МЕТОДЫ МОНИТОРИНГА И АНАЛИЗА СЕТЕВОГО ТРАФИКА

Межсетевой экран — это устройство сетевой безопасности, которое отслеживает входящий и исходящий сетевой трафик и решает, пропускать или блокировать определенный трафик на основе набора установленных правил безопасности.

NetFlow Analyzer — это унифицированный монитор сетевого трафика, который собирает, анализирует и сообщает о том, кто и как использует пропускную способность сети. Маршрутизаторы, поддерживающие протокол NetFlow, собирают общие данные о трафике глобальных сетей, передают их для дальнейшего анализа к программным системам NetFlow, автоматизирующие поиск атак и угроз. Трафик можно контролировать и ограничивать непосредственно на маршрутизаторе. Весь процесс происходит в настройках.

Wireshark – программа для анализа трафика для компьютерных сетей Ethernet и других. Он обладает большим набором функций, который включает в себя: глубокую проверку протоколов, запись в реальном времени и анализ в автономном режиме, мультиплатформенность: (Windows, macOS, Linux, и т.п), экспорт выходных данных в CSV, XML или в обычный текст.

Управление трафиком с помощью VPN позволяет: пропускать исходящий трафик через VPN; не снижать скорость; исключить зависимость от ошибок VPN-провайдера; повысить уровень анонимности в Интернете.

Системы обнаружения вторжений (Intrusion Detection Systems, IDS) специализируются на автоматическом распознавании вторжений и угроз в прослушиваемом трафике локальных сетей [5].

Системы управления сетью (Network Management Systems) – это централизованные программные системы, которые собирают данные о состоянии сетевых узлов и устройств, а также данные о трафике, циркулирующем в сети. Можно выделить следующие функции инструментов сетевого управления: управление конфигурацией сети, управление ошибками, анализ производительности, управление безопасностью, учет производительности сети. Примерами систем управления могут служить популярные системы HPOpenView, SunNetManager, IBMNetView [3].

Средства управления системой (System Management) часто выполняет функции, аналогичные функциям систем управления, но по отношению к другим объектам. В первом случае объектом управления является программное обеспечение и оборудование сетевых компьютеров, а во втором - коммуникационное оборудование [3].

Средства управления системой обычно выполняют следующие функции:

• Учет используемых аппаратных и программных средств. 
• Распределение и установка программного обеспечения.
• Удаленный анализ производительности и проблем.

Примерами средств управления системой являются такие продукты, как SystemManagementServer компании Microsoft или LANDeskManager фирмы Intel.

Анализатор протоколов представляет собой независимое, специализированное устройство или персональный компьютер, оснащенный специальной сетевой картой и соответствующим программным обеспечением. Они позволяют захватывать трафик локальных сетей, представлять его в удобной форме для анализа, но сам анализ данных остается за администратором. Они позволяют задать некоторые логические условия для захвата отдельных пакетов и выполнить полное декодирование захваченных пакетов, то есть показывают в удобной для специалиста форме с декодированием содержимого отдельных полей в каждом пакете [3].

Несмотря на относительное разнообразие анализаторов протоколов, представленных на рынке, можно назвать определенные особенности, присущие им всем в той или иной степени:

• Пользовательский интерфейс позволяет получать статистическую оценку производительности сети; установить конкретные события и критические ситуации для мониторинга.
• Буфер может располагаться на установленной сетевой карте или ему может быть предоставлено место в оперативной памяти одного из сетевых компьютеров. Буферы разных анализаторов различаются по размеру.
• Фильтры позволяют контролировать процесс сбора данных и, таким образом, экономить место в буфере. В зависимости от значения определенных полей пакет или игнорируется, или записывается в буфер захвата.
• Переключатели — это определенные задаваемые условия начала и окончания процесса захвата. Они могут использоваться совместно с фильтрами, что позволяет проводить более подробный и тонкий анализ, а также более эффективно использовать ограниченный объем буфера захвата [6]

Экспертные системы накапливают человеческие знания для выявления причин аномального функционирования сети и возможных способов приведения сети в рабочее состояние. Более простой версией экспертной системы является контекстно-зависимая справочная система. Более сложные экспертные системы называются базами знаний с элементами искусственного интеллекта. Примером такой системы является экспертная система, включенная в систему управления Spectrum компании Cabletron [6].

SNMP (Simple Network Management Protocol) — это протокол, используемый для получения информации от сетевых устройств об их статусе, производительности и характеристиках, которые хранятся в специальной базе данных сетевых устройств, называемой MIB (Management Information Base). На сегодня есть несколько стандартов на базе данных управляющей информации. Наиболее важными стандартами являются стандарты MIB-I и MIB-II, а также версия базы данных удаленного управления RMONMIB.

Последним дополнением к функциональности SNMP является спецификация RMON, которая обеспечивает удаленное взаимодействие с базой MIB. База RMONMIB обладает улучшенным набором характеристик для дистанционного управления, поскольку содержит совокупную информацию об устройстве, которая не требует передачи больших объемов информации по сети.

Объекты RMONMIB включают дополнительные счетчики ошибок пакетов, гибкие инструменты анализа графических тенденций и статистики, мощные инструменты фильтрации для записи и анализа отдельных пакетов и сложные условия для установки предупреждающих сигналов.

Эти средства могут быть размещены внутри различных коммуникационных устройств, а также могут быть выполнены в виде отдельных программных модулей, которые работают на универсальных ПК и ноутбуках [6].

Управление трафиком является необходимым условием эффективного функционирования любой сети: корпоративной, домашней, локальной или глобальной. В статье был проведен предварительный обзор существующих категорий инструментов для мониторинга и анализа сетевого трафика.

Необходимость использования каждой категории инструментов мониторинга должна основываться на перечне решаемых задач, параметрах сети и имеющихся материальных и финансовых ресурсах в каждом конкретном случае.

Список литературы:

1. Дороничев, Н.Н. Построение системы контроля, анализа и управления трафиком локальной сети // Компьютерные и информационные науки. - Олбест, 2020. – С.50-57.
2. Евграфов М.Ю. Аппаратные и программные средства мониторинга локальных сетей. - М.: Стандартинформ, 2014.
3. Олифер В.Г, Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 5-е изд. / - СПб.: Питер, 2016. - 992 с.
4. Доля Никита Анатольевич. Захват и анализ пакетного трафика. - Минск, 2015. - 11 с.
5. Д.В. Игнатов, Д.Э. Назаренко, М.В. Янов. Анализ трафика как инструмент исследования вычислительной сети //Информатика: проблемы, методы, технологии. Воронеж, 2021. – 5 с.
6. Олифер Н.А., Олифер В.Г. Средства анализа и оптимизации локальных сетей. – Питер: Центр Информационных Технологий,1998. – 453 с.