Nätverkstrafikövervakare fungerar genom att fånga och analysera nätverkspaket när de passerar genom ett nätverkssegment. De uppnår detta med hjälp av olika metoder, och detaljerna beror på typen av monitor och dess distribution. Här är en uppdelning av de vanliga teknikerna:
1. Packet Capture (sniffning):
* Promiskuous Mode: De flesta bildskärmar fungerar i "promiskuous mode" i ett nätverksgränssnitt. Detta innebär att gränssnittet tar emot * alla * paket i nätverkssegmentet, inte bara de som riktas till det. Detta är avgörande för att fånga all trafik, även mellan andra enheter.
* kranar: För högpresterande övervakning eller situationer där monitorns närvaro inte bör påverka nätverksprestanda används ofta nätverkskranar. Det här är fysiska hårdvaruenheter som skapar en kopia av nätverkstrafiken och skickar den till monitorn utan att påverka den primära nätverksvägen. Detta är särskilt viktigt i miljöer med hög bandbredd.
* spännande/portspegling (switchar): Många hanterade switchar stöder spännande eller portspegling. Detta gör att omkopplaren kan kopiera trafik från en specifik port (eller grupp av portar) till en utsedd övervakningsport. Monitorn är sedan ansluten till denna speglingport. Detta är en mindre påträngande metod än en kran.
2. Paketanalys:
När paketen har fångats analyserar monitorn sina rubriker och nyttolaster. Denna analys ger information som:
* Käll- och destinationens IP -adresser: Identifierar kommunikationsenheterna.
* Källa och destinationsportar: Identifierar de applikationer eller tjänster som är involverade (t.ex. HTTP, SMTP, DNS).
* protokoll: Bestämmer kommunikationsprotokollet (t.ex. TCP, UDP, ICMP).
* paketstorlek: Anger mängden data som sänds i varje paket.
* timestamp: Poster när varje paket fångades.
* nyttolast (valfritt): Beroende på monitorns konfigurations- och säkerhetsinställningar kan monitorn analysera data i själva paketet. Detta är ofta begränsat på grund av prestationer och integritetsproblem.
3. Databehandling och presentation:
Efter analys bearbetar monitorn data och presenterar dem på olika sätt:
* realtidsgrafer: Visuella representationer av nätverkstrafikmönster över tid.
* tabeller: Detaljerade listor över nätverksaktivitet med olika mätvärden.
* varningar: Meddelanden när trafikmönstren överskrider fördefinierade trösklar (t.ex. användning av hög bandbredd, ovanlig aktivitet).
* Rapporter: Sammanfattande data för analys och identifiering av trend.
* Protokollavkodning: Vissa monitorer kan avkoda specifika protokoll för att ge mer insiktsfull information, vilket avslöjar innehållet i webbförfrågningar, e -postmeddelanden etc. (det är dock viktigt att vara medveten om integritetskonsekvenser här.)
Typer av nätverkstrafikmonitorer:
* Programvarubaserade monitorer: Kör på en dator och kräva ett nätverksgränssnittskort för att fånga paket.
* Hårdvarubaserade bildskärmar: Dedikerade apparater med kraftfulla behandlingsfunktioner, ofta används för övervakning av nätverk med hög volym.
* Nätverksintrångsdetektering/förebyggande system (IDS/IPS): Även om de främst är inriktade på säkerhet, övervakar dessa system också nätverkstrafik och kan identifiera skadliga aktiviteter.
I huvudsak fungerar en nätverkstrafikmonitor som en mycket sofistikerad "sniffer" som fångar, analyserar och presenterar nätverkstrafikdata på ett sätt som är lätt att förstå och använda för felsökning, prestationsoptimering och säkerhetsanalys. Komplexiteten och kapaciteten för dessa bildskärmar varierar mycket beroende på deras avsedda användning och målmiljö.
