Мониторинг сети. Сниффер Wireshark
Под мониторингом сети понимают процесс сбора и анализа сетевого трафика, по результатам которого можно судить о качественных и количественных характеристиках работоспособности сети или ее отдельных компонентов. Программы мониторинга сети позволяют выполнять захват пакетов и их реассемблирование для дальнейшего анализа.
Цель работы: Освоить базовые навыки мониторинга сети с использованием программ для анализа протоколов.
Задания к работе
- Запустить ENA в режиме захвата трафика, проходящего через интерфейс, подключенный к локальной сети (обычно это eth0). Перейти к следующему заданию.
- Эмулировать сетевую активность в течении 10-15 минут. Для этого можно выполнить, например, некоторые из указанных действий.
- Открыть сайт http://asoiu.com;
- Подключиться к серверу ftp://ftp.omgtu;
- Выполнить пинг любых узлов;
- Подключиться к одному из доступных сетевых дисков Windows (если такие ресурсы представлены в сети)
- Выполнить прочие действия, требующие сетевого подключения.
- Остановить захват.
- Заполнить таблицу 2.1. Исходные данные для таблицы представлены в отчете Statistics/Summary. При заполнении таблицы обратите внимание на соблюдение размерности величин (кб, Мб, Мбит).
Таблица 2.1.
Параметр Значение Время захвата, мин К-во захваченных пакетов Объем, Мб Средн.размер пакета, Кб Средняя скорость, пакетов/сек Средняя скорость, Мбит/сек - Составить таблицу распределения трафика по протоколам (табл. 2.2). Исходные данные для таблицы можно получить из отчета Statistics/Protocol Hierarchy.
Таблица 2.2.
Протокол Трафик, Мб Трафик, % HTTP FTP ... ИТОГО 100 - Составить таблицу распределения Ethernet-трафика по узлам сети (табл. 2.3). Исходные данные для заполнения таблицы получить из отчета Statistics/Endpoint list/Ethernet.
Таблица 2.3.
MAC-адрес IP-адрес Трафик входящий исходящий общий Мб % Мб % Мб % ИТОГО 100 100 100 - По данным табл. 2.1 определить относительную загрузку сети (в %) за контрольный период времени по формуле:
- По данным табл. 2.2 сделать выводы о качественном составе трафика, т.е. о соотношении прикладных и служебных протоколов.
- По данным табл. 2.3 определить, какие из узлов являются наиболее загруженными с учетом направления трафика (исходящий, входящий, общий).
Указания к работе
Для мониторинга используют специальные программы - анализаторы сети. Таких программ много, например Windows Network Monitor, tcpdump, Ethereal Network Analyzer (ENA), Wireshark и т.п. Они схожи по функциям, а отличаются в основном пользовательским интерфейсом и возможностями генерации статистических отчетов. На рис. 2.1 приведены примеры таких программ.
Рис.2.1. Программы анализа трафика. Главное окно программы Wireshark с результатами захвата и программа tcpdump (в консоли).
Онлайн-анализ трафика
В глобальной сети все большее распространение получают онлайн-сервисы, выполняющие мониторинг серверов. Основное назначение таких сервисов - контроль за работоспособностью узлов и оповещение администратора о нештатных ситуациях по эл.почте, через IM и по SMS. Основные проверки выполняются для сервисов прикладного уровня (HTTP, FTP, SMTP, POP3 и т.п.) с возможностью указания интервала проверок. Дополнительными возможностями являются, например, uptime-информеры, средства контроля за появлением вредоносного кода, подключение нескольких ресурсов на аккаунт и т.п. Детальное изучение онлайн-сервисов мониторинга выходит за рамки этой лабораторной работы.
Для выполнения этой работы рекомендуется использовать программы Ethereal Network Analyzer или Wireshark (версии для UNIX/Linux, Windows-версия работает не стабильно). Эти программы практически идентичны как по возможностям, так и по использованию.
Прежде чем приступить к выполнению заданий лабораторной работы, необходимо выполнить следующие действия:
- Установить программу WireShark (см. Управление пакетами в Linux).
- Ознакомиться с кратким руководством пользователя и документацией man (англ.).
- Запустить программу (требуются права суперпользователя) и ознакомиться с пользовательским интерфейсом и основными пунктами меню.
CC-BY-CA Анатольев А.Г., 31.01.2012