منو
خانهاینترنت

آیا امکان تحلیل ترافیک شبکه vpn وجود دارد. تست VPN برای کاربران پیشرفته. معایب استفاده از VPN

بسیاری از مدیران شبکه اغلب با مشکلاتی روبرو هستند که تجزیه و تحلیل ترافیک شبکه می تواند به حل آنها کمک کند. و در اینجا ما با مفهومی به عنوان تحلیلگر ترافیک روبرو هستیم. پس چیست؟

تحلیلگرها و کلکتورهای NetFlow ابزارهایی هستند که به شما در نظارت و تجزیه و تحلیل داده های ترافیک شبکه کمک می کنند. آنالایزرها فرآیندهای شبکهبه شما امکان می دهد دستگاه هایی را که پهنای باند کانال را کاهش می دهند مشخص کنید. آنها می دانند که چگونه مناطق مشکل را در سیستم شما پیدا کنند و کارایی کلی شبکه را بهبود بخشند.

عبارت " NetFlow" به یک پروتکل سیسکو اشاره دارد که برای جمع آوری اطلاعات در مورد ترافیک از طریق IP و نظارت بر ترافیک شبکه طراحی شده است. NetFlow به عنوان پروتکل استاندارد برای فن آوری های جریان پذیرفته شده است.

نرم افزار NetFlow داده های جریان تولید شده توسط روترها را جمع آوری و تجزیه و تحلیل می کند و آن را در قالب کاربر پسند ارائه می دهد.

چندین فروشنده تجهیزات شبکه دیگر پروتکل های نظارت و جمع آوری داده های خود را دارند. به عنوان مثال، Juniper، یکی دیگر از فروشندگان بسیار معتبر دستگاه های شبکه، پروتکل خود را " j-flow". HP و Fortinet از عبارت " استفاده می کنند s-Flow". اگرچه نام های پروتکل ها متفاوت است، اما همه آنها به روشی مشابه کار می کنند. در این مقاله نگاهی به 10 تحلیلگر رایگان ترافیک شبکه و کلکتور NetFlow برای ویندوز خواهیم انداخت.

SolarWinds Real-Time NetFlow Traffic Analyzer

NetFlow Traffic Analyzer یکی از محبوب ترین ابزارهای موجود برای آن است دانلود رایگان. این قابلیت به شما امکان مرتب‌سازی، برچسب‌گذاری و نمایش داده‌ها را می‌دهد روش های مختلف. این به شما امکان می دهد ترافیک شبکه را به راحتی تجسم و تجزیه و تحلیل کنید. این ابزار برای نظارت بر ترافیک شبکه بر اساس نوع و دوره زمانی عالی است. و همچنین تست هایی را برای تعیین میزان مصرف ترافیک اپلیکیشن های مختلف انجام دهید.

این ابزار رایگانمحدود به یک رابط نظارت NetFlow است و تنها 60 دقیقه داده را ذخیره می کند. این Netflow Analyzer ابزار قدرتمندی است که ارزش استفاده از آن را دارد.

Colasoft Capsa Free

این تحلیلگر ترافیک رایگان شبکه محلیبه شما امکان می دهد بیش از 300 پروتکل شبکه را شناسایی و ردیابی کنید و به شما امکان می دهد گزارش های سفارشی ایجاد کنید. شامل نظارت است پست الکترونیکو نمودارهای توالی همگام سازی TCP، همه در یک پانل قابل تنظیم جمع آوری شده است.

از دیگر ویژگی های آن می توان به تحلیل امنیت شبکه اشاره کرد. به عنوان مثال، ردیابی حملات DoS / DDoS، فعالیت کرم ها و شناسایی حملات ARP. و همچنین رمزگشایی بسته ها و نمایش اطلاعات، آمار مربوط به هر میزبان در شبکه، کنترل تبادل بسته و بازسازی جریان. Capsa Free از تمامی نسخه های 32 بیتی و 64 بیتی پشتیبانی می کند نسخه های ویندوز xp.

حداقل سیستم مورد نیاز برای نصب: 2 گیگابایت حافظه دسترسی تصادفیو یک پردازنده 2.8 گیگاهرتزی. همچنین باید اتصال اترنت به اینترنت داشته باشید ( سازگار با NDIS 3 یا بالاتر)، اترنت سریع، یا گیگابیت با درایور حالت مختلط. این به شما اجازه می دهد تا به طور غیر فعال تمام بسته های ارسال شده از طریق کابل اترنت را ضبط کنید.

اسکنر IP Angry

این یک تحلیلگر ترافیک ویندوز با یک باز است کد منبع، سریع و آسان برای اعمال. نیازی به نصب ندارد و می توان آن را روی لینوکس، ویندوز و مک OSX استفاده کرد. این ابزاراز طریق یک پینگ ساده از هر آدرس IP کار می کند و می تواند آدرس های MAC را تعیین کند، پورت ها را اسکن کند، اطلاعات NetBIOS را ارائه دهد، کاربر مجاز را تعیین کند. سیستم های ویندوز، وب سرورها و موارد دیگر را کشف کنید. قابلیت های آن با افزونه های جاوا گسترش می یابد. داده های اسکن را می توان در فایل های با فرمت CSV، TXT، XML ذخیره کرد.

ManageEngine NetFlow Analyzer Professional

نسخه کاملا کاربردی نرم افزار NetFlow از ManageEngines. این قدرتمند است نرم افزاربا مجموعه کاملتوابع تجزیه و تحلیل و جمع آوری داده ها: نظارت پهنای باندکانال در زمان واقعی و هشدار در هنگام رسیدن به آستانه، که به شما اجازه می دهد تا به سرعت فرآیندها را مدیریت کنید. علاوه بر این، خروجی داده های خلاصه در مورد استفاده از منابع، نظارت بر برنامه ها و پروتکل ها و موارد دیگر را ارائه می دهد.

نسخه رایگانتحلیلگر ترافیک لینوکس اجازه استفاده نامحدود از محصول را به مدت 30 روز می دهد و پس از آن تنها دو رابط قابل نظارت هستند. سیستم مورد نیاز برای NetFlow Analyzer ManageEngine بر اساس نرخ جریان متفاوت است. الزامات توصیه شده برای حداقل نرخ جریان 0 تا 3000 رشته در ثانیه: پردازنده دو هسته ای 2.4 گیگاهرتز، 2 گیگابایت رم و 250 گیگابایت فضای خالی هارد دیسک. با افزایش نرخ جریان مورد نظارت، الزامات نیز افزایش می یابد.

رفیق

این برنامه یک مانیتور شبکه محبوب است که توسط MikroTik توسعه یافته است. به طور خودکار تمام دستگاه ها را اسکن می کند و نقشه شبکه را دوباره ایجاد می کند. Dude سرورهای در حال اجرا را کنترل می کند دستگاه های مختلفو در صورت بروز مشکل به شما هشدار می دهد. از دیگر ویژگی ها می توان به کشف و نمایش خودکار دستگاه های جدید، امکان ایجاد نقشه های سفارشی، دسترسی به ابزار برای کنترل از راه دوردستگاه ها و بیشتر این برنامه روی Windows، Linux Wine و MacOS Darwine اجرا می شود.

JDSU Network Analyzer Fast Ethernet

این برنامه تجزیه و تحلیل ترافیک به شما امکان می دهد به سرعت داده ها را از طریق شبکه جمع آوری و مشاهده کنید. این ابزار امکان مشاهده کاربران ثبت نام شده، تعیین سطح استفاده از پهنای باند شبکه را فراهم می کند دستگاه های فردی، به سرعت خطاها را پیدا و برطرف کنید. و همچنین داده های بلادرنگ را ضبط کرده و آن ها را تجزیه و تحلیل کنید.

این برنامه از ایجاد نمودارها و جداول بسیار دقیق پشتیبانی می کند که به مدیران اجازه می دهد ناهنجاری های ترافیکی را ردیابی کنند، داده ها را برای غربال کردن مقادیر زیادی داده و موارد دیگر فیلتر کنند. این ابزار برای حرفه ای های سطح ابتدایی و همچنین برای مدیران باتجربه، به شما اجازه می دهد تا کنترل شبکه را به طور کامل در دست بگیرید.

Plixer Scrutinizer

این تحلیلگر ترافیک شبکه به شما این امکان را می دهد که ترافیک شبکه را جمع آوری و تجزیه و تحلیل کنید و به سرعت خطاها را پیدا و رفع کنید. با Scrutinizer می‌توانید داده‌ها را به روش‌های مختلفی از جمله زمان‌بندی، میزبان، برنامه‌ها، پروتکل‌ها و موارد دیگر مرتب کنید. نسخه رایگان به شما امکان می دهد تعداد نامحدودی از رابط ها را کنترل کنید و داده ها را برای 24 ساعت فعالیت ذخیره کنید.

Wireshark

Wireshark یک تحلیلگر شبکه قدرتمند است که می تواند بر روی لینوکس، ویندوز، MacOS X، Solaris و سایر سیستم عامل ها اجرا شود. Wireshark به شما امکان می دهد داده های گرفته شده را با استفاده از یک رابط گرافیکی مشاهده کنید یا از ابزارهای TShark حالت TTY استفاده کنید. از ویژگی های آن می توان به جمع آوری و تجزیه و تحلیل ترافیک VoIP، نمایش بلادرنگ داده های اترنت، IEEE 802.11، بلوتوث، USB، Frame Relay، خروجی داده به XML، PostScript، CSV، پشتیبانی از رمزگشایی و غیره اشاره کرد.

سیستم مورد نیاز: ویندوز XP و بالاتر، هر پردازنده مدرن 64/32 بیتی، 400 مگابایت رم و 300 مگابایت فضای دیسک آزاد. Wireshark NetFlow Analyzer است ابزار قدرتمند، که می تواند کار هر مدیر شبکه را تا حد زیادی ساده کند.

Paessler PRTG

این تحلیلگر ترافیک بسیاری را در اختیار کاربران قرار می دهد ویژگی های مفید: پشتیبانی از نظارت بر LAN، WAN، VPN، برنامه ها، سرور مجازی، QoS و محیط ها. نظارت بر چند سایت نیز پشتیبانی می شود. PRTG از SNMP، WMI، NetFlow، SFlow، JFlow و packet sniffing و همچنین مانیتورینگ uptime/downtime و پشتیبانی IPv6 استفاده می کند.

نسخه رایگان این امکان را به شما می دهد تا از تعداد نامحدودی سنسور به مدت 30 روز استفاده کنید و پس از آن فقط می توانید تا 100 سنسور را به صورت رایگان استفاده کنید.

ما به خوانندگان خود در مورد اصول گفتیم کار VPNو نحوه و چرایی استفاده از تونل های VPN را به عنوان مثال خدمات ارزان قیمت VPN نشان داد.

امروز می خواهیم یک بار دیگر به موضوع خدمات VPN بپردازیم، به ویژه از آنجایی که تقاضا برای این خدمات هر روز در حال افزایش است، زیرا مقررات دولتی اینترنت در روسیه و سایر کشورهای CIS در حال افزایش است، کاربران با تعدادی محدودیت در اینترنت، و همچنین وضعیت با امنیت اطلاعاتشبکه هر روز بدتر می شود.

هنگام انتخاب یک ارائه دهنده خدمات VPN، ما یک سرویس نسبتاً با کیفیت پیدا کردیم: TheSafety.US

بیایید فوراً بگوییم که قیمت های TheSafety.US برای خدمات VPN پایین ترین نیستند، هزینه اشتراک از 30 دلار در ماه است، اما این جبران می شود کیفیت بالاخدمات ارائه شده و تنوع بسته ها و اشتراک ها. بنابراین، بیایید شروع به آزمایش TheSafety.US و ارزیابی کنیم این سرویس VPN در عمل

برای سایر سیستم عامل ها تنظیمات را ببینید:

چه چیزی را همان لحظه دوست داشتم؟ که بتوانید سروری را در کشوری که برای شما مناسب است انتخاب کنید. VPN معمولی، VPN دوگانه و VPN فراساحلی در 20 کشور برای شما در دسترس است: ایالات متحده آمریکا، کانادا، آلمان، انگلستان (انگلیس)، هلند، ایتالیا، اوکراین، فرانسه، اسپانیا، بلژیک، لهستان، جمهوری چک، پرتغال، سوئیس، ایرلند، لیتوانی، فنلاند، لوکزامبورگ، VPN فراساحلی در پاناما و مالزی. می توانید خودتان انتخاب کنید کشورهای مختلفو جهت ها، از جمله VPN در کشورهای فراساحلی (Offshore VPN) می باشد بالاترین سطحامنیت، زیرا در این کشورها کنترل دقیقی از سوی دولت وجود ندارد.

چه زمانی باید یک کشور سرور VPN خاص را انتخاب کنید؟ زمانی که با این کار روبرو هستید که نه تنها آدرس IP خود را پنهان کنید، بلکه نشان دهید که مثلاً از آلمان، ایالات متحده آمریکا یا لهستان است. این برای دسترسی به چنین منابع اینترنتی ضروری است که صاحبان آنها فیلترهایی را برای بازدیدکنندگان از کشورهای خاص قرار می دهند.

در مقاله ما قبلاً با نحوه عملکرد فناوری VPN آشنا شده ایم. ما به شما خواهیم گفت که سرویس Double VPN چگونه کار می کند.

فناوری VPN دوگانه - زنجیره ای از دو سرور با آدرس های IP ورودی و خروجی متفاوت. در این صورت شما با تمام داده های رمزگذاری شده به IP1 سرور اول متصل می شوید، سپس ترافیک شما برای بار دوم رمزگذاری شده و به IP2 سرور دوم ارسال می شود. در نتیجه شما با IP3 در اینترنت خواهید بود. این تکنولوژیبه ارائه محافظت بسیار موثر کمک می کند زیرا تمام ترافیک شما دو بار رمزگذاری می شود و از کشورهای مختلف عبور می کند.

مثلا من زنجیر رو تست کردم آلمان - جمهوری چک، ترافیک رمزگذاری شده ابتدا از طریق سروری در آلمان و سپس از طریق سروری در جمهوری چک عبور می کرد و تنها پس از آن وارد منابع اینترنتی خارجی می شد. این امکان فراهم کردن امنیت بسیار قوی را فراهم کرد، مانند زنجیره ای از جوراب ها، به علاوه رمزگذاری مضاعف داده های ارسال شده. بنابراین، حتی اولین سرور نیز آی پی خارجی من را نمی شناسد، چه رسد به ارائه دهنده اینترنت من.

در تصویر، بررسی IP من که در سایت 2ip.ru انجام شده است، یک آدرس IP در پراگ را نشان می دهد.

اگر موتور جستجوی yandex.ru را دانلود کنید، آن را به ما می دهد صفحه نخستبرای پراگ:

همانطور که می دانیم اخیرا ISP ها تمام ترافیک اینترنت کاربران را "نوشتن" و ذخیره می کنند زمان مشخص. این وضعیت در روسیه، بلاروس، چین و سایر کشورهایی که مقررات دولتی قوی اینترنت دارند، وجود دارد.

آن ها سازمان‌ها و مقامات خاص از سایت‌هایی که بازدید می‌کنید، چه اطلاعاتی را در اینترنت دریافت و ارسال می‌کنید آگاه خواهند بود. اینها "داستان های ترسناک خالی" نیستند، بیایید در عمل بررسی کنیم که پس از بازدید ما از اینترنت چه چیزی در گزارش های ارائه دهندگان ثبت شده است.

برای این آزمایش از تحلیلگرهای ترافیک (sniffers) یا Wireshark که یک نرم افزار متن باز رایگان هستند استفاده خواهیم کرد.

من از برنامه Packetyzer برای آزمایشاتم استفاده کردم. بنابراین، وقتی در اینترنت تحت آدرس IP خودمان کار می کنیم، بدون VPN چه می بینیم:

اسکرین شات بالا نشان می دهد که من آب و هوا را در ساعت زیر تماشا کردم: weather.tut.by(این در شکل با یک نشانگر مشخص شده است).

و تصویر زیر به طور کلی نشان می دهد که چه سایت هایی را در آن زمان بازدید کردم:

و اکنون ما از سرویس VPN از TheSafety.US استفاده می کنیم، بیایید سعی کنیم ترافیک را با sniffer Packetyzer تجزیه و تحلیل کنیم و ببینیم که تمام ترافیک با یک الگوریتم قوی رمزگذاری شده است، غیرممکن است که ببینیم از کدام سایت ها بازدید شده است:

به هر حال، با، تمام ترافیک نیز رمزگذاری شده است، تصاویر زیر را ببینید:

همچنین، گزارش‌ها روی سرورهای TheSafety.US نوشته نمی‌شوند و اتصال به آدرس IP و نه به نام دامنه انجام می‌شود.

برای ناشناس بودن حتی بیشتر، سرورهای TheSafety.US از تغییر پارامتر TTL اجباری استفاده می کنند.

TTL - زمان زندگییا طول عمر بسته ارسالی. برای خانواده سیستم عامل استاندارد ویندوزمقدار TTL = 128، برای یونیکس TTL = 64. به بسته ارسالی یک مقدار TTL اختصاص داده می شود، و این مقدار توسط هر میزبان در طول مسیر خود یک عدد کاهش می یابد (به عنوان مثال، هنگام باز کردن یک سایت خاص، بسته درخواست شما از چندین میزبان عبور می کند. ، تا زمانی که به سروری که سایت در حال باز شدن در آن قرار دارد نمی رسد). هنگامی که مقدار TTL یک بسته ارسالی 0 می شود، بسته ناپدید می شود. یعنی می توان گفت با استفاده از مقدار TTL بسته ارسالی می توانید متوجه شوید که بسته از چند میزبان عبور کرده است. این بدان معنی است که شما می توانید به طور غیرمستقیم متوجه شوید که رایانه شما در پشت چند میزبان قرار دارد. سرورهای TheSafety.US این مقدار را به طور پیش فرض مجبور می کنند. این را می توان با استفاده از استاندارد بررسی کرد دستورات پینگو ردیاب تصاویری از این دستورات را در زیر مشاهده کنید:

ما اصول اولیه "ناشناس بودن" را در شبکه درک می کنیم.

این مقاله به شما کمک می کند تصمیم بگیرید که آیا به طور خاص به VPN نیاز دارید یا خیر و یک ارائه دهنده را انتخاب کنید و همچنین در مورد مشکلات این فناوری و جایگزین های آن صحبت کنید.

این مطالب فقط یک داستان در مورد VPN با مروری بر ارائه دهندگان است که برای توسعه عمومی و حل مشکلات کوچک روزمره در نظر گرفته شده است. او به شما یاد نمی دهد که چگونه به ناشناس بودن کامل در شبکه و 100٪ حریم خصوصی ترافیک دست یابید.

VPN چیست؟

شبکه خصوصی مجازی(مجازی شبکه خصوصی) شبکه ای از دستگاه هایی است که روی دیگری ایجاد می شود و در داخل آن به لطف فناوری های رمزگذاری کانال های امنی برای تبادل داده ایجاد می شود.

سرور VPN حساب های کاربری در این شبکه را مدیریت می کند و به عنوان نقطه ورود آنها به اینترنت عمل می کند. ترافیک رمزگذاری شده از طریق آن منتقل می شود.

در زیر در مورد ارائه دهندگانی صحبت خواهیم کرد که دسترسی به سرورهای VPN را در کشورهای مختلف فراهم می کنند. اما ابتدا بیایید بفهمیم که چرا این امر ضروری است؟

مزایای استفاده از VPN

1. تغییر "آدرس"

در چه مواردی یک روسی مطیع قانون نیاز به IP متفاوت دارد؟

2. محافظت از ارواح شیطانی کوچک

یک ارائه دهنده VPN شما را از آزار و اذیت دولت نجات نمی دهد، اما از شما در برابر موارد زیر محافظت می کند:

  • مدیر شبکه اداری که روی شما خاک جمع می کند یا فقط دوست دارد نامه های دیگران را بخواند.
  • دانش آموزانی که به ترافیک یک نقطه وای فای عمومی گوش می دهند.

معایب استفاده از VPN

سرعت

سرعت دسترسی به اینترنت هنگام استفاده از ارائه دهنده VPN ممکن است کمتر از بدون آن باشد. اول از همه، مربوط می شود VPN های رایگان. علاوه بر این، می تواند ناپایدار باشد: بسته به زمان روز یا مکان سرور انتخاب شده.

مشکلات فنی

ارائه‌دهنده VPN ممکن است با قطعی مواجه شود. به خصوص اگر کوچک و کم شناخته شده باشد.

رایج ترین مشکل: vpn قطع شد و به کسی نگفت. ضروری است پی گیریتا در صورت بروز مشکل در سرور، اتصال شما مسدود شود.

در غیر این صورت، ممکن است به این صورت باشد: شما نظرات مخربی را روی مقاله همشهری خود می نویسید، و VPN بی سر و صدا خاموش می شود و IP واقعی در پنل مدیریت ظاهر می شود، شما آن را از دست می دهید و همسایه متوجه می شود و در حال آماده سازی یک طرح انتقام است.

گمنامی خیالی

اطلاعات مربوط به ترافیک شما با شخص ثالث به اشتراک گذاشته می شود. از ارائه دهندگان VPN اغلب در مصاحبه ها پرسیده می شود که "آیا گزارش ها را نگه می دارید؟" آنها پاسخ می دهند: نه، نه، البته که نه! اما هیچ کس آنها را باور نمی کند. و دلایلی برای آن وجود دارد.

AT موافقت نامه های مجوزبسیاری از ارائه دهندگان VPN آشکارا اعلام می کنند که کاربر حق نقض کپی رایت، اجرای برنامه های هکر، ارسال اسپم را ندارد و در صورت تخلف، حساب وی بدون بازپرداخت مسدود می شود. مثال: مدت خدمات ExpressVPN. نتیجه این است که اقدامات کاربر در شبکه کنترل می شود.

و برخی از ارائه دهندگان هوشمند VPN، مانند Astrill، برای فعال سازی به تأیید پیامک نیاز دارند. حساب(برای شماره های روسی کار نمی کند). آیا می خواهید IP خود را مخفی کنید و ترافیک را رمزگذاری کنید؟ خوب، اما برای هر موردی یک عدد بگذارید.

و گاهی اوقات پرسشنامه ها هنگام ثبت حساب ها با سوالات غیر ضروری پر می شوند. به عنوان مثال، چرا یک ارائه دهنده VPN کد پستیانسان؟ ارسال بسته برای سال نو؟

هویت کاربر نیز می باشد شایدشناسایی شده توسط کارت های بانکی(یا از طریق کیف پول سیستم های پرداخت که از طریق آن سپرده گذاری می شود کارت های مجازی). برخی از ارائه دهندگان VPN با پذیرش ارزهای دیجیتال به عنوان پرداخت، کاربران را فریب می دهند. این یک مزیت برای ناشناس ماندن است.

انتخاب سرویس VPN

ارائه دهندگان VPN - حداقل یک دوجین سکه. پس از همه، این یک تجارت سودآور با آستانه ورود پایین است. اگر چنین سوالی را در انجمن بپرسید، صاحبان سرویس ها دوان دوان می آیند و تبلیغات خود را پر می کنند.

برای کمک به انتخاب شما، وب سایت bestvpn.com ایجاد شد که در آن رتبه بندی ها و بررسی های ارائه دهندگان VPN منتشر می شود.

بیایید به طور خلاصه در مورد بهترین خدمات VPN (طبق گفته bestvpn.com) که دارای برنامه iOS هستند صحبت کنیم.

ExpressVPN

96 شهر در 78 کشور. 30 روز ضمانت بازگشت وجه در صورت قطع سرویس. برنامه های کاربردی برای OS X، Windows، iOSو اندروید. می توانید همزمان با 5 دستگاه کار کنید.

قیمت:از 9.99 دلار تا 12.95 دلار در ماه (بسته به دوره پرداخت).

دسترسی به اینترنت خصوصی

25 کشور برنامه های کاربردی برای OS X، Windows، وب سایت پروژه.

قیمت:از 2.50 دلار تا 6.95 دلار در ماه (بسته به دوره پرداخت).

IP Vanish VPN

بیش از 60 کشور کلاینت های VPN برای وجود دارد iOS، اندروید، ویندوز، مک، اوبونتو، کروم بوک و روترها. امکان کار همزمان با چندین دستگاه وجود دارد.

به پارانوئیدهای خوشبین

یک ترفند بازاریابی بسیار جالب. آنها پیشنهاد می کنند ترافیک رمزگذاری شده را نه از طریق یک، بلکه از دو یا سه سرور اجرا کنید.

نظر من در این مورد این است: اگر یک VPN فقط برای پنهان کردن کشوری که از آن هستید مورد نیاز است، پس این معنی ندارد. و اگر واقعا چیزی برای پنهان کردن وجود دارد، پس منطقی است که آن را از طریق سه سرور خارجی به طور همزمان منتقل کنید؟

جایگزین، گزینه ها

سرور OpenVPN داشته باشید

تور

ترافیک در شبکه های Torاز طریق چندین سرور مستقل در نقاط مختلف جهان به صورت رمزگذاری شده منتقل می شود. این امر تعیین آدرس IP اصلی کاربر را دشوار می کند. اما داستان آموزنده راس اولبریخت (صاحب جاده ابریشم) به ما یادآوری می کند که سازمان های اطلاعاتی آمریکا توانایی زیادی دارند.

طرفداران:

  • رایگان است؛
  • دسترسی به شبکه پیاز ("Darknet"). تعدادی سایت فقط از طریق مرورگر Tor در دسترس هستند. اینها خودشان هستند موتورهای جستجو(گرم)، فروشگاه ها، کتابخانه ها، مبادلات ارزهای دیجیتال، سیستم ها تبلیغات متنی، دایره المعارف پیاز ویکی. اما برای یک روسی قانونمند، هیچ چیز جالبی در این شبکه وجود ندارد.

موارد منفی:

  • سرعت کم.

Roskomnadzor چه فکر می کند؟

کارمندان این بخش از این واقعیت که روس ها در تلاش برای ناشناس ماندن در شبکه هستند بسیار ناراضی هستند. اخیراً، سخنگوی Roskomnadzor کاربران Tor را "ذهن اجتماعی" نامید و خود آژانس از ممنوعیت ناشناس‌سازها حمایت می‌کند. اما روس ها به چنین نظراتی گوش نمی دهند. اگور مینین (بنیانگذار RuTracker) ادعا می کند که نیمی از کاربران منبع او می توانند مسدود شدن را دور بزنند.

امروز در مورد اینکه ارائه دهنده چه داده هایی را در مورد کاربر ذخیره می کند و همچنین به طور کلی در مورد آنچه که او می تواند بداند و چه چیزی را نمی داند صحبت خواهیم کرد. به عنوان مثال، آیا می توانید ببینید چه سایت هایی را بازدید می کنید؟ و چرا ارائه دهنده کاربران را زیر نظر دارد؟

به طور کلی، با ارائه دهندگان کار چندان ساده نیست، آنها طبق قانون باید به ترافیک کاربران گوش دهند - آیا آنها قانون را نقض می کنند، آنجا چه می کنند، البته آنها نگاه نمی کنند، اما داده های اصلی را ضبط می کنند، مردم نمی کنند حالت بدون دلیل را بررسی کنید).

  • اگر کاربر سایت خاصی را باز کند، آیا برای ارائه دهنده قابل مشاهده است؟ بله، در بیشتر موارد قابل مشاهده است نام دامنه، به ندرت فقط یک آدرس IP. همچنین زمان دسترسی شما به سایت را ثبت می کند. محتوای سایت نیز قابل مشاهده است
  • اگر با استفاده از پروتکل امن https به سایت دسترسی پیدا کنم چه می شود؟ سپس ارائه دهنده فقط نام سایت یا آدرس IP آن را می بیند و تمام، محتوا را نمی بیند، زیرا https یک اتصال امن با رمزگذاری است، به همین دلیل استفاده از آن توصیه می شود.
  • چگونه ارائه دهنده می تواند تشخیص دهد که من یک فیلم یا برنامه را از طریق تورنت دانلود کرده ام؟ موضوع این است که دانلود کننده تورنت از طریق پروتکل HTTP با ردیاب تورنت ارتباط برقرار می کند، بنابراین ارائه دهنده می تواند همه چیزهایی را که دانلود کرده اید (فقط با تجزیه و تحلیل صفحه ای که فایل .torrent از آنجا دانلود شده است) و زمان (شروع/پایان) مشاهده کند. امکان اتصال از طریق HTTPS نیز وجود دارد، اما به دلایلی حتی بزرگترین تورنت CIS از چنین پروتکلی پشتیبانی نمی کند، اما چرایی یک راز است.
  • آیا ارائه دهنده هر چیزی را که دانلود می کنم ذخیره می کند؟ نه، از نظر فیزیکی غیرممکن است، کافی نیست دیسکهای سخت. ترافیک در پرواز پردازش می شود، مرتب می شود و آمار نگهداری می شود، که دقیقاً همان چیزی است که برای سال ها ذخیره می شود.
  • آیا ISP می تواند بداند که من یک فایل تورنت را دانلود کرده ام؟ بله، شاید این همان چیزی است که آنها سعی دارند ردیابی کنند - تعامل بین مشتری تورنت و سرور، آنها نمی توانند ترافیک داخل شبکه تورنت را تجزیه و تحلیل کنند، زیرا بسیار بسیار گران است.
  • و اگر از VPN استفاده کنم، ارائه دهنده چیزی نمی بیند؟ دقیقاً چنین چیزی وجود دارد که با VPN ، بله ، ارائه دهنده یک آشفتگی می بیند - یعنی داده های رمزگذاری شده و تجزیه و تحلیل آنها ، و حتی بیشتر از آن رمزگشایی نمی کند ، زیرا تقریباً غیر واقعی است. اما برای اینکه توسط سرورهای IP بفهمیم که این یک VPN مخصوص رمزگذاری ترافیک است - می تواند. این بدان معنی است که کاربر چیزی برای پنهان کردن دارد، نتیجه گیری خود را بگیرید
  • اگر از OpenVPN استفاده کنم، همه برنامه ها از جمله از طریق آن کار خواهند کرد به روز رسانی ویندوز? از نظر تئوری بله و در کل باید اینطور باشد. اما در عمل همه چیز به تنظیمات بستگی دارد.
  • آیا ISP می تواند آدرس IP واقعی یک سایت خاص را در صورت دسترسی من از طریق VPN به آن بیابد؟ در واقع نه، اما نکته دیگری وجود دارد. اگر به طور ناگهانی VPN از کار بیفتد، یا اگر نوعی خطا وجود داشته باشد، ویندوز به سادگی در حالت عادی شروع به کار می کند، یعنی بدون استفاده از VPN- فقط مستقیم برای رفع این مشکل، اولاً باید خود OpenVPN را پیکربندی کنید و ثانیاً از یک فایروال اضافی استفاده کنید (من Outpost Firewall را توصیه می کنم) که در آن می توانید قوانین ترافیک جهانی ایجاد کنید.
  • یعنی اگر VPN باگ باشد، ارائه دهنده می بیند که من در کدام سایت هستم؟ متأسفانه، بله، همه چیز به طور خودکار ضبط می شود.
  • آیا TOR می تواند ناشناس باشد؟ شاید، اما مطلوب است که آن را کمی پیکربندی کنید تا از آدرس های IP برای همه چیز به جز CIS استفاده شود، و همچنین آدرس ها اغلب تغییر می کنند، به عنوان مثال، هر سه دقیقه یکبار. همچنین برای بهترین اثر استفاده از ریپیتر (پل) را به شما توصیه می کنم.
  • وقتی من بسته هایی را از مناطق IP دائما متفاوت دریافت می کنم، ارائه دهنده چه چیزی را می بیند؟ ارائه دهندگان یک سیستم تشخیص دارند استفاده از TOR، اما من مطمئن نیستم که آیا این سیستم با تکرار کننده ها کار می کند یا خیر. واقعیت استفاده از TOR نیز ثبت می شود و همچنین به ارائه دهنده می گوید که این کاربر ممکن است چیزی را پنهان کند
  • آیا ISP آدرس وب سایت را از طریق Tor یا VPN می بیند؟ نه، فقط IP VPN یا گره خروج Tor.
  • آیا نام کامل آدرس هنگام استفاده از پروتکل HTTPS برای ISP قابل مشاهده است؟ خیر، فقط آدرس دامنه (یعنی فقط site.com)، زمان اتصال و حجم انتقال یافته قابل مشاهده است. اما این داده ها به ویژه از نظر اطلاعات برای ارائه دهنده مفید نیستند. اگر از HTTP استفاده می کنید، می توانید همه چیزهایی را که منتقل می شود مشاهده کنید - برای مثال آدرس کامل و همه چیزهایی که در یک پیام از طریق نامه نوشتید / ارسال کردید، اما باز هم، این در مورد Gmail صدق نمی کند - ترافیک در آنجا رمزگذاری می شود.
  • یعنی اگر من از رمزگذاری اتصال استفاده کنم، می توانم از قبل در لیست مشکوک باشم؟ نه، نه واقعا. از یک طرف بله، اما از طرف دیگر رمزگذاری داده ها و حتی رمزگذاری سراسری کل شبکه می تواند نه تنها توسط برخی هکرها یا کاربران، بلکه توسط سازمان های ساده ای که نگران انتقال امن داده ها هستند، استفاده شود که منطقی است. به خصوص در بخش بانکی
  • آیا ارائه دهنده واقعیت استفاده از I2P را می بیند؟ او می بیند، اما تاکنون این نوع شبکه برای ارائه دهندگان کمتر شناخته شده است، به عنوان مثال Tor، که به دلیل محبوبیت آن، توجه سازمان های اطلاعاتی را بیشتر و بیشتر به خود جلب می کند. ارائه دهنده ترافیک I2P را به عنوان اتصالات رمزگذاری شده به آدرس های IP مختلف می بیند که نشان می دهد مشتری با یک شبکه P2P کار می کند.
  • چگونه بفهمم تحت SORM هستم؟ این مخفف به صورت زیر رمزگشایی می شود - System قابلیت های فنیبرای فعالیت های تحقیقاتی و اگر در فدراسیون روسیه به اینترنت متصل هستید، به طور پیش فرض تحت نظارت هستید. در عین حال این سامانه کاملا رسمی است و باید ترافیک از آن عبور کند در غیر این صورت ارائه دهندگان اینترنت و اپراتورهای مخابراتی به سادگی مجوز را لغو می کنند.
  • چگونه تمام ترافیک رایانه خود را همانطور که ارائه دهندگان آن را مشاهده می کنند، مشاهده کنید؟ یک ابزار sniffing ترافیک در این امر به شما کمک می کند، بهترین در نوع خود آنالایزر Wireshark است.
  • آیا راهی برای درک اینکه شما تحت تعقیب هستید وجود دارد؟ امروزه تقریباً هیچ، گاهی اوقات، شاید با یک حمله فعال مانند MitM (مردی در وسط) وجود ندارد. اگر از نظارت غیرفعال استفاده شود، از نظر فنی تشخیص آن غیرواقعی است.
  • اما پس از آن چه باید کرد، آیا می توان به نوعی نظارت را پیچیده کرد؟ شما می توانید اینترنت یعنی اتصال خود به آن را به دو قسمت تقسیم کنید. در شبکه های اجتماعی، در سایت های دوستیابی، تماشای سایت های سرگرمی، فیلم بنشینید، همه این کارها را از طریق یک اتصال معمولی انجام دهید. و از اتصال رمزگذاری شده به طور جداگانه و همزمان به صورت موازی استفاده کنید - به عنوان مثال، برای این تنظیم کنید ماشین مجازی. بنابراین، به اصطلاح، یک محیط کم و بیش طبیعی خواهید داشت، زیرا بسیاری از سایت ها ترافیک را رمزگذاری می کنند و گوگل در خدمات خود و سایر شرکت های بزرگ. اما از طرف دیگر، تقریباً همه سایت های سرگرمی ترافیک را رمزگذاری نمی کنند. یعنی این یک هنجار است - زمانی که کاربر ترافیک باز و رمزگذاری شده دارد. مورد دیگر این است که وقتی ارائه دهنده می بیند که ترافیک کاربر فقط رمزگذاری شده است، البته ممکن است در اینجا سؤالاتی ایجاد شود.

امیدوارم پاسخ های مفیدی پیدا کرده باشید

هر مدیری دیر یا زود دستورالعملی از مدیریت دریافت می کند: "محاسبه کنید چه کسی به شبکه می رود و چقدر دانلود می کند." برای ارائه دهندگان، با وظایف "اجازه دادن به هر کسی، دریافت پرداخت، محدود کردن دسترسی" تکمیل می شود. چی بشمارم چگونه؟ جایی که؟ اطلاعات پراکنده زیادی وجود دارد، آنها ساختاری ندارند. با ارائه اطلاعات عمومی و پیوندهای مفید به مطالب، مدیر مبتدی را از جستجوهای خسته کننده نجات خواهیم داد.
در این مقاله سعی خواهم کرد اصول سازماندهی جمع آوری، حسابداری و کنترل ترافیک در شبکه را شرح دهم. ما مشکلات موضوع را در نظر می گیریم و فهرست می کنیم راه های ممکنبازیابی اطلاعات از دستگاه های شبکه

این اولین مقاله نظری از مجموعه مقالاتی است که به جمع آوری، حسابداری، مدیریت و صورتحساب ترافیک و منابع فناوری اطلاعات اختصاص دارد.

ساختار دسترسی به اینترنت

به طور کلی، ساختار دسترسی به شبکه به شکل زیر است:
  • منابع خارجی - اینترنت، با تمام سایت‌ها، سرورها، آدرس‌ها و سایر مواردی که به شبکه‌ای که شما کنترل می‌کنید تعلق ندارند.
  • دستگاه دسترسی یک روتر (مبتنی بر سخت افزار یا رایانه شخصی)، سوئیچ، سرور VPN یا هاب است.
  • منابع داخلی - مجموعه ای از رایانه ها، زیرشبکه ها، مشترکین که کار آنها در شبکه باید در نظر گرفته شود یا کنترل شود.
  • سرور مدیریت یا حسابداری - دستگاهی که نرم افزار تخصصی را اجرا می کند. می توان آن را با یک روتر نرم افزاری ترکیب کرد.
در این ساختار، ترافیک شبکه از منابع خارجی به داخل و بالعکس از طریق دستگاه دسترسی جریان می یابد. اطلاعات ترافیک را به سرور مدیریت ارسال می کند. سرور کنترل این اطلاعات را پردازش می کند، آن را در پایگاه داده ذخیره می کند، نمایش می دهد، دستورات قفل را صادر می کند. با این حال، همه ترکیبی از دستگاه های دسترسی (روش ها) و روش های جمع آوری و مدیریت سازگار نیستند. گزینه های مختلف در زیر مورد بحث قرار خواهد گرفت.

ترافیک شبکه

ابتدا باید تعریف کنید که منظور از "ترافیک شبکه" چیست و چه چیزی مفید است اطلاعات آماریرا می توان از جریان داده های کاربر بازیابی کرد.
IP نسخه 4 پروتکل غالب کار اینترنتی تا کنون باقی مانده است. پروتکل IP مربوط به لایه سوم مدل OSI (L3) است. اطلاعات (داده‌ها) بین فرستنده و گیرنده در بسته‌هایی بسته‌بندی می‌شوند - دارای یک سربرگ و یک "بار". هدر مشخص می کند که بسته از کجا می آید و کجا (آدرس IP فرستنده و مقصد)، اندازه بسته، نوع بار. بخش عمده ای از ترافیک شبکه از بسته هایی با بارهای UDP و TCP تشکیل شده است - اینها پروتکل های لایه 4 (L4) هستند. علاوه بر آدرس ها، سربرگ این دو پروتکل حاوی شماره پورت هایی است که نوع سرویس (برنامه) انتقال داده را تعیین می کند.

برای انتقال یک بسته IP از طریق سیم (یا رادیو)، دستگاه های شبکه مجبور می شوند آن را در یک بسته پروتکل لایه 2 (L2) "پیچ" کنند (کپسوله کنند). رایج ترین پروتکل از این نوع اترنت است. انتقال واقعی "به سیم" در سطح 1 است. معمولاً دستگاه دسترسی (روتر) هدر بسته ها را در سطح بالاتر از 4 تجزیه و تحلیل نمی کند (یک استثناء فایروال های هوشمند هستند).
اطلاعات مربوط به آدرس‌ها، پورت‌ها، پروتکل‌ها و شمارنده‌های طول از سربرگ‌های L3 و L4 بسته‌های داده، «مواد منبع» را تشکیل می‌دهند که در حسابداری و مدیریت ترافیک استفاده می‌شود. مقدار واقعی اطلاعاتی که باید منتقل شود در فیلد Length هدر IP (از جمله طول خود هدر) است. به هر حال، به دلیل تکه تکه شدن بسته ها به دلیل مکانیسم MTU، مقدار کل داده های ارسال شده همیشه بیشتر از اندازه بار است.

طول کل فیلدهای IP و TCP/UDP بسته که در این زمینه مورد علاقه ما هستند 2...10٪ از طول کل بسته است. اگر تمام این اطلاعات را دسته به دسته پردازش و ذخیره کنید، منابع کافی وجود نخواهد داشت. خوشبختانه، ساختار اکثریت قریب به اتفاق ترافیک به گونه ای است که از مجموعه ای از "گفتگوها" بین دستگاه های شبکه خارجی و داخلی تشکیل شده است که به اصطلاح "جریان ها" نامیده می شود. به عنوان مثال، در یک عملیات انتقال واحد پست الکترونیک(پروتکل SMTP) یک جلسه TCP بین مشتری و سرور باز می شود. با مجموعه ای ثابت از پارامترها مشخص می شود (آدرس IP منبع، پورت TCP منبع، آدرس IP مقصد پورت TCP مقصد). به جای پردازش و ذخیره اطلاعات در هر بسته، ذخیره پارامترهای جریان (آدرس ها و پورت ها) بسیار راحت تر است. اطلاعات تکمیلی- تعداد و مجموع طول بسته های ارسال شده در هر جهت، مدت زمان جلسه اختیاری، شاخص های رابط روتر، مقدار فیلد ToS و غیره. این رویکرد برای پروتکل های اتصال گرا (TCP) سودمند است، جایی که امکان رهگیری صریح لحظه پایان جلسه وجود دارد. با این حال، حتی برای پروتکل‌های غیر جلسه‌محور، می‌توان یک رکورد استریم را جمع‌آوری کرد و به طور منطقی آن را با استفاده از یک تایم اوت جمع‌آوری کرد. در زیر گزیده ای از پایگاه داده SQL سیستم صورتحساب خودمان است که اطلاعات مربوط به جریان ترافیک را ثبت می کند:

لازم به ذکر است زمانی که دستگاه دسترسی ترجمه آدرس را انجام می دهد (NAT، maskarading) برای سازماندهی دسترسی به اینترنت برای رایانه های موجود در شبکه محلی با استفاده از یک آدرس IP عمومی، خارجی. در این حالت، یک مکانیسم ویژه جایگزین آدرس‌های IP و پورت‌های TCP/UDP بسته‌های ترافیکی می‌شود و آدرس‌های داخلی (غیر قابل مسیریابی در اینترنت) را با توجه به آن جایگزین می‌کند. جدول پویاپخش می کند. در این پیکربندی، باید به خاطر داشت که برای ثبت صحیح داده ها در میزبان های شبکه داخلی، آمار باید به گونه ای جمع آوری شود و در جایی که نتیجه ترجمه هنوز آدرس های داخلی را "ناشناس" نمی کند.

روش های جمع آوری اطلاعات در مورد ترافیک / آمار

می‌توانید اطلاعات مربوط به عبور ترافیک را مستقیماً در خود دستگاه دسترسی (روتر رایانه شخصی، سرور VPN)، انتقال آن از این دستگاه به سرور جداگانه (NetFlow، SNMP)، یا «از سیم» (ضربه بزنید، SPAN) دریافت و پردازش کنید. بیایید همه گزینه ها را به ترتیب تجزیه و تحلیل کنیم.
روتر کامپیوتر
در نظر گرفتن ساده ترین مورد- دسترسی به دستگاه (روتر) مبتنی بر رایانه شخصی با سیستم عامل لینوکس.

نحوه راه اندازی چنین سرور، ترجمه آدرس و مسیریابی، بسیار نوشته شده است. ما به مرحله منطقی بعدی علاقه مندیم - اطلاعاتی در مورد نحوه به دست آوردن اطلاعات در مورد ترافیک عبوری از چنین سروری. سه راه متداول وجود دارد:

  • رهگیری (کپی) بسته های عبوری از کارت شبکه سرور با استفاده از کتابخانه libpcap
  • رهگیری بسته هایی که از فایروال داخلی عبور می کنند
  • استفاده از ابزارهای شخص ثالث برای تبدیل آمار هر بسته (به دست آمده توسط یکی از دو روش قبلی) به جریانی از جریان شبکه اطلاعات انبوه
libpcap


در حالت اول، یک کپی از بسته عبوری از رابط، پس از عبور از فیلتر (man pcap-filter)، می تواند توسط یک برنامه کلاینت روی سرور که با استفاده از این کتابخانه نوشته شده است، درخواست کند. بسته با هدر لایه 2 (اترنت) وارد می شود. می توان طول اطلاعات گرفته شده را محدود کرد (اگر فقط به اطلاعات هدر آن علاقه مند باشیم). نمونه هایی از این برنامه ها tcpdump و Wireshark هستند. یک پیاده سازی ویندوز از libpcap وجود دارد. در مورد استفاده از ترجمه آدرس در روتر رایانه شخصی، چنین رهگیری فقط در رابط داخلی آن متصل به کاربران محلی قابل انجام است. در رابط خارجی، پس از ترجمه، بسته های IP حاوی اطلاعاتی در مورد میزبان های داخلی شبکه نیستند. با این حال، با این روش، نمی توان ترافیک ایجاد شده توسط خود سرور در اینترنت را در نظر گرفت (که مهم است اگر وب را اجرا کند یا سرویس پست).

libpcap نیاز به پشتیبانی خارجی دارد سیستم عاملکه در حال حاضر به نصب یک کتابخانه خلاصه می شود. در این مورد، برنامه کاربردی (کاربر) که بسته ها را جمع آوری می کند باید:

  • رابط مورد نیاز را باز کنید
  • فیلتری را که بسته های دریافتی از آن عبور می کند، اندازه قسمت ضبط شده (snaplen)، اندازه بافر را مشخص کنید.
  • پارامتر promisc را تنظیم کنید، که رابط شبکه را به حالت ضبط برای همه بسته های عبوری به طور کلی، و نه فقط آنهایی که به آدرس MAC این رابط آدرس داده می شوند، قرار می دهد.
  • یک تابع (بازخوانی) برای فراخوانی در هر بسته دریافتی تنظیم کنید.

هنگام انتقال یک بسته از طریق رابط انتخاب شده، پس از عبور از فیلتر، این تابع یک بافر حاوی اترنت، (VLAN)، IP و غیره دریافت می کند. هدرها، اندازه کل تا snaplen. از آنجایی که کتابخانه libcap بسته ها را کپی می کند، نمی توان عبور آنها را با آن مسدود کرد. در این مورد، برنامه جمع آوری و پردازش ترافیک باید استفاده شود روش های جایگزینبرای مثال، فراخوانی یک اسکریپت برای قرار دادن یک آدرس IP معین در یک قانون مسدود کردن ترافیک.

دیواره آتش


گرفتن داده های عبوری از فایروال به شما این امکان را می دهد که هم ترافیک خود سرور و هم ترافیک کاربران شبکه را در نظر بگیرید، حتی زمانی که ترجمه آدرس در حال اجرا است. نکته اصلی در این مورد این است که قانون ضبط را به درستی تدوین کنید و آن را در جای مناسب قرار دهید. این قانون انتقال بسته را به سمت کتابخانه سیستم فعال می کند، جایی که برنامه حسابداری و کنترل ترافیک می تواند آن را دریافت کند. برای سیستم عامل لینوکس، iptables به عنوان فایروال استفاده می شود و ابزارهای رهگیری عبارتند از ipq، netfliter_queue یا ulog. برای OC FreeBSD - ipfw با قوانینی مانند سه راهی یا divert . در هر صورت، مکانیسم فایروال با قابلیت کار با برنامه کاربر به روش زیر تکمیل می شود:
  • برنامه کاربر - کنترل کننده ترافیک خود را با استفاده از سیستم در سیستم ثبت می کند تماس سیستمی، یا یک کتابخانه
  • برنامه کاربر یا یک اسکریپت خارجی یک قانون را در فایروال تنظیم می کند و ترافیک انتخاب شده (طبق قانون) را در داخل هندلر "پیچیده" می کند.
  • برای هر بسته عبوری، گرداننده محتویات آن را به شکل یک بافر حافظه (با هدرهای IP و غیره) دریافت می کند. از طرف دیگر، این امکان وجود دارد که بسته اصلاح شده را به هسته ارسال کنید.

از آنجایی که بسته IP کپی نمی شود، بلکه به نرم افزار تجزیه و تحلیل ارسال می شود، امکان "خروج" آن وجود دارد و بنابراین، ترافیک یک نوع خاص (به عنوان مثال، به یک مشترک شبکه محلی انتخاب شده) به طور کامل یا جزئی محدود می شود. با این حال، اگر برنامه در مورد تصمیم خود به هسته پاسخ ندهد (به عنوان مثال هنگ کند)، ترافیک از طریق سرور به سادگی مسدود می شود.
لازم به ذکر است که مکانیسم های توصیف شده، با مقادیر قابل توجهی از ترافیک ارسالی، بار بیش از حد بر روی سرور ایجاد می کند که با کپی مداوم داده ها از هسته به برنامه کاربر همراه است. روش جمع آوری آمار در سطح هسته سیستم عامل با صدور آمار تجمیع شده به برنامه کاربردی با استفاده از پروتکل NetFlow این اشکال را ندارد.

جریان شبکه
این پروتکل توسط Cisco Systems برای صادرات اطلاعات ترافیک از روترها به منظور حسابداری و تحلیل ترافیک ایجاد شده است. در حال حاضر محبوب ترین نسخه 5 یک جریان داده ساختاریافته را در قالب بسته های UDP حاوی اطلاعات مربوط به ترافیک گذشته در قالب به اصطلاح رکوردهای جریان در اختیار گیرنده قرار می دهد:

حجم اطلاعات در مورد ترافیک چندین مرتبه کوچکتر از خود ترافیک است که به ویژه در شبکه های بزرگ و پراکنده اهمیت دارد. البته، مسدود کردن انتقال اطلاعات هنگام جمع آوری آمار در جریان شبکه (در صورت عدم استفاده از مکانیسم های اضافی) غیرممکن است.
در حال حاضر، توسعه بیشتر این پروتکل در حال محبوب شدن است - نسخه 9، بر اساس ساختار الگوی رکورد جریان، پیاده سازی برای دستگاه های تولید کنندگان دیگر (sFlow). اخیراً استاندارد IPFIX پذیرفته شده است که اجازه می دهد آمارها از طریق پروتکل های سطوح عمیق تر (مثلاً بر اساس نوع برنامه) منتقل شوند.
پیاده‌سازی منابع جریان شبکه (عامل‌ها، پروب‌ها) برای روترهای رایانه شخصی در دسترس است، هم به شکل ابزارهایی که طبق مکانیسم‌های توضیح داده شده در بالا کار می‌کنند (flowprobe، softflowd)، و هم به طور مستقیم در هسته سیستم‌عامل (FreeBSD: ng_netgraph، Linux: ) . برای روترهای نرم افزاری، جریان آمار netflow را می توان به صورت محلی در خود روتر دریافت و پردازش کرد یا از طریق شبکه (پروتکل انتقال - از طریق UDP) به دستگاه دریافت کننده (گردآورنده) ارسال کرد.


برنامه جمع‌آوری می‌تواند اطلاعات را از منابع بسیاری به طور همزمان جمع‌آوری کند و قادر باشد ترافیک آنها را حتی با فضاهای آدرسی متداخل تشخیص دهد. با کمک وجوه اضافیمانند nprobe، همچنین امکان جمع‌آوری داده‌های اضافی، تقسیم جریان یا تبدیل پروتکل وجود دارد که در مدیریت یک شبکه بزرگ و توزیع شده با ده‌ها روتر مهم است.

توابع صادرات netflow از روترهای Cisco Systems، Mikrotik و برخی دیگر پشتیبانی می کند. عملکرد مشابه (با سایر پروتکل های صادراتی) توسط تمام تولید کنندگان تجهیزات شبکه پشتیبانی می شود.

libpcap "خارج"
بیایید کار را کمی پیچیده کنیم. اگر دستگاه دسترسی شما یک روتر سخت افزاری شخص ثالث باشد چه؟ به عنوان مثال، D-Link، ASUS، Trendnet و غیره. به احتمال زیاد، قرار دادن اضافی روی آن غیرممکن است ابزار نرم افزاریضبط داده ها. از طرف دیگر، شما یک دستگاه دسترسی هوشمند دارید، اما پیکربندی آن ممکن نیست (حقوقی ندارد، یا توسط ارائه دهنده شما کنترل می شود). در این حالت، می توان با استفاده از ابزار «سخت افزاری» کپی بسته ها، اطلاعات مربوط به ترافیک را مستقیماً در نقطه اتصال دستگاه دسترسی به شبکه داخلی جمع آوری کرد. در این صورت مطمئناً برای دریافت کپی از بسته های اترنت به یک سرور جداگانه با کارت شبکه اختصاصی نیاز خواهید داشت.
سرور باید از مکانیسم جمع آوری بسته ها مطابق روش libpcap که در بالا توضیح داده شد استفاده کند و وظیفه ما این است که یک جریان داده مشابه با خروجی از سرور دسترسی به ورودی کارت شبکه اختصاص داده شده برای این کار ارسال کنیم. برای این شما می توانید استفاده کنید:
  • هاب اترنت: دستگاهی که به سادگی بسته ها را بین تمام پورت های خود فوروارد می کند. در واقعیت های مدرن، می توان آن را در جایی در یک انبار گرد و غبار پیدا کرد، و این روش توصیه نمی شود: غیر قابل اعتماد، سرعت کم (هیچ هابی با سرعت 1 گیگابیت در ثانیه وجود ندارد)
  • اترنت - یک سوئیچ با قابلیت انعکاس (Mirroring، پورت‌های SPAN. سوئیچ‌های هوشمند مدرن (و گران‌قیمت) به شما این امکان را می‌دهند که تمام ترافیک (ورودی، خروجی، هر دو) را به پورت مشخص شده یک رابط فیزیکی دیگر، VLAN، از جمله راه دور (RSPAN) کپی کنید. )
  • یک تقسیم کننده سخت افزاری که ممکن است برای جمع آوری دو نیاز به نصب داشته باشد کارت های شبکهبه جای یک - و این علاوه بر اصلی و سیستمیک است.


به طور طبیعی، اگر اجازه می دهد - Cisco Catalyst 6500، Cisco ASA، می توانید پورت SPAN را روی خود دستگاه دسترسی (روتر) پیکربندی کنید. در اینجا نمونه ای از چنین پیکربندی برای سوئیچ سیسکو آورده شده است:
مانیتور جلسه 1 منبع vlan 100 ! بسته ها را از کجا تهیه کنیم
مانیتور جلسه 1 رابط مقصد Gi6/3! بسته ها را کجا ارسال کنیم؟

SNMP
اگر هیچ روتری تحت کنترل ما نباشد، تمایلی به تماس با netflow وجود نداشته باشد، ما به جزئیات ترافیک کاربران خود علاقه نداریم. آنها به سادگی از طریق یک سوئیچ مدیریت شده به شبکه متصل می شوند و ما فقط باید میزان ترافیکی که روی هر یک از پورت های آن می افتد را به طور تقریبی تخمین بزنیم. همانطور که می دانید، دستگاه های شبکه با مدیریت از راه دور پشتیبانی می کنند و می توانند شمارنده بسته ها (بایت ها) را که از رابط های شبکه عبور می کنند، نمایش دهند. برای نظرسنجی از آنها، استفاده از پروتکل استاندارد مدیریت از راه دور SNMP درست است. با استفاده از آن، می توانید به سادگی نه تنها مقادیر شمارنده های مشخص شده، بلکه سایر پارامترها مانند نام و توضیحات رابط، آدرس های MAC قابل مشاهده از طریق آن و موارد دیگر را نیز دریافت کنید. اطلاعات مفید. این به عنوان ابزارهای برقی انجام می شود خط فرمان(snmpwalk)، مرورگرهای گرافیکی SNMP و موارد دیگر برنامه های پیچیدهنظارت بر شبکه (rrdtools، cacti، zabbix، whats up gold و غیره). با این حال، این روش دو عیب قابل توجه دارد:
  • مسدود کردن ترافیک فقط با غیرفعال کردن کامل رابط و با استفاده از همان SNMP انجام می شود
  • شمارنده های ترافیک گرفته شده از طریق SNMP به مجموع طول بسته های اترنت (با تک پخش، پخش و چندپخشی جداگانه) اشاره دارند، در حالی که بقیه ابزارهایی که قبلا توضیح داده شد مقادیر مربوط به بسته های IP را ارائه می دهند. این یک اختلاف قابل توجه (به ویژه در بسته های کوتاه) به دلیل سربار ناشی از طول هدر اترنت ایجاد می کند (با این حال، می توان تقریباً با آن برخورد کرد: L3_bytes = L2_bytes - L2_packets*38).
VPN
به طور جداگانه، شایان ذکر است که مورد دسترسی کاربر به شبکه با برقراری صریح اتصال به سرور دسترسی مورد توجه قرار گیرد. یک مثال کلاسیک، شماره گیری قدیمی خوب است که آنالوگ آن در دنیای مدرنخدمات VPN هستند دسترسی از راه دور(PPTP، PPPoE، L2TP، OpenVPN، IPSEC)


دستگاه دسترسی نه تنها ترافیک IP کاربر را هدایت می کند، بلکه به عنوان یک سرور VPN تخصصی عمل می کند و تونل های منطقی (اغلب رمزگذاری شده) را که در آن ترافیک کاربر منتقل می شود خاتمه می دهد.
برای محاسبه چنین ترافیکی، می توانید از همه ابزارهایی که در بالا توضیح داده شد (و آنها برای تجزیه و تحلیل عمیق توسط پورت ها / پروتکل ها مناسب هستند) و همچنین مکانیسم های اضافی که ابزارهای کنترل دسترسی VPN را ارائه می دهند استفاده کنید. ابتدا در مورد پروتکل RADIUS صحبت خواهیم کرد. کار او موضوعی نسبتاً پیچیده است. به طور خلاصه اشاره می کنیم که کنترل (مجوز) دسترسی به سرور VPN (کلاینت RADIUS) توسط برنامه ویژه(سرور RADIUS)، که دارای پایه (فایل متنی، SQL، Active Directory) از کاربران معتبر با ویژگی های آنها (محدودیت های سرعت اتصال، آدرس های IP اختصاص داده شده) است. علاوه بر فرآیند مجوز، مشتری به صورت دوره‌ای پیام‌های حسابداری، اطلاعاتی در مورد وضعیت هر جلسه VPN در حال اجرا، از جمله شمارنده بایت‌ها و بسته‌های ارسال شده، به سرور ارسال می‌کند.

نتیجه

بیایید تمام روش های جمع آوری اطلاعات ترافیکی که در بالا توضیح داده شد را با هم خلاصه کنیم:

بیایید کمی جمع بندی کنیم. در عمل، تعداد زیادی روش برای اتصال شبکه ای که مدیریت می کنید (با مشتریان یا مشترکین اداری) به زیرساخت شبکه خارجی با استفاده از تعدادی ابزار دسترسی - روترهای نرم افزاری و سخت افزاری، سوئیچ ها، سرورهای VPN وجود دارد. با این حال، تقریباً در هر صورت، زمانی که اطلاعات مربوط به ترافیک منتقل شده از طریق شبکه می تواند به یک ابزار نرم افزاری یا سخت افزاری برای تجزیه و تحلیل و کنترل آن هدایت شود، می توانید طرحی ارائه دهید. همچنین ممکن است که این ابزار اجازه دهد بازخوردبا استفاده از دستگاه دسترسی الگوریتم های هوشمندمحدودیت‌های دسترسی برای مشتریان، پروتکل‌ها و موارد دیگر.
این تجزیه و تحلیل مواد را به پایان می رساند. از موضوعات حل نشده باقی مانده است:

  • داده های ترافیکی جمع آوری شده چگونه و به کجا می روند
  • نرم افزار حسابداری ترافیک
  • تفاوت بین صورتحساب و یک "پیشخوان" ساده چیست؟
  • چگونه ترافیک را محدود کنیم
  • ضبط و محدود کردن وب سایت های بازدید شده