После этого, вертикальная стрелка выбора точки времени разделится надвое.
Ваш роутер шлет записи netflow на одну из ваших машин, и на этой машине уже запущен NfSen для сбора данных. Если вы работаете в парах, то вы должны указать в броузере ту машину, которая работает коллектором.
http://pcX.ws.nsrc.org/nfsen/nfsen.php
В начале нам нужно создать кое-какой трафик, проходящий через ваш роутер. Залогиньтесь на любую из ваших машин (это не обязательно машина, на которой работает NfSen) и выполните следующие команды:
$ cd /tmp
$ wget http://noc.ws.nsrc.org/downloads/BigFile
$ rm BigFileПройдет около 5 минут прежде чем трафик, созданный этими командами, появится как пик на графике в NfSen.
Теперь давайте используем NfSen для изучения потоков трафика в сети, с целью обнаружить, кто скачивал больше всех. Смотрите внимательно на вывод команд на каждом шаге - попросите преподавателя помочь, если вы не понимаете того, что вы видите.
Главная страница NfSen показывает матрицу графиков: потоки в секунду слева, пакеты в секунду в середине, биты в секунду справа. Нажмите на график справа вверху (биты в секунду, график за день) для того чтобы перейти на страницу детальной информации.
Поменяйте "Single Timeslot" на "Time Window":
После этого, вертикальная стрелка выбора точки времени разделится надвое.
Потяните левую половинку стрелки налево, а правую направо. Таким образом вы можете выбрать интересующий вас период времени. Тогда вы должны увидеть, в таблице под графиком, статистическую сводку для выбранного периода времени:
Сводка
Выберите "List Flows", убедитесь, что ни один из флажков "Aggregate" не отмечен, и нажмите "process". Это покажет потоки в начале выбранного интервала времени.
Список потоков
Увеличьте предел с 20 потоков до 100 потоков. Обратите внимание, что большая часть трафика в сети состоит из большого количества очень маленьких потоков - например, запрос/ответ DNS создаст два потока, один от клиента к DNS серверу, и второй в обратном направлении.
Выбрав "bi-directional", вы скажете NfSen "схлопывать" потоки "туда" и "обратно" в одну строку:
Двунаправленные потоки
Тем не менее, просмотр большого количества потоков в поисках интересного трафика довольно скучно. Перед тем как продолжить, очистите флажок "Bi-directional".
Если нам известно, какой хост мы хотим исследовать, мы можем применить фильтр для показа только потоков, имеющих отношение к этому хосту. Для этого введите "host 10.10.X.Y" в поле для фильтра, и снова нажмите "process". (замените 10.10.X.Y на адрес одной из ваших машин)
Потоки в/с одного хоста
Уже лучше, но нам все равно нужно просматривать слишком много небольших потоков для поиска чего-нибудь интересного. Нам нужно воспользоваться другим подходом.
Следующим пунктом мы можем сказать NfSen сортировать потоки по количеству байт. Уберите фильтры поля для фильтров; выберите "Stat TopN", "Stat:" -> "Flow Records", "order by" -> "Bytes". Убедитесь, что все агреграторы по-прежнему не отмечены, и нажмите "process".
Найти наибольшие потоки
Вывод: наибольшие потоки
Это уже намного лучше, так как потоки с наибольшим количеством байт показываются в первую очередь. Однако, проблема остается - мы по-прежнему видим индивидуальные потоки. Возможна ситуация, при которой большое количество небольших потоков к одному хосту создадут большой трафик, а мы не будем видеть их вверху нашего списка.
Что мы хотели бы увидеть, так это одну строчку на каждый хост в сети, показывающую общий трафик, доставленный хосту.
Для этого, "Stat:" -> "DST IP Address", "order by" -> "bytes".
Группировка потоков по приходящему IP адресу
Теперь мы получили нечто, выглядящее гораздо более похожим на то, чего мы хотим: одна строчка для каждого IP получателся, и они отсортированы по суммарным байтам, в убывающем порядке.
У нас все еще осталась одна проблема - можете ли вы сказать, какая? Мы видим смесь входящих (адрес получателя в нашей сети) и исходящих (адрес получателся на интернете) потоков. Нам интересны только входящие потоки, поэтому задайте фильтр, который показывает только трафик в групповую сеть: dst net 10.10.X.0/24 (заменяя X на номер группы).
Потоки в локальную сеть, группированные по приходящему IP адресу
Вывод: Потоки в локальную сеть, группированные по приходящему IP адресу
Наконец-то мы получили, что хотели. Первая запись покажет нам локальную машину, которая скачала больше всего данных в выбранный период времени.
Вопрос: какие изменения вам потребуется сделать, чтобы получить список машин в вашей сети, которые больше всего закачивали в Интернет?
Теперь, когда мы знаем, какая машина скачала больше всего данных, нам может захотеться узнать, откуда она их качала.
Давайте начнем с просмотра самых больших потоков для этого хоста. Поменяйте филтр на dst host 10.10.X.Y (только что найденный IP адрес). Затем выберите "Stat:" -> "Flow Records", "order by" -> "bytes", и "process".
Наибольшие потоки на один хост
Вы должны увидеть входящие потоки для этой машины, начиная с самого большого. Как и раньше, мы видим только большие индивидуальные потоки, тогда как набор маленьких потоков может суммарно составлять больший трафик.
Поскольку мы рассматриваем только потоки к одному конкретному IP, мы можем сгруппировать эти записи по исходящему IP.
Потоки на один хост, сгруппированные по исходящему IP адресу
Вывод: Потоки на один хост, сгруппированные по исходящему IP адресу
Теперь у нас есть одна строка для каждого адреса с которого наша машина скачивала данные, с суммарным количеством скачанных байт для каждого исходящего адреса, от большего к меньшему.
Нажав на IP адрес, мы получим информацию из обратного DNS и из whois.
Информация whois
NfSen предлагает и другие методы для получения сводок о потоках, используя флажки Aggregate. В этом примере мы снова рассмотрим трафик, приходящий в нашу сеть.
Когда вы отметите один или несколько флажков Aggregate, NfSen скомбинирует все потоки, которые имеют одинаковые значения выбранных атрибутов.
Для начала, установите фильтр в dst net 10.10.X.0/24 (X = ваша группа). Выберите "Stat TopN", "Stat:" -> "Flow Records", "order by" -> "bytes". Затем попробуйте следующие агрегаторы, не забывая нажимать "process" после каждого.
Отметьте "proto". Вы получите одну строчку для TCP, одну для UDP, и одну для ICMP, показывающие общий трафик для каждого протокола. Иногда вы увидите и другие протоколы, активные в вашей сети (например, протокол 50 = IPSEC ESP; в Linux, файл /etc/protocols перечисляет все протоколы)
Отметьте и "proto" и "srcPort". Это скажет NfSen скомбинировать потоки, имеющие одинаковые протокол и исходящий порт. В зависимости от сетевой активности, вы увидите одну строчку для TCP порта 80, другую для TCP порта 443, третью для UDP порта 53, и так далее.
Отметьте только "srcIP". Вы получите одну строчку для каждого отдельного исходящего IP - точно так же, как если бы вы выбрали "Stat SRC IP".
Отметьте "srcIP" и "dstIP". Вы получите отдельную строку для каждой пары "исходящий IP"/"входящий IP", с общим трафиком между этими точками.
Как вы поменяете фильтр для того, чтобы смотреть на исходящий трафик, а не на входящий трафик?
Если у вас есть роутер с полной таблицей BGP, вы можете агрегировать записи потоков по номеру AS. Это поможет найти, с какими сетями вы обмениваетесь трафиком больше всего.