sistemul de contabilizare a traficului de rețea locală monitorizează statisticile serverului proxy și, în conformitate cu politicile specificate, ia decizia de a bloca, debloca sau limita viteza pentru clientul Squid.

Instalarea SAMS

Instalarea pachetelor.

apt-get install apache2 php5 php5-mysql mysql-server php5-gd squid3

Descărcați și instalați SAMS

wget https://github.com/inhab-magnus/sams2-deb/archive/master.zip

dezarhivați master.zip

cd sams2-deb-master/

dpkg -i sams2_2.0.0-1.1_amd64.deb

Instalarea interfeței web

dpkg -i apache2/sams2-web_2.0.0-1.1_all.deb

Facem modificări în fișierul /etc/sams2.conf.

DB_PASSWORD=/Parola MySql/

Lansarea SAMS

service sams2 start

Configurarea Squid

Facem modificări în fișierul /etc/squid3/squid.conf

http_port 192.168.0.110:3128
cache_dir ufs /var/spool/squid3 2048 16 256

Permitem înregistrarea și rotația jurnalelor cu stocare timp de 31 de zile.

access_log daemon:/var/log/squid3/access.log squid

logfile_rotate 31

Oprește Squid, creează un cache.

service squid3 stop

service squid3 start

Pentru puritatea experimentului, configurăm unul dintre browsere să funcționeze cu proxy 192.168.0.110 prin portul 3128. După ce am încercat să ne conectăm, primim un refuz de conectare - Squid nu are drepturi de acces la proxy-ul configurat.

Configurare SAMS inițială

Într-un alt browser, deschideți adresa (192.168.0.110 – adresa serverului).

http://192.168.0.110/sams2

Ne va spune că nu se poate conecta la baza de date și se va oferi să efectueze instalarea.

Specificăm serverul bazei de date (127.0.0.1), login și parola pentru MySql.

Configurarea inițială a sistemului de contabilitate a traficului a fost finalizată. Tot ce rămâne este să configurați programul.

Monitorizarea traficului pe o rețea locală

Conectați-vă la sistem ca administrator (admin/qwerty).

Merită menționat imediat despre autorizarea utilizatorului.

În ramura Squid, deschideți serverul proxy și faceți clic pe butonul „Configurați serverul proxy” din partea de jos.

Cel mai important lucru aici este să indicați adresa dumneavoastră IP în adresele folderelor și fișierelor acolo unde este necesar, altfel serverul proxy nu va porni.

Esența tuturor modificărilor aduse setărilor SAMS este că acestea sunt scrise în squid.conf. Sams2deamon rulează în fundal, care monitorizează modificările setărilor care necesită modificări Fișier de configurare(puteți seta și intervalul de urmărire acolo).

Completați câmpurile „Utilizator” și „Adresă IP”. Să luăm același IP ca și numele de utilizator (IP-ul computerului, nu al serverului!). În câmpul „Trafic permis” introducem „0”, adică fără restricții. Omitem toate celelalte câmpuri.

Un nou acl va fi adăugat pentru această adresă IP și permisiunea de a lucra prin Squid. Dacă configurația nu a fost schimbată automat, mergeți la ramura proxy și faceți clic pe butonul „Reconfigurați Squid”. Modificările la configurație vor fi făcute manual.

Încercăm să deschidem orice URL în browser. Verificăm access.log și vedem cererile procesate de proxy. Pentru a verifica funcționarea SAMS, deschideți pagina „Utilizatori” și faceți clic pe butonul „Recalculați traficul utilizatorului” din partea de jos.

Folosind butoanele de mai jos pentru a gestiona statisticile, puteți obține informatii detaliate conform statisticilor vizitelor utilizatorilor pe pagini.

Orice administrator primește mai devreme sau mai târziu instrucțiuni de la conducere: „numărați cine intră online și cât de mult descarcă”. Pentru furnizori, acesta este completat de sarcinile de „a lăsa pe oricine are nevoie de el, a primi plata, a limita accesul”. Ce să numere? Cum? Unde? Există o mulțime de informații fragmentare, nu sunt structurate. Îl vom salva pe administratorul începător de căutări obositoare, oferindu-i cultura generala, și link-uri utile către materiale.
In acest articol voi incerca sa descriu principiile de organizare a colectarii, contabilitatii si controlului traficului in retea. Vom lua în considerare problemele problemei și lista moduri posibile Preluarea informațiilor de pe dispozitivele din rețea.

Acesta este primul articol teoretic dintr-o serie de articole dedicate colectării, contabilității, gestionării și facturării traficului și resurselor IT.

Structura de acces la internet

În general, structura de acces la rețea arată astfel:

• Resurse externe - Internetul, cu toate site-urile, serverele, adresele și alte lucruri care nu aparțin rețelei pe care o controlați.
• Dispozitiv de acces – router (hardware sau bazat pe PC), comutator, server VPN sau concentrator.
• Resursele interne sunt un set de calculatoare, subrețele, abonați a căror funcționare în rețea trebuie luată în considerare sau controlată.
• Un server de gestiune sau contabilitate este un dispozitiv pe care este specializat software. Poate fi combinat funcțional cu un router software.

În această structură, traficul de rețea trece de la resursele externe la cele interne și înapoi, prin dispozitivul de acces. Transmite informații de trafic către serverul de management. Serverul de control procesează aceste informații, le stochează în baza de date, le afișează și emite comenzi de blocare. Cu toate acestea, nu toate combinațiile de dispozitive de acces (metode) și metode de colectare și control sunt compatibile. Diferitele opțiuni vor fi discutate mai jos.

Trafic de rețea

În primul rând, trebuie să definiți ce se înțelege prin „trafic de rețea” și ce informații statistice utile pot fi extrase din fluxul de date utilizator.
Protocol dominant interconectare IP versiunea 4 rămâne pentru moment. Protocolul IP corespunde stratului 3 al modelului OSI (L3). Informațiile (date) dintre expeditor și destinatar sunt împachetate în pachete - având un antet și o „sarcină utilă”. Titlul definește unde și unde se duce el pachet (adresele IP ale expeditorului și destinatarului), dimensiunea pachetului, tipul de încărcare utilă. Cea mai mare parte a traficului de rețea constă din pachete cu încărcături utile UDP și TCP - acestea sunt protocoale Layer 4 (L4). Pe lângă adrese, antetul acestor două protocoale conține numere de port, care determină tipul de serviciu (aplicație) care transmite date.

Pentru a transmite un pachet IP prin fire (sau radio), dispozitivele de rețea sunt forțate să-l „încapsuleze” într-un pachet de protocol Layer 2 (L2). Cel mai comun protocol de acest tip este Ethernet. Transmiterea efectivă „la fir” are loc la nivelul 1. De obicei, dispozitivul de acces (routerul) nu analizează antetele pachetelor la niveluri mai mari decât nivelul 4 (cu excepția firewall-urilor inteligente).
Informațiile din câmpurile adrese, porturi, protocoale și contoare de lungime din anteturile L3 și L4 ale pachetelor de date constituie „materia primă” care este utilizată în contabilitatea și managementul traficului. Cantitatea reală de informații transmise se găsește în câmpul Lungime al antetului IP (inclusiv lungimea antetului în sine). Apropo, din cauza fragmentării pachetelor din cauza mecanismului MTU, volumul total de date transmise este întotdeauna mai mare decât dimensiunea sarcinii utile.

Lungimea totală a câmpurilor IP și TCP/UDP ale pachetului care ne interesează în acest context este de 2...10% din lungimea totală a pachetului. Dacă procesați și stocați toate aceste informații lot cu lot, nu vor fi suficiente resurse. Din fericire, marea majoritate a traficului este structurat pentru a consta într-o serie de „conversații” între dispozitivele de rețea externe și interne, numite „fluxuri”. De exemplu, în cadrul unei singure operațiuni de redirecționare e-mail(protocol SMTP) o sesiune TCP este deschisă între client și server. Se caracterizează printr-un set constant de parametri (adresă IP sursă, portul TCP sursă, adresa IP destinație, portul TCP destinație). În loc să procesăm și să stocați informații lot cu pachet, este mult mai convenabil să stocați parametrii de flux (adrese și porturi), precum și Informații suplimentare– numărul și suma lungimilor pachetelor transmise în fiecare direcție, opțional durata sesiunii, indexurile interfețelor routerului, valoarea câmpului ToS etc. Această abordare este benefică pentru protocoalele orientate pe conexiune (TCP), unde este posibil să se intercepteze în mod explicit încheierea unei sesiuni. Cu toate acestea, chiar și pentru protocoalele care nu sunt orientate spre sesiune, este posibil să se efectueze agregarea și completarea logică a unei înregistrări de flux pe baza, de exemplu, a unui timeout. Mai jos este un extras din baza de date SQL a propriului nostru sistem de facturare, care înregistrează informații despre fluxurile de trafic:

Este necesar să rețineți cazul în care dispozitivul de acces realizează traducerea adresei (NAT, masquerading) pentru a organiza accesul la Internet pentru computerele din rețeaua locală, folosind unul, extern, adresa IP publică. În acest caz, un mecanism special înlocuiește adresele IP și porturile TCP/UDP ale pachetelor de trafic, înlocuind adresele interne (nu rutabile pe Internet) conform tabelului său dinamic de traducere. În această configurație, este necesar să ne amintim că, pentru a înregistra corect datele pe gazdele rețelei interne, statisticile trebuie colectate într-un mod și într-un loc în care rezultatul traducerii nu „anonimizează” încă adresele interne.

Metode de colectare a informațiilor de trafic/statistici

Puteți captura și procesa informații despre trecerea traficului direct pe dispozitivul de acces în sine (router PC, server VPN), transferându-le de pe acest dispozitiv către server separat(NetFlow, SNMP) sau „din fir” (atingeți, SPAN). Să ne uităm la toate opțiunile în ordine.

router PC

Să luăm în considerare cel mai simplu caz - un dispozitiv de acces (router) bazat pe un PC care rulează Linux.

Cum să configurați un astfel de server, traducerea adresei și rutarea, s-au scris multe. Ne interesează următorul pas logic - informații despre cum să obținem informații despre traficul care trece printr-un astfel de server. Există trei metode comune:

• interceptarea (copiarea) pachetelor care trec prin placa de rețea a serverului folosind biblioteca libpcap
• interceptând pachetele care trec prin sistemul încorporat firewall
• utilizare instrumente de la terți conversia statisticilor pachet cu pachet (obținute prin una dintre cele două metode anterioare) într-un flux de informații agregate privind fluxul net

Libpcap

În primul caz, o copie a pachetului care trece prin interfață, după trecerea filtrului (man pcap-filter), poate fi solicitată de un program client de pe server scris folosind această bibliotecă. Pachetul sosește cu un antet de nivel 2 (Ethernet). Este posibil să se limiteze lungimea informațiilor capturate (dacă ne interesează doar informațiile din antetul acesteia). Exemple de astfel de programe sunt tcpdump și Wireshark. Există o implementare a libpcap pentru Windows. Dacă traducerea adresei este utilizată pe un router de PC, o astfel de interceptare poate fi efectuată numai pe interfața sa internă conectată la utilizatori locali. Pe interfata externa,După difuzare, pachetele IP nu conțin informații despre gazdele interne ale rețelei. Cu toate acestea, prin această metodă este imposibil să se țină cont de traficul creat de serverul însuși pe Internet (ceea ce este important dacă rulează web sau Serviciu poștal).

libpcap necesită suport din partea sistemului de operare, care în prezent echivalează cu instalarea unei singure biblioteci. În acest caz, programul de aplicație (utilizator) care colectează pachete trebuie să:

• deschideți interfața necesară
• specificați filtrul prin care să treacă pachetele primite, dimensiunea părții capturate (snaplen), dimensiunea tamponului,
• setați parametrul promisc, care pune interfața de rețea în modul de captură pentru toate pachetele care trec, și nu doar pentru cele adresate la adresa MAC a acestei interfețe
• setați o funcție (callback) care să fie apelată pentru fiecare pachet primit.

Când un pachet este transmis prin interfața selectată, după trecerea filtrului, această funcție primește un buffer care conține Ethernet, (VLAN), IP etc. anteturi, dimensiune totală până la snaplen. Deoarece biblioteca libcap copiază pachetele, nu poate fi folosită pentru a le bloca trecerea. În acest caz, va trebui să folosească programul de colectare și procesare a traficului metode alternative, de exemplu, apelarea unui script pentru a plasa o anumită adresă IP într-o regulă de blocare a traficului.

Firewall

Captarea datelor care trec prin firewall vă permite să luați în considerare atât traficul serverului în sine, cât și traficul utilizatorilor rețelei, chiar și atunci când se execută traducerea adresei. Principalul lucru în acest caz este să formulați corect regula de captură și să o puneți la locul potrivit. Această regulă activează redirecționarea pachetelor biblioteca de sistem, de unde îl poate primi aplicația de contabilitate și gestionare a traficului. Pentru sistemul de operare Linux, iptables este folosit ca firewall, iar instrumentele de interceptare sunt ipq, netfliter_queue sau ulog. Pentru OC FreeBSD – ipfw cu reguli precum tee sau deviare. În orice caz, mecanismul firewall este completat de capacitatea de a lucra cu un program utilizator în următorul mod:

• Un program de utilizator - un gestionator de trafic - se înregistrează în sistem folosind un apel de sistem sau o bibliotecă.
• Program utilizator sau script extern instalează o regulă în firewall care „învelește” traficul selectat (conform regulii) în interiorul handler-ului.
• Pentru fiecare pachet care trece, handlerul își primește conținutul sub forma unui buffer de memorie (cu antete IP etc. După procesare (contabilitatea), programul trebuie să spună și nucleului sistemului de operare ce să facă în continuare cu un astfel de pachet - aruncați-l sau transmiteți-l mai departe. Alternativ, este posibil să transmiteți pachetul modificat la kernel.

Deoarece pachetul IP nu este copiat, ci trimis către software pentru analiză, devine posibil să-l „ejectați” și, prin urmare, să restricționați complet sau parțial traficul anumit tip(de exemplu, către abonatul rețelei locale selectate). Cu toate acestea, dacă programul de aplicație nu mai răspunde la kernel cu privire la decizia sa (blocat, de exemplu), traficul prin server este pur și simplu blocat.
Trebuie remarcat faptul că mecanismele descrise, cu volume semnificative de trafic transmis, creează încărcare excesivă pe server, care este asociată cu copierea constantă a datelor din nucleu către programul utilizatorului. Metoda de colectare a statisticilor la nivelul nucleului OS, cu ieșire în program de aplicare statistici agregate folosind protocolul NetFlow.

Netflow

Acest protocol a fost dezvoltat de Cisco Systems pentru a exporta informații de trafic de la routere în scopul contabilizării și analizei traficului. Cea mai populară versiune 5 oferă acum destinatarului un flux de date structurate sub formă de pachete UDP care conțin informații despre traficul trecut sub forma așa-numitelor înregistrări de flux:

Cantitatea de informații despre trafic este cu câteva ordine de mărime mai mică decât traficul în sine, ceea ce este deosebit de important în rețelele mari și distribuite. Desigur, este imposibil să blocați transferul de informații atunci când colectați statistici prin netflow (cu excepția cazului în care sunt utilizate mecanisme suplimentare).
În prezent, o dezvoltare ulterioară a acestui protocol devine populară - versiunea 9, bazată pe structura de înregistrare a fluxului de șablon, implementare pentru dispozitive de la alți producători (sFlow). Recent, a fost adoptat standardul IPFIX, care permite transmiterea statisticilor prin protocoale la niveluri mai profunde (de exemplu, după tipul de aplicație).
Implementarea surselor netflow (agenți, sonde) este disponibilă pentru routerele PC, atât sub formă de utilități care funcționează conform mecanismelor descrise mai sus (flowprobe, softflowd), cât și încorporate direct în nucleul sistemului de operare (FreeBSD: ng_netgraph, Linux:) . Pentru routerele software, fluxul de statistici netflow poate fi primit și procesat local pe ruterul însuși sau trimis prin rețea (protocol de transfer - prin UDP) către dispozitivul receptor (colector).


Programul de colectare poate colecta informații din mai multe surse simultan, putând să le distingă traficul chiar și cu spații de adrese suprapuse. Folosind instrumente suplimentare, cum ar fi nprobe, este, de asemenea, posibil să se efectueze agregarea suplimentară a datelor, bifurcarea fluxului sau conversia protocolului, ceea ce este important atunci când gestionați o rețea mare și distribuită cu zeci de routere.

Funcțiile de export Netflow acceptă routere de la Cisco Systems, Mikrotik și altele. O funcționalitate similară (cu alte protocoale de export) este acceptată de toți producătorii majori de echipamente de rețea.

Libpcap „în afară”

Să complicăm puțin sarcina. Ce se întâmplă dacă dispozitivul dvs. de acces este - router hardware alt producator? De exemplu, D-Link, ASUS, Trendnet etc. Cel mai probabil este imposibil să instalați suplimentar instrument software colectare de date. Alternativ, aveți un dispozitiv de acces inteligent, dar nu este posibil să îl configurați (nu aveți drepturi sau este controlat de furnizorul dvs.). În acest caz, puteți colecta informații despre trafic direct în punctul în care dispozitivul de acces întâlnește rețeaua internă, folosind instrumente de copiere a pachetelor „hardware”. În acest caz, veți avea nevoie cu siguranță de un server separat cu o placă de rețea dedicată pentru a primi copii ale pachetelor Ethernet.
Serverul trebuie să utilizeze mecanismul de colectare a pachetelor folosind metoda libpcap descrisă mai sus, iar sarcina noastră este să transmitem un flux de date identic cu cel care vine de la serverul de acces la intrarea plăcii de rețea dedicată acestui scop. Pentru aceasta puteți folosi:

• Ethernet - hub: un dispozitiv care pur și simplu trimite pachete între toate porturile sale fără discernământ. ÎN realități moderne poate fi găsit undeva într-un depozit prăfuit, iar această metodă nu este recomandată: nu este de încredere, viteza mica(nu există hub-uri cu o viteză de 1 Gbit/s)
• Ethernet - un comutator cu capacitatea de a oglindi (oglindire, porturi SPAN. Switch-urile moderne inteligente (și scumpe) vă permit să copiați tot traficul (intrat, ieșit, ambele) de la o altă interfață fizică, VLAN, inclusiv la distanță (RSPAN) la o anumită port
• Un splitter hardware, care poate necesita instalare pentru a colecta două plăci de rețeaîn loc de unul - și acesta este în plus față de cel principal, de sistem.

Desigur, puteți configura un port SPAN pe dispozitivul de acces propriu-zis (router), dacă acesta permite acest lucru - Cisco Catalyst 6500, Cisco ASA. Iată un exemplu de astfel de configurație pentru un comutator Cisco:
monitorizați sesiunea 1 sursă vlan 100 ! de unde luam pachetele?
monitorizați sesiunea 1 interfață destinație Gi6/3! unde emitem pachetele?

SNMP

Ce se întâmplă dacă nu avem un router sub controlul nostru, nu vrem să contactăm netflow, nu suntem interesați de detaliile traficului utilizatorilor noștri. Ele sunt pur și simplu conectate la rețea printr-un comutator gestionat și trebuie doar să estimăm aproximativ cantitatea de trafic care merge către fiecare dintre porturile sale. După cum știți, dispozitivele de rețea cu capacitatea telecomandă suport și poate afișa contoare de pachete (octeți) care trec interfețe de rețea. Pentru a le interoga, ar fi corect să folosiți protocolul standardizat de gestionare la distanță SNMP. Folosind-o puteți obține destul de ușor nu numai valorile contoare specificate, dar și alți parametri precum numele și descrierea interfeței, adresele MAC vizibile prin aceasta și alte informații utile. Acest lucru se realizează prin utilitare de linie de comandă (snmpwalk), browsere grafice SNMP și multe altele. programe complexe monitorizarea rețelei (rrdtools, cacti, zabbix, whats up gold, etc.). Cu toate acestea, această metodă are două dezavantaje semnificative:

• Blocarea traficului se poate face numai de oprire completă interfață, folosind același SNMP
• contoarele de trafic preluate prin SNMP se referă la suma lungimilor pachetelor Ethernet (unicast, broadcast și multicast separat), în timp ce restul instrumentelor descrise anterior dau valori relativ la pachetele IP. Acest lucru creează o discrepanță vizibilă (în special la pachetele scurte) din cauza supraîncărcării cauzate de lungimea antetului Ethernet (cu toate acestea, aceasta poate fi aproximativ combatată: L3_byte = L2_byte - L2_packets * 38).

VPN

Separat, merită luat în considerare cazul accesului utilizatorului la rețea prin stabilirea explicită a unei conexiuni la serverul de acces. Un exemplu clasic este vechiul dial-up, un analog al căruia în lumea modernă sunt servicii VPN acces de la distanță(PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


Dispozitivul de acces nu numai că direcționează traficul IP al utilizatorului, dar acționează și ca un server VPN specializat și termină tunelurile logice (deseori criptate) în care este transmis traficul utilizatorului.
Pentru a lua în considerare un astfel de trafic, puteți utiliza toate mijloacele descrise mai sus (și pentru analiză profundă porturi/protocoale sunt potrivite) și mecanisme suplimentare care asigură controlul accesului VPN. În primul rând, vom vorbi despre protocolul RADIUS. Munca lui este un subiect destul de complex. Vom menționa pe scurt că controlul (autorizarea) accesului la serverul VPN (client RADIUS) este controlat de aplicație specială(server RADIUS), care are o bază de date în spate ( fisier text,SQL Director activ) permis utilizatorilor cu atributele lor (limite de viteză de conectare, adrese IP atribuite). Pe lângă procesul de autorizare, clientul transmite periodic mesaje contabile către server, informații despre starea fiecărei sesiuni VPN care rulează în prezent, inclusiv contoare de octeți și pachete transmise.

Concluzie

Să aducem împreună toate metodele de colectare a informațiilor de trafic descrise mai sus:

Să rezumam. În practică există un numar mare de metode de conectare a rețelei pe care o gestionați (cu clienți sau abonați de birou) la o rețea externă infrastructura retelei, folosind o serie de mijloace de acces - routere software și hardware, comutatoare, servere VPN. Cu toate acestea, în aproape orice caz, puteți veni cu o schemă în care informațiile despre traficul transmis prin rețea pot fi direcționate către software sau hardware analiza și managementul acesteia. De asemenea, este posibil ca acest instrument să permită feedback de la dispozitivul de acces, folosind algoritmi inteligenți de restricționare a accesului clienti individuali, protocoale și alte lucruri.
Aici voi termina analiza materialului. Subiectele rămase fără răspuns sunt:

• cum și unde se duc datele de trafic colectate
• software de contabilitate a traficului
• Care este diferența dintre facturare și un simplu „contor”
• Cum poți impune restricții de trafic?
• contabilizarea și restricția site-urilor web vizitate

Etichete: Adăugați etichete

Acestea sunt programe care vă permit să urmăriți compuși activi pe toate interfețele de rețea.

Instrumente moderne pentru monitorizarea detaliată și detaliată a traficului, de regulă:

• sunt destul de accesibile;
• vă permit să limitați viteza fiecărei conexiuni separat;
• oferiți o imagine clară despre fișierele și programele care încarcă rețeaua și ce viteză trebuie să aibă;
• vă permit să determinați sursele celui mai mare consum de trafic.

Programul vă va ajuta să vă decideți prioritățile atunci când utilizați rețeaua.

Astăzi există multe utilități similare pentru monitorizarea și planificarea consumului de trafic.

CommTraffic

Acesta este un program de monitorizare a traficului de Internet atât pe o rețea locală (monitorizează activitatea pe Internet a mai multor clienți simultan), cât și pe calculator personal folosind conexiune modem. Contabilitatea și statisticile muncii pe Internet vor fi afișate sub formă de grafice lățime de bandă. Acestea arată cantitatea de trafic de ieșire, de intrare și total.

Programul poate fi configurat pentru aproape orice plan tarifar, care se bazează pe volumul stabilit, ține cont de ora din zi și timpul de conectare. Utilitarul CommTraffic este echipat cu:

• indicație convenabilă;
• calcul precis al costurilor;
• posibilitatea de notificare în caz de cheltuire excesivă.

În plus, este simplu și ușor de utilizat. Odată ce setați o limită de trafic și oră care se potrivește cu planul dvs. tarifar, veți primi notificări semnal sonor sau un mesaj la adresa specificată când se apropie de limitele stabilite.

Program de monitorizare a traficului Internet Network Meter

O aplicație pentru colectarea informațiilor de rețea care vă permite să le monitorizați pe toate adaptoare de rețea instalat pe sistem. De asemenea, oferă statistici detaliate despre traficul de ieșire și de intrare. Mai întâi, configurați programul descărcat atunci când îl lansați pentru prima dată. Pentru a face acest lucru, specificați ce date doriți să vedeți în fereastra principală și adaptoarele pe care Network Meter le va „monitoriza”.

Minimizați fereastra utilitarului la panoul de notificare, astfel încât să nu ocupe spațiu pe desktop. Chiar și în această stare, aplicația continuă fundal locul meu de muncă.

Programul va reprezenta grafice ale intensității consumului în timp real conexiune retea. Nu este supraîncărcată elemente inutile interfață și setări. Învelișul grafic al utilitarului este clar și simplu. Îl poți folosi și pentru a vedea:

• Durata sesiunii de internet, adresa MAC și IP;
• tipul conexiunii;
• Debit maxim de cablu.

Descărcând Network Meter, veți obține un instrument destul de compact, simplu și gratuit. Excelent pentru monitorizarea traficului și vizualizarea informațiilor despre echipamentele de rețea.

Contor de trafic Internet Simbad Traffic Counter

Utilitatea ține evidența traficului de intrare și de ieșire și, de asemenea, calculează costul acestuia, în funcție de tariful furnizorului dvs. de internet. Traficul consumat este afișat în cantități variate (gigabytes, megabytes, kilobytes). În plus, aplicația păstrează statistici. Acesta va detecta automat conexiunea modemului și va afișa timpul petrecut pe Internet. Acest program de monitorizare a traficului pe Internet consumă practic nu resursele sistemuluiși are dimensiuni mici. Este acceptată lucrul cu un număr mare de protocoale.

Aplicația de diagramă de activitate netă

Programul de monitorizare a traficului și a vitezei Internet Net Activity Diagram monitorizează activitatea de internet și de rețea a computerului.

Produce:

• urmărirea tuturor conexiunilor stabilite;
• afișați diverse avertismente sub formă de mesaj;
• analiza traficului de către perioade date timp.

Afișează curent activitatea de rețea efectuat atât într-o fereastră separată, cât și pe bara de activități. În plus, serviciul Net Activity Diagram urmărește statisticile în mod independent pentru fiecare port și oferă posibilitatea de a monitoriza fiecare tip de trafic separat.

Programul este destul de flexibil. Acesta informează utilizatorul în cazurile de depășire sau apropiere a limitelor stabilite.

Contabilitatea traficului folosind contorul de conexiune la internet

Acest program de monitorizare a traficului pe Internet vă va permite să luați în considerare costul și timpul petrecut pe Internet, cantitatea totală de trafic consumată. Sprijină Tipuri variate conexiuni: Dial-Up, ADSL, LAN, GPRS etc.

Cu acest utilitar utilizatorul poate:

• utilizați mai multe tarife de furnizori de internet în același timp;
• se familiarizează cu statisticile privind traficul utilizat;
• personalizați aspectul aplicației.

În plus, aplicația va afișa toate conexiunile active, va sincroniza ceasul sistemului și va exporta în format Excel raport.

Program de economisire a traficului

HandyCache va permite stocarea în cache în mod semnificativ (de 3-4 ori). Data viitoare când vizitați site-ul, aplicația vă va ajuta să evitați descărcarea lui de pe Internet. În plus, puteți vizualiza aceste site-uri fără conexiune la Internet, în modul offline.

Pentru a începe, trebuie să instalați HandyCache și să îl direcționați către browser ca server proxy. După aceasta, toate browserele instalate pe dvs. vor folosi cache-ul HandyCache. Setările implicite ale acestei aplicații se potrivesc utilizatorilor în majoritatea cazurilor.

Utilitatea este dotata setări flexibile pentru a controla o varietate de parametri. Poate încărca fișiere din cache în funcție de tipul de fișier HandyCache sau de adresa URL. Și dacă este necesar, va descărca fișiere de pe Internet în cazul actualizărilor constante ale versiunii. Înainte de aceasta, programul va verifica versiunea lor și abia apoi va decide dacă să contacteze sursa de descărcare.

Utilitarul este convenabil prin faptul că pentru a căuta orice date utilizate anterior, nu trebuie să le găsiți din nou. Doar căutați în cache un folder cu același nume ca și numele site-ului. În plus, acest program de monitorizare a traficului pe internet pentru Android este ideal.

Contabilitatea banilor clară și precisă

Și, de asemenea, timpul și traficul se pot face folosind aplicația StatistXP. Un program de monitorizare a traficului pe Internet vă va permite să utilizați rețeaua confortabil și economic. Pe Perioada de probă Se dau 10 starturi. Și pentru utilizare ulterioară, utilitatea este echipată cu opțiunea de plată anticipată și carduri de internet.

Programul realizează:

• notificare la conectare și deconectare prin voce;
• contabilizarea timpului, banilor și traficului cu statistici de conectare pe lună și an;
• Există informații detaliate.

BitMeter II - un program pentru monitorizarea traficului pe Internet

Acest utilitar este un contor de trafic. În plus, este echipat cu o gamă largă de instrumente pentru colectarea și monitorizarea conexiunilor la rețea.

În fereastra principală a aplicației în timp real puteți vedea un grafic de ieșire și trafic de intrare. Pentru a calcula rapid timpul petrecut cu descărcarea, există un calculator special.

Aplicația acceptă setarea de avertismente cu privire la depășirea limitelor limitei maxime de trafic și a timpului de conectare la Internet.

Câteva caracteristici ale programului:

• Setări și alerte personalizabile atunci când viteza scade la un nivel stabilit sau când este descărcată o anumită cantitate de date.
• Încărcările și descărcările sunt monitorizate și înregistrate. Acest lucru vă va permite să vedeți cât de mult trafic a fost utilizat într-o anumită perioadă de timp.
• Cronometru pe ecran.
• Frumos fișier de ajutor.
• Aspect convenabil, personalizabil.
• Posibilitatea de monitorizare selectivă a plăcilor de rețea.