Du beskriver en kombination av verktyg som används för att samla in och analysera nätverkstrafikdata och syftar till att identifiera potentiella avvikelser. Låt oss bryta ner varje verktyg och dess roll:
1. MRTG (Multi Router Traffic Grapher):
* Syfte: MRTG är ett allmänt använt verktyg för att övervaka nätverkstrafik och presentera det i ett grafiskt format.
* Funktionalitet:
* Samlar in gränssnittsstatistik (bandbreddanvändning, trafikvolym etc.) från nätverksenheter som routrar och switchar.
* Genererar dynamiska webbsidor med grafer som visar trafiktrender över tid.
* Hjälper till att identifiera allmänna trafikmönster och potentiella flaskhalsar.
2. ntop:
* Syfte: NTOP är ett kraftfullt nätverkstrafikanalysverktyg som ger en realtidsvy av nätverksaktivitet.
* Funktionalitet:
* Fångar och analyserar nätverkspaket.
* Ger detaljerad information om enskilda anslutningar, inklusive IP -adresser, protokoll och applikationstyper.
* Genererar visualiseringar som flödeskartor, topptalare och trafikdistribution.
* Erbjuder filtrerings- och sökfunktioner för att identifiera specifika trafikmönster.
3. SNMP (Simple Network Management Protocol):
* Syfte: SNMP är ett protokoll som används för att hantera och övervaka nätverksenheter. Det är en grundteknik för nätverksövervakningsverktyg.
* Funktionalitet:
* Tillåter verktyg som MRTG till Query Network -enheter (routrar, switchar) för prestanda och konfigurationsinformation.
* Ger ett standardiserat sätt att samla in data från olika nätverksenheter.
4. SNMPD (SNMP Daemon):
* Syfte: SNMPD är programvaran som körs på nätverksenheter som hanterar SNMP -förfrågningar. Det tillhandahåller gränssnittet för andra verktyg för att fråga och hantera enheten.
* Funktionalitet:
* Lyssnar för och svarar på SNMP -frågor.
* Hanterar MIB (Management Information Base) som lagrar enhetens konfigurations- och prestandadata.
5. snmpget:
* Syfte: SNMPGET är ett kommandoradsverktyg som används för att hämta specifika data från enheter som hanteras av SNMP.
* Funktionalitet:
* Skickar förfrågningar till SNMPD på en målenhet.
* Tar emot och visar de begärda uppgifterna.
6. snmpwalk:
* Syfte: SNMPWALK är en annan kommandoradsverktyg som gör att du kan utforska den kompletta MIB för en SNMP-hanterad enhet.
* Funktionalitet:
* Hämtar alla tillgängliga data via SNMP från enheten.
* Hjälper dig att förstå enhetens funktioner och upptäcka tillgängliga datapunkter.
Identifiera trafikpaketavvikelser
Genom att kombinera dessa verktyg kan du effektivt övervaka nätverkstrafik och identifiera potentiella avvikelser:
1. Datainsamling:
* MRTG samlar in gränssnittsstatistik från dina routrar och switchar med SNMP.
* ntop fångar nätverkspaket för realtidsanalys.
2. Visualisering och analys:
* MRTG presenterar trafiktrender grafiskt och markerar potentiella flaskhalsar eller ovanliga användningsmönster.
* ntop erbjuder omfattande visualiseringar, så att du kan:
* Identifiera källor med hög trafikvolym.
* Analysera protokollfördelning och användningsanvändning.
* Borra ner i enskilda anslutningar för detaljer.
* Upptäck misstänkta trafikmönster baserade på protokoll, IP -adresser eller portanvändning.
3. Anomaly Detection:
* MRTG -grafer kan varna dig för plötsliga trafikspikar eller droppar som kan indikera ett problem.
* ntops filtrerings- och sökfunktioner hjälper dig att identifiera specifika trafikmönster som kan vara avvikande, till exempel:
* Ovanliga käll- eller destinationens IP -adresser.
* Hög trafikvolym från en specifik värd.
* Anslutningar med ovanliga portar.
* Oväntade trafikmönster baserade på tid på dagen eller veckodagen.
Exempel på arbetsflödet
1. Konfigurera SNMP på routrar/switchar: Se till att SNMPD -demonen körs och konfigureras för att tillåta datainsamling av MRTG och NTOP.
2. Konfigurera MRTG: Definiera de övervakade enheterna, gränssnittsstatistiken och önskade grafinställningar.
3. Run ntop: Ställ in NTOP för att fånga och analysera nätverkstrafik.
4. Övervaka och analysera: Granska regelbundet MRTG -grafer och NTOP -visualiseringar för ovanliga trafikmönster.
5. Undersök avvikelser: Använd NTOP:s filtrerings- och sökfunktioner för att borra ner i misstänkta trafikmönster.
6. Vidta åtgärder: Baserat på din analys kan du behöva undersöka ytterligare, implementera säkerhetsåtgärder eller justera nätverkskonfigurationer för att hantera identifierade avvikelser.
Ytterligare överväganden:
* Säkerhet: Säkra din SNMP -konfiguration för att förhindra obehörig åtkomst till dina nätverksenheter.
* Prestanda: Se till att din nätverksinfrastruktur kan hantera belastningen att fånga och analysera trafikdata.
* varning: Ställ in varningar för att meddela dig om potentiella avvikelser.
* Dokumentation: Håll detaljerad dokumentation av din nätverkskonfiguration, trafikmönster och anomalimidentifieringsprocesser.
Kom ihåg att detta är en allmän översikt. Den specifika konfigurationen och användningen av dessa verktyg beror på din nätverksmiljö och specifika övervakningsmål.
