兄弟,我没流 不仅是在您当地的嘻哈音乐之夜听到的。

这是许多网络管理员的苦恼,他们继承了小型环境,具有低端设备的网络,或者正忙于处理时间敏感问题并需要深入研究的人。

NetFlow是第3层协议 随着时间的流逝,管理员可以查看产生了多少流量,由谁来进行以及流量往何处去。但是,在典型的部署中,如果您有一个收集器从第3层交换机和防火墙等设备中提取数据,则所有设备都需要支持NetFlow(或它的亲戚之一,如sFlow或IPFIX)来获取数据。

如果您要用足够的资金从头开始设计网络,那么相对容易地确保您可以捕获来自关键设备的流量。

但是,也许直到最近才讨论了这一目标。或者拥有钱包的权力拒绝将具有10年历史的交换机升级为更现代的产品。

您如何仍能回答以下问题:

  1. 网络上的所有流量都在哪里发生?谁在生成?去哪儿了
  2. 我们一直在网络上遇到间歇性的连接和性能问题。是什么原因造成的?

好消息是,即使没有NetFlow,您仍然可以获得这些问题的答案。而且,您可以使用可能已经在军械库中获得的协议或工具轻松获得它们。

在信封流过网络时对其进行跟踪

跟踪信封网络流量

照片:Shutterstock

首先启用SNMP

简单网络管理协议(SNMP) 是基于标准的协议,可在绝大多数网络设备中使用。供应商通常通过称为管理信息库(或MIB)的“百科全书”公开通用和特定于应用程序的指标。 MIB可以加载到网络管理解决方案中,该解决方案会定期轮询感兴趣的指标。

在以下情况下,标准的SNMP监视可以提供大量有价值的信息:

  • 您可以自定义工具以获取感兴趣的特定指标,然后手动定义警报条件和工作流程以获取关注,或者
  • 您使用的产品会自动完成繁重的基于SNMP的发现和数据收集,并根据最佳实践预先配置了许多警报。

SNMP在网络设备中的核心优势在于,它可以有效地捕获三种不同的数据类型:生物数据,计数器和表格。让我们花一些时间在后两者上。

SNMP计数器

还记得小时候玩战舰吗?每次碰到对手的船只时,都将其标记为红色,而不是标准的白色。那是一个柜台。

战舰游戏标记

你击沉了我的战舰! /图片: 德里克·加维(Derek Gavey) 在Flickr上

同样,在网络管理的非常相关的领域中,计数器用于跟踪指标,例如字节进出 包错误和丢弃计数,按类型(例如广播, 多播,或单播)等等。

SNMP表

SNMP允许定期轮询ARP,MAC地址和无线客户端等常用表。密切注意这些关键设备。知道每个的上限以及正常可接受的范围。由于设备增长或网络问题而导致这些最大值无法使用会导致中断。

深入研究可让您确定根本原因并更快地解决它,例如,通过升级交换机或隔离引起风暴的端点。

也使用端点公开的数据

一些端点支持SNMP(在Windows世界中为WMI),因此可以从员工工作站的角度公开数据。能够从端点和交换机(以及其接口,可能会重新广播该流量)的角度比较诸如广播数据包峰值之类的指标,以发现一个 反射攻击, 例如。

某些网络管理产品具有故障排除视图,可以向您显示指定的历史时间范围内的相关事件。

打开信封并检查有效载荷

在交换机上镜像端口

交换机通常包含称为端口镜像的功能。它使您可以在一个端口上发送和接收所有数据包,并在另一个端口上进行镜像。例如,您可以将服务器连接的端口上的数据包镜像到连接了嗅探器设备的另一个端口。

当您要观察来自被调查设备的数据包流而不直接与其交互时,通常使用镜像。数据是被动收集的。

一些交换机还支持跨接,即有效地将整个VLAN镜像到端口以进行数据包捕获和分析。

留意模式和奇怪之处

技术公司的Tony Fortunato有一个 很棒的视频 他如何看待客户端网络上1,000个捕获的数据包,以推断网络问题以及跨端点,打印机等外围设备和交换机等网络设备的潜在配置增强。


利用诸如协议层次结构统计信息和端点报告之类的Wireshark视图来确定您的高层对话者正在使用哪些协议。如果工作站正在发送和接收大量IRC,BitTorrent,新闻组或FTP流量,则您可能想敲打客户CIO的门,并显示您的发现。

劳拉·查佩尔 表演 如何使用Wireshark识别不符合已知协议和端口分配的数据包。例如,在诸如TCP或UDP之类的传输协议下看到流量被归类为“数据”是一个明显的提示,应该进行一些进一步的研究。

甚至还有寻找的模式 识别僵尸网络。例如,将相同的数据包流发送到一组顺序的IP是高度可疑的。

您可以应用类似的技术来确定广播风暴的来源,例如流氓DHCP服务器在网络上造成严重破坏并触发拒绝服务。

整理内容并进一步阅读

NetFlow非常适合获得 可见度更高 在第3层及以后的层中,但并不是每个人都有使用它的奢侈之处。值得庆幸的是,有各种工具可用于大型和小型网络,并且价格在500到5,000美元之间。

这些工具(例如SNMP和Wireshark)可以帮助您确定特定的关注领域,这些领域以后可能会演变成更大的危机。当您从网络管理系统或客户电话获得初步通知时,它们还可以帮助您更快地找到根本原因。

特别是对于Wireshark,有很多很棒的资源。您甚至可以下载 特定协议的样本数据包捕获分析恶意软件/僵尸网络感染.

挖开心!