Файл: Обзор методов и средств анализа сетевого трафика и поиска аномалий трафика..pdf

• HostTopN - готовит таблицы, которые описывают вершину хостов (главный хост).

• Filters - включает фильтрацию пакетов, которая основывается на фильтровом уравнении для захвата событий.

• Packet capture – осуществляет захват пакетов после их прохождения через канал.

• Events - выполняет контроль генерации и регистрация событий от устройства.

• Token ring - осуществляет поддержку кольцевых лексем.

Как описано выше, RMON, строится на базе протоколе SNMP. Но мониторинг трафика может быть выполнен при помощи этого метода, аналитические данные об информации, которые получены SNMP и RMON имеют низкую производительность.

Netflow, RFS 3954

Netflow – представляет собой расширение которое используется в маршрутизаторах Cisco. И данное расширение позволяет « собирать» IP сетевой трафик.

NetFlow позволяет устройствам Cisco передавать данные о трафике, проходящем через данное устройство, на любой хост в сети, где эти данные могут накапливаться, сохраняться в определенном виде и соответственно отображаться. Таким образом, имеем три типа объектов, которые работают с NetFlow: сенсор, коллектор, визуализатор, как показано на рисунке 2^[9].

Рисунок 2. Инфраструктура NetFlow

Сенсор NetFlow - это непосредственно маршрутизатор cisco, который собирает информацию о сетевом трафике и передает ее на коллектор. Данные о трафике передаются по сети посредством UDP дейтаграмм.

Коллектор NetFlow – это устройство в сети (или лучше сказать: программное обеспечение, установленное на одном из устройств сети), которое принимает данные от сенсора и складывает их определенным образом для последующем обработки (в базу MySQL, PostgreSQL, в текстовый файл). Поскольку протокол NetFlow является открытым – существует масса коллекторов под различные операционные системы (Windows, Linux, *BSD… и т.д.). Это означает тот факт, что какая-бы операционная система ни была у пользователя установлена – пользователь сможете собирать информацию с NetFlow сенсоров (устройств cisco), обрабатывать ее и отображать в нужном виде.

Визуализатор NetFlow – это программное обеспечение, которое позволяет видеть результаты сбора статистики коллектором в том виде, в котором требуется (графики, отчеты и прочее) пользователю. Некоторые коллекторы могут включать в себя и функции визуализатора.

Резюмируя можно грубо сказать, что сенсор собирает информацию, коллектор кладет её в базу, а визуализатор показывает пользователю содержимое базы в удобном для него виде.

Поскольку данные о сетевом трафике сенсор NetFlow передает посредством UDP дейтаграмм – это значит, что коллектор может находится где угодно, главное, что бы к нему был доступ через маршрутизируемую ip сеть. Таким образом мы получаем ситуацию, когда устройство передающее информацию о трафике (NetFlow сенсор) может находиться в Африке, а принимающее устройство (NetFlow коллектор) в Австралии. А это в свою очередь означает тот факт, что можно организовать централизованный сбор информации с устройств, где бы они не находились; отобразить информацию о трафике в нужном для пользователя виде: трафик по филиалам, по пользователям филиалов, структура трафика (в каких филиалах преобладает FTP, в каких HTTP и т.д.)^[10].

2.2. Технологии не основанные на маршрутизаторах

Но возможности технологии, не встроенные в маршрутизатор все же ограничены, они предлагают большую гибкость, чем технологии встроенные в маршрутизаторы. Эти методы классифицируются как активные и пассивные.

Активный мониторинг

Мониторинг – это постоянное систематическое наблюдение, сбор и упорядочение информации, необходимой для:

• изучения объекта, либо процесса;
• принятия решения о способах воздействия;
• предотвращения ухудшения обстановки и предупреждения об опасности^[11].

Мониторинг сети – это инструмент, предназначенный для просмотра информации о сетевой активности в реальном времени^[12].

Программы для мониторинга сети отображают всевозможную информацию о статусе разнообразных сервисов интернета или локальной сети, сетевого оборудования и серверов. Так же, они могут проверять доступность HTTP, FTP и SMTP сервисов, отображать данные об использовании сети, нагрузке на процессор, дисковом пространстве, строить списки компьютеров в локальной сети, проводить поиск и проверку паролей, просмотр и подключение сетевых ресурсов, осуществлять доступ к разрешенным папкам. Некоторые программы подобного типа способны не только вести статистику всех процессов сетевой деятельности, но и отслеживать их качество, анализировать ошибки, и делать выводы, на основании собранной информации.

Таким образом, можно заключить, что системы сетевого мониторинга ускоряют обнаружение и анализ возникших сетевых проблем, а также позволяют выявлять потенциальные проблемы и устранять их еще до того, как они повлияют на работу сети.

Как отмечено выше мониторинг сети бывает активный и пассивный.

Остановимся на первом виде.

Активный мониторинг – представляет собой мониторинг конфигурационных единиц или ИТ-Услуг, использующий автоматизированные регулярные проверки для отслеживания текущего статуса объекта мониторинга.

Плюсы активного мониторинга. Активный мониторинг, точнее, сочетание активного и пассивного мониторинга – прекрасный метод, позволяющий быстро получить список станций в широковещательном домене, а также представление о том, какие сервисы доступны этим станциям.

Данный метод помогает попутно идентифицировать многие распространенные сетевые проблемы, включая повторяющиеся IP-адреса, неправильно настроенные рабочие станции и некорректно работающие серверы DHCP и маршрутизаторы.

Минусы. Активный опрос устройств в широковещательном домене и запрос трафика, конечно, очень полезны для выявления других устройств в сети и поиска прочих сбоев, однако они вряд ли помогут узнать, почему сеть работает медленно.

Активное обнаружение позволяет выявить устройства в сети, но определить, что делают эти устройства, невозможно.

Пассивный мониторинг

При пассивном мониторинге ключевые показатели функционирования сети и сетевых приложений контролируются путем анализа реального трафика действующей сети, «наблюдаемого» в различных ее точках, а при активном — для определения этих показателей используется специально сгенерированный тестовый трафик.

В свою очередь, выделяют три основных типа пассивного мониторинга: мониторинг на базе пакетов (захват и анализ сетевых пакетов средствами мониторинга), SNMP-мониторинг (опрос SNMP-устройств для получения информации об их состоянии и трафике) и мониторинг на базе потоков (сбор информации о потоках трафика по протоколам xFlow и др.).

Будучи одной из разновидностей пассивного мониторинга, сетевой мониторинг на базе пакетов осуществляется пассивными (не передающими тестовый трафик) средствами мониторинга, анализирующими все части каждого захваченного ими пакета. К этим средствам относятся анализаторы протоколов, системы IDS/IPS и различного вида пробники, осуществляющие запись и анализ сетевого трафика.

Для подключения такого рода средств мониторинга к контролируемой сети нередко используют SPAN-порты в коммутаторах, но предпочтительнее задействовать для этого разнообразные специальные ответвители и брокеры сетевых пакетов с функцией такого ответвители, гарантирующие, в отличие от SPAN-портов, 100% «видимость» сетевого трафика. Сетевые ответвители позволяют подключать к сетевому каналу одно средство мониторинга. Когда же трафик в одном и том же канале нужно контролировать с помощью нескольких разных средств мониторинга одновременно, используют регенерирующие ответвители, которые отличаются от сетевых ответвителей увеличенным числом портов для подключения средств мониторинга. Если число каналов, которые нужно контролировать, превышает число имающихся средств мониторинга, можно задействовать агрегатор каналов, являющийся одной из двух разновидностей агрегирующих ответвителей (вторая разновидность — агрегатор портов). Для безаварийного включения системы IPS или другого устройства, предназначенного для сетевого мониторинга или обеспечения информационной безопасности, в разрыв контролируемого сетевого канала (inline) предназначены специальные устройства, называемые обходными коммутаторами. Наряду с обычными ответвителями и обходными коммутаторами, в продаже имеются интеллектуальные ответвители и обходные коммутаторы, собирающие и выдающие статистическую информацию о трафике и таким образом позволяющие контролировать трафик без подключения специальных средств мониторинга. Аналогичными возможностями обладают и брокеры сетевых пакетов.

Плюсы. Для пассивного мониторинга не нужны ни специальные настройки, ни другие условия. При наличии достаточного терпения рано или поздно вам удастся увидеть трафик практически от всех сетевых устройств, находящихся в данном широковещательном домене, поскольку таблица адресов подвержена старению и периодически обновляется, а установление соединений через мост происходит в соответствии с базовыми процедурами.

Минусы. Пассивный мониторинг предполагает, что устройство для мониторинга никакой передачи не осуществляет. Если запросы не отправляются, то коммутатор никогда ничего не узнает о MAC-адресе устройства и откликов на отсутствующие запросы не будет. В абсолютном большинстве случаев в нормальной сети при пассивном мониторинге вы увидите только очень небольшой трафик, который состоит из широковещательных служебных уведомлений или сообщений широковещательных протоколов, например, ARP.

https://www.osp.ru/lan/2009/04/7699439/

2.3 Комбинированный мониторинг

Комбинированный или комплексный мониторинг - это мониторинг одновременно "со всех сторон", - какие бизнес-операции выполняет сотрудник, с какой интенсивностью он работает, какие приложения использует и т.п.

Архитектура системы комплексного мониторинга показана на рисунке 1 (См. Приложения).

Комплексный Мониторинг включает в себя:

Мониторинг решаемых задач (слабый контроль):

Мониторинг используемых средств (средний контроль):

Большой Брат (сильный контроль):

I. Мониторинг решаемых задач включает в себя:

1. Мониторинг Типовых Операций:

Пример: проводка платежного поручения, прием товара на склад.

Ручное и автоматическое "фотографирование".

Нормируется интенсивность работы с компьютером при выполнении типовых операций.

Применимо только для Исполнителей.

2. Мониторинг Видов Активности:

Пример: выполнение должностных обязанностей, перерыв, совещание.

Только ручное "фотографирование".

Нормируется доля рабочего времени, приходящаяся на конкретный вид активности.

Применимо для Исполнителей и Специалистов.

3. Мониторинг Проектов и SMART-задач:

Пример: выполнение работ по Договору № …, изучение методики ProLAN.

Только ручное "фотографирование".

Нормируется длительность (срок выполнения) проекта или SMART-задачи.

Применимо для Исполнителей и Специалистов.

II. Мониторинг используемых средств включает в себя:

1. Мониторинг используемых приложений:

Пример: Web-браузер, MS Word, 1С: Предприятие, ICQ.

Автоматическое определение названия выполняемого процесса и замена его привычным названием приложения.

Автоматическое определение названия активного окна выполняемого приложения.

Нормируется (устанавливается) перечень разрешенных приложений.

Применимо для Исполнителей и Специалистов.

2. Мониторинг интенсивности работы с компьютером:

Автоматическое определение интенсивности работы пользователя с клавиатурой и мышью компьютера (нажатий в минуту).

Применимо только для Исполнителей.

III. Большой Брат включает в себя:

1. Видеонаблюдение:

Автоматическая передача изображения и звука с подключенных к сети IP-камер.

"Привязка" IP-камер к компьютерам пользователей, расположенных в зоне их видимости.

2. Удаленное управление компьютерами:

Различные режимы отображения экранов удаленных компьютеров (1:1, 1:4, 1:9).

Автоматическое управление клавиатурой и мышью удаленного компьютера.

Автоматическое включение и выключение удаленного компьютера.

Автоматическое создание снимков экрана удаленного компьютера.

3. Интеграция с анализатором протоколов:

Автоматическая установка фильтров для захвата сетевого трафика.

Автоматический захват сетевого трафика выбранного компьютера^[13].

2.4Аномалии сетевого трафика

Аномалиями сетевого трафика называются любые отклонения показателей сети от заранее зафиксированных в качестве эталонных.

Следует отметить и такое определение. Под термином аномалия трафика будем понимать, на определенном временном интервале, внезапные положительные или негативные изменения в потоке трафика^[14].

Классическим примером показателей могут быть отнесены коэффициент загрузки, типичный размер пакета, среднее число фрагментированных пакетов и т. п. Любое отклонение может характеризировать как атаки, например, отказ в обслуживании, так и просто проблемы в сети, вызванные сбоями в сетевом оборудовании.

Подозрительный трафик может быть инициирован по самым разным причинам, причем не только злоумышленниками извне, но и собственным персоналом или отказом оборудования, или его неверными настройками. К сожалению, в последнее время участились случаи взлома со стороны легально зарегистрированных клиентов (юридических и даже физических лиц). Для многих систем защиты основные параметры такого клиента (абонента) являются легитимными, что усложняет методы борьбы с ними. Из-за грубых ошибок персонала оператора, чаще не преднамеренных, например, при выборе и/или настройках тарифных планов), в системе так же может появиться аномальный трафик.