praćenje i analiza mrežnog saobraćaja
Post on 11-Jan-2016
70 Views
Preview:
DESCRIPTION
TRANSCRIPT
Praćenje i analiza mrežnog saobraćaja
Željko Milankov, dipl.inž.
Republika Srbija Autonomna Pokrajina VojvodinaIZVRŠNO VEĆE AP VOJVODINASLUŽBA ZA ZAJEDNIČKE I OPŠTE POSLOVE21000 NOVI SADBulevar Mihajla Pupina16
Agenda
• Uvod
• Alati i metodi za praćenja
• Izvođenje
• Rezultati praćenja
Uvod
• Zašto je Monitoring mrežnog saobraćaja bitan • SNMP• MIB• OBJEKTI, OID
Zašto je Monitoring mrežnog saobraćaja bitanZašto je Monitoring mrežnog saobraćaja bitan
• Danas većina poslovanja zavisi od računara i mrežne infrastrukture.
• Raspoloživost računarske mreže i brzina su krucijalni da to poslovanje bude uspešno kao i efikasnija upotreba dostupnih resursa.
• Za mrežne administratore to znači da treba obezbediti raspoloživost ,brzinu i efikasnost upotrebe mreže
• To je jedino moguće uraditi neprekidnim praćenjem rada računarske mreže
• Monitoring mreže i bandwidth-a kao i drugih mrežnih parametara kao što su memorija ili CPU opterećenje, on-line očitavanjem i periodičnim korišćenjem trendova za optimizaciju efikasnosti, raspoređivanjem i podešavanje, rutera, firewalls, servera, i drugih mrežnih komponenti predstavlja neophodnost u radu svakog IT profesionalca
SNMP• Simple Network Management Protocol – skup protokola za
upravljanje mrežama, mrežnim uređajima i računarima sa centralne lokacije
• UDP port 161/162
• Jedinstven metod za centralizovanje upravljanja TCP/IP
• Tri komponente: upravljeni uređaji, agenti i mrežno-upravljčki sistem (NMS) ili manager
• Upravljeni uređaji može biti: router, pristupni server, switch, bridg, hub, računar ili štampač
• Manager je softver na radnoj stanici i komunicira sa Agentom koji se nalazi na kontrolisanom uređaju
Šta je “SNMP Community String”?
• SNMP Community string je sličan korisničkom ID ili pasvordu koji dozvoljava pristup statistici rutera ili mrežnog uređaj
• Ako je community string korektan, uređaj odgovara sa traženim informacijama. Ako je community string nekorektan, uređaj odbacuje zahtev i ne odgovara na njega
• SNMP Community strings koristi se amo kod uređaja koji podržavaju SNMPv1 i SNMPv2c protokol. SNMPv3 upotrebljava username/password autentifikaciju, preko enkriptovanog ključa
• Po konvenciji, većina SNMPv1-v2c uređaja dolaze sa a read-only community string postavljenim kao "public". Praksa je da se svi predfinisani community strings kastamizuju na svakom mrežnom uređaju
• Community naziv se koristi kao forma za sigurnost u SNMP• Većina uređaja ima "read" or "public" community string, koji
omogućuje read-only pristup MIB-u, kao i "write" or "private" community string koji dozvoljava čitanje i podešavanje parametara preko SNMP.
MIB I OBJEKTI• Baza upravljivih informacija – Managemet Information Base – MIB
• MIB je kolekcija varijabli i drugih informacija koji su programirani u SNMP servis. MIB-ovi imaju teks fajl koji sadrži OID i opis informacija pronađenim u pojedinom OID. SNMP servis može imati puno MIB-ova kompajliranih u njega.
• Na primer, svi SNMP uređaji imaju standardni MIB koji daje izlazne OID
informacije na mrežnim portovima. Ovaj MIB je poznat kao IF-MIB (RFC-1213)
• Tipovi podataka koje razmenjuju Manager i Agent definisani su pomoću baze MIB
• MIB je hijerarhiska baza informacija i nalazi se na Agentu, informacije koje prikuplja Agent čuvaju se u MIB-u
• Vendori obično definišu sopstvene MIB za sadstavljnje specijalizovanih jedinstvenih podataka za njihove proizvode.
• Svaki vendor SNMP opreme ima ekskluzivni deo u stablu MIB strukture pod njihovom kontrolom. (cisco MIB)
• Objekt – specifičan entitet na uređaju kojim se upravlja
• Svaki objekat se koristi za prikupljanje specifičnih podataka
• Objekt ima sintaksu, ime i metod šifrovanja koji je vezan za njega
• Indetifikator Objekta (OID) jedinstveno određuje tip objekta u MIB hierarhiji, to je numerički string decimalnih cifara razdvojenih tačkom npr: 3.6.1.2.1.1.1
• SNMP šalje poruke (zahteve) mrežnom uređaju koji vraća povratne informacije. Upitan uređaj određuje traženu vrednost sa jednim OID (Object IDentifier) koji, može izgledati ovako: 1.3.6.1.2.1.25.3.3.1.2.2
• Objekat može biti: red-only, read-write i write
• U MIB-u objekti su podeljeni na podgrupe: system, interface, ip…
• Ovi OID-ri obično se zovu MIB koji su pablikovani od proizvođača hardvera, zbog toga što su OID-ri različiti od uređaja do uređaja.
• Tako postoje OID-ri za CPU upotrebu, dostupan prostor diska, prenešeni bajtovi preko mrežnog porta, štampane strane štampača i sl.
• OID-ri su generalno obezbeđeni od strane proizvođača hardvera ili mogu biti pronađeni u tz. OID skladištima, gde kolekcija MIB-a i pojedini OID mogu biti dostupni.
Alati i metodi za praćenja
• MRTG• PRTG• MS ISA Server
MRTG
• MRTG (The Multi Router Traffic Grapher ) je alat (software) za praćenje opterećenja mrežnih linkova.
• MRTG generiše HTML strane koje sadrže slike koje daju živu
prezentaciju mrežnog saobraćaja
• MRTG koristi SNMP za slanje zahteva, sa dva OID-a, uređaju koji se prati. Uređaj, koji mora biti SNMP-enabled, poseduje MIB-ove za traženje određenog OID- a. Posle skupljanja informacija on će poslati nazad sirove podatke koji su enkapsulirani u SNMP protokol. MRTG snima te podatke u log fajl na klijentu. Software zatim kreira jedan HTML dokument iz log fajla, koji sadrži listu grafika o mrežnom saobraćaju na tom uređaju
• MRTG nije limitiran na praćenje saobraćaja, već se može koristiti i za druge SNMP varijable kao što su: System Load, Login Sessions, Modem availability.
• sa MRTG-om može se pratiti sledeće:
- ulazni i izlazni propusni opseg u bitima po sekundi
- konekcije u sekundi
- ukupan broj istovremenih sesija
- bilo koji parametar koji ima SNMP brojač ili OID
• MRTG čuva logove svih podataka povučenih sa rutera, ovaj log ne raste tokom vremene, ali ipak sadrži sve revlevantne podatke u prošle dve godine
• MRTG prati SNMP mrežne uređaje i daje slike koje prikazuju koliko je mrežnog saobraćaja prošlo kroz svaki interfejs
• MRTG se sastoji od Perl scripti
Konfiguracija MRTG:
1. IP adresa ili hostname i SNMP port (ako nije standardan)
2. Ako se prati nešto drugo osim dolaznog i odlaznog saobtaćaja mora se znati SNMP OID onog što se želi pratiti.
3. Mora se znati read-only SNMP “community string” za posmatrani uređaj, ako ga ne znate probajte sa default a to je “public”
Proces implementacije
SNMP
PERL
MRTG
Praćenje
Analiza
• Configuracija SNMP Agenta
• Configuracija SNMP Communities and Traps
• Configuracija SNMP Security
• Windows Firewall – otvaranje porta UDP 161 • Instalacija• Provera sistemske varijable (C:\Perl\bin;%SystemRoot%\system32;...) • Instalacija• Kreiranje cfg fajla• Kreiranje index fajla• Automatizacija rad- servis, web server
• po interfesima
• po vremenu dnevno , nedeljno, mesečno i godišnje• Preopterećenje linkova
• Prekidi saobraćaja
• Dokumentacija
PRTG• PRTG (Paessler Router Traffic Grapher) je softver koji prati
bandwidth kao i mnoge druge mrežne parametre preko SNMP
• Najčešće se koristi za monitoring bandwidth na iznajmljenim linkovima, ruterima, i firewalls preko SNMP. Mogu se pratiti mnogi drugi aspekti servera, upravljivih switch-eva, štampača, i drugih mrežnih komponenti, po uslovom da su SNMP-enabled.
• Statistika praćenja može se videti Windows GUI PRTG Traffic Grapher. Takođe, svi aspekti konfigurisanja senzora su urađeni upotrebom Windows GUI.
• Za daljinski pristup za praćenje rezultata PRTG Traffic Grapher dolazi sa ugrađenim web serverom za lak pristuo graficima i tabelama upotrebom web browser
• Prati bilo koju veličinu koja je pristupačna po SNMP (bilo koji dat OID)
• Podržava SNMP verzije 1, 2c, and 3• Podržava 64 bit kauntere• Ima sopstvenu OID bazu sa mnogo prekonfigurisanih SNMP
podešavanja (za CPU opterećenje, disk iskorišćenje, pagecounts štampača i dr.)
• Podržava Paessler SNMP Helper za jednostavan pristup nekoliko hiljada “performance counter” na Windows računarima preko SNMP
• MIB fajlovi mogu se konvertovati u OIDLIB za praćenje bilo kojeg uređaja koji podržava SNMP
• Različiti SNMP parametri (portovi, timeout) mogu biti podešeni od strane korisnika
• Izvršava se kao "nt service" na Windows 2000/XP/2003 da bi se obezbedilo neprekidno praćenje (ne morate biti logovani na mašinu)
• Uvoz MRTG cfg fajla
PRTG
REZULTATI PRAĆENJA
Traffic Analysis for 23 -- VS1_39_SW01.vojvodina.sr.gov.yu
PRTG
ISA server- izveštaji o mrežnom saobraćaju1. Sumarni
– Protocols – Top Users – Top Websites – Cache Performance – Traffic – Daily traffic
2. Korišćenje Web-a– Top Web Users – Top Websites – Protocols – HTTP Responses – Object Types – Top Browsers – Operating Systems
3. Korišćenje aplikacija– Protocols – Top Application Users – Top Applications – Operating Systems – Top Destinations
Saobraćaj Protocols Traffic Cache Performance Connections Processing Time Daily traffic Errors
5. SigurnostAuthorization Failures
Dropped Packets
1. Mrežni saobraćaj po Protokolima
No Protocol Requests % of Total
Requests
1 http 90630257 93.80 %
2 Outgoing Traffic (TCP) 1521712 1.60 %
3 HTTPS 1349016 1.40 %
4 TCP:1080 1136166 1.20 %
5 SSL-tunnel 620588 0.60 %
6 DNS 559174 0.60 %
7 Ping 103028 0.10 %
8 Microsoft CIFS (TCP) 66450 0.10 %
9 NetBios Name Service 47451 0.00 %
10 Kerberos-Sec (UDP) 34603 0.00 %
11 ftp 26681 0.00 %
12 LDAP (UDP) 25382 0.00 %
13 TCP:6881 22615 0.00 %
14 LDAP 18614 0.00 %
15 RPC (all interfaces) 13030 0.00 %
All Others 397674 0.40 %
Total 96572441 100.00 %
2. Mrežni saobraćaj po korisnicima, obuhvata Web i non-Web saobraćaj.
No User Requests % of Total
Requests Bytes In
% of Total
Bytes In
Bytes Out
% of Total Bytes Out
Total Bytes
% of Total Bytes
1 192.168.5.34 650739 0.70 % 181.72
GB 10.90 %
508.41 MB
0.30 % 182.22
GB 10.10 %
2 192.168.3.40 2135466 2.30 % 63.84 GB 4.10 % 15.42 GB 15.30 % 79.26 GB 4.80 %
3 192.168.3.77 977153 1.00 % 56.65 GB 3.70 % 578.54
MB 0.60 % 57.22 GB 3.50 %
4 192.168.5.37 284876 0.30 % 49.60 GB 3.20 % 297.21
MB 0.30 % 49.89 GB 3.00 %
5 192.168.10.15 2269744 2.40 % 42.92 GB 2.80 % 2.44 GB 2.40 % 45.36 GB 2.80 %
6 192.168.10.21 426974 0.50 % 12.66 GB 0.80 % 19.16 GB 19.00 % 31.82 GB 1.90 %
7 192.168.21.102 633045 0.70 % 29.33 GB 1.90 % 359.00
MB 0.30 % 29.68 GB 1.80 %
8 192.168.3.31 1646731 1.80 % 28.40 GB 1.80 % 1.00 GB 1.00 % 29.40 GB 1.80 %
9 192.168.3.44 347478 0.40 % 23.76 GB 1.50 % 3.39 GB 3.40 % 27.15 GB 1.70 %
10 192.168.3.20 1955765 2.10 % 21.97 GB 1.40 % 939.75
MB 0.90 % 22.89 GB 1.40 %
11 192.168.2.4 254048 0.30 % 21.99 GB 1.40 % 56.36 MB 0.10 % 22.04 GB 1.30 %
12 192.168.10.41 607730 0.60 % 20.24 GB 1.30 % 640.29
MB 0.60 % 20.87 GB 1.30 %
13 192.168.21.104 967112 1.00 % 19.80 GB 1.30 % 528.99
MB 0.50 % 20.32 GB 1.20 %
14 192.168.3.79 258583 0.30 % 18.82 GB 1.20 % 193.17
MB 0.20 % 19.01 GB 1.20 %
15 192.168.3.52 420282 0.40 % 18.65 GB 1.20 % 333.29
MB 0.30 % 18.98 GB 1.20 %
3. Mrežni saobraćaj po web sajtovima
No Site Unique Users
Requests % of Total
Requests
Bytes I n
% of Total Bytes
I n
Bytes Out
% of Total Bytes Out
Total Bytes
% of Total Bytes
1 192.168.19.47 13 4966 0.00 % 227.96
GB 15.90
% 2.61
MB 0.00
% 227.96
GB 15.20
%
2 www.navy.mil 4 139564 0.20 % 25.85
GB 1.80
% 39.00
MB 0.10
% 25.89
GB 1.70
%
3 es-web-2.sophos.com 111 436568 0.50 % 23.21
GB 1.60
% 98.34
MB 0.20
% 23.31
GB 1.60
%
4 212.200.53.42 450 426991 0.50 % 21.26
GB 1.50
% 178.96
MB 0.30
% 21.44
GB 1.40
%
5 mail.google.com 308 2802064 3.10 % 13.74
GB 1.00
% 6.31
GB 10.20
% 20.04
GB 1.30
%
6 kh.google.com 71 1325175 1.50 % 13.62
GB 0.90
% 697.70
MB 1.10
% 14.30
GB 1.00
%
7 www.sluzba.vojvodina.sr.gov.yu 506 314510 0.30 % 12.86
GB 0.90
% 128.06
MB 0.20
% 12.99
GB 0.90
%
8 www.b92.net 632 1860433 2.00 % 11.09
GB 0.80
% 1.00
GB 1.60
% 12.09
GB 0.80
%
9 www.google.com 795 1224163 1.30 % 10.13
GB 0.70
% 651.37
MB 1.00
% 10.77
GB 0.70
%
10 ftp.ro.debian.org 4 1100 0.00 % 9.64
GB 0.70
% 658.22
KB 0.00
% 9.64
GB 0.60
%
4. Mrežni saobraćaj ukupno
Time Interval Requests Average
Processing Time
Total Bytes
Cache Hit Ratio
1/29/2007 0:00:00 AM 109270 6.10 sec 0.99 GB 10.00 %
1/30/2007 0:00:00 AM 323022 2.70 sec 5.56 GB 24.90 %
1/31/2007 0:00:00 AM 315402 3.00 sec 6.14 GB 26.70 %
2/1/2007 0:00:00 AM 302726 2.70 sec 5.03 GB 30.80 %
2/2/2007 0:00:00 AM 291897 3.00 sec 4.21 GB 39.20 %
2/3/2007 0:00:00 AM 23084 12.30 sec 847.10 MB 17.00 %
2/4/2007 0:00:00 AM 6160 41.40 sec 277.85 MB 43.70 %
2/5/2007 0:00:00 AM 339064 3.00 sec 6.06 GB 36.10 %
2/6/2007 0:00:00 AM 289636 3.40 sec 6.27 GB 35.20 %
2/7/2007 0:00:00 AM 292020 4.00 sec 6.18 GB 32.80 %
2/8/2007 0:00:00 AM 282848 3.00 sec 5.10 GB 32.10 %
2/9/2007 0:00:00 AM 259724 4.60 sec 6.22 GB 33.80 %
5. Mrežni saobraćaj ukupno dnevno
Time Interval
Average Requests
Per Second
Average Bytes Per Second
Average Response Time for Cached
Requests
Average Response Time for
Non Cached
Requests
Maximum Concurrent Requests
Cache Hit Ratio
Total Bytes
00:00 131.6 4.27 MB 0.10 sec 44.90 sec 358 1.00 % 3.76 GB
00:15 131.1 8.46 MB 0.10 sec 43.80 sec 319 1.00 % 7.43 GB
00:30 124.4 4.50 MB 0.20 sec 45.20 sec 350 0.90 % 3.95 GB
00:45 119.5 4.90 MB 5.30 sec 47.80 sec 274 0.80 % 4.31 GB
01:00 115.0 4.15 MB 0.20 sec 49.20 sec 341 0.70 % 3.65 GB
01:15 112.9 3.62 MB 0.30 sec 50.30 sec 372 0.70 % 3.18 GB
01:30 115.7 3.71 MB 0.10 sec 49.30 sec 426 0.70 % 3.26 GB
01:45 114.6 3.57 MB 0.10 sec 51.10 sec 409 0.70 % 3.14 GB
02:00 110.4 3.13 MB 0.10 sec 52.20 sec 340 0.80 % 2.75 GB
02:15 104.2 3.14 MB 0.20 sec 53.70 sec 347 0.60 % 2.76 GB
02:30 103.3 3.20 MB 0.30 sec 54.10 sec 298 0.50 % 2.81 GB
02:45 103.4 3.50 MB 0.30 sec 55.20 sec 424 0.60 % 3.07 GB
03:00 103.2 3.50 MB 0.30 sec 55.20 sec 310 0.60 % 3.08 GB
03:15 101.7 3.09 MB 0.20 sec 55.80 sec 337 0.60 % 2.72 GB
03:30 98.8 2.96 MB 0.40 sec 55.90 sec 271 0.50 % 2.60 GB
03:45 96.1 3.10 MB 0.10 sec 58.50 sec 248 0.60 % 2.73 GB
04:00 93.0 3.66 MB 0.10 sec 60.00 sec 285 0.60 % 3.22 GB
04:15 91.5 2.28 MB 0.10 sec 59.80 sec 349 0.50 % 2.01 GB
04:30 89.2 2.64 MB 0.10 sec 61.00 sec 302 0.50 % 2.32 GB
04:45 92.6 2.59 MB 0.10 sec 59.90 sec 255 0.60 % 2.28 GB
05:00 94.7 2.68 MB 0.10 sec 58.70 sec 295 0.70 % 2.35 GB
6. Mrežni saobraćaj po tipovim objekta
No Object Type Unique Users
Requests % of Total
Requests Bytes I n
% of Total
Bytes I n
1 * .gif 868 23892077 26.20 % 59.90 GB 4.20 %
2 Unknown 873 19446462 21.30 % 283.30 GB 19.70 %
3 * .jpg 850 16470492 18.00 % 191.38 GB 13.30 %
4 * .php 812 6696400 7.30 % 82.79 GB 5.80 %
5 * .js 862 4174862 4.60 % 28.27 GB 2.00 %
6 * .cgi 669 2844116 3.10 % 1.95 GB 0.10 %
7 * .png 824 2647436 2.90 % 6.46 GB 0.40 %
8 * .css 862 2565227 2.80 % 12.95 GB 0.90 %
9 * .dll 714 2085762 2.30 % 1.38 GB 0.10 %
10 * .swf 817 1676276 1.80 % 40.32 GB 2.80 %
11 * .html 785 1561331 1.70 % 14.02 GB 1.00 %
12 * .htm 784 1376872 1.50 % 15.87 GB 1.10 %
13 * .xml 777 824829 0.90 % 2.91 GB 0.20 %
14 * .aspx 781 824232 0.90 % 7.76 GB 0.50 %
15 * .asp 805 778085 0.90 % 6.39 GB 0.40 %
All Others 3390927 3.70 % 681.94 GB 47.40 %
Total 891 91255386 100.00 % 1,437.60 GB 100.00 %
7. Izveštaj o pogrešnim autorizacijama
Korisni linkovi
• SNMP
http://snmpboy.msft.net/ • Perl
http://www.activestate.com/store/activeperl/download/ • MRTG
http://oss.oetiker.ch/mrtg/pub
http://www.mrtg.org
http://tobi.oetiker.ch• PRTG:
http://www.paessler.com/prtg
Hvala!
zeljko.milankov@vojvodina.sr.gov.yu
top related