ULAKNET Trafik Analizleri Alperen ŞİRİN (ULAKBİM) sirin@ulakbim.gov.tr
Sunum İçeriği Senaryo nfdump kullanımı İstatistikler Örnek grafikler Siz de trafik izi analizi yapmak istiyorsanız?
ULAKNET Topolojisi
Senaryo Omurga yönlendiricilerinden trafik izinin(flow) tutulduğu makineye trafik izi gönderilir. Trafik izi makinesine gelen trafik izi paketleri, analizin yapılacağı makineye replike edilir.
Senaryo Trafik izi analiz edilir ve istatistikler veritabanına girilir. Veritabanındaki istatistikler uygun sorgularla grafiklere dönüştürülür ve web arayüzünde gösterilir.
Senaryo
Analiz Detayları Trafik izi(flow) analizi için nfdump kullanıldı. İstatistikler yarım saatlik periyodlarla veritabanına girildi. Zaman sorunu yüzünden işlenicek trafik izi RAM'e aktarıldı.
nfdump Geant projesi kapsamında geliştirilen performansı yüksek, güçlü bir araç. nfsen ile birlikte kullanımı daha kolay. Kullanım şekli: nfdump [options] [filter] Komut satırından kullanırken önemli opsiyonlar: -A aggregation -n num -s statistics[:p][/orderby] -o format -I
-A aggregation Belirtilen nitelikleri aynı olan trafik izini birleştiriyor. Örnek kullanımlar: -A dstip4/16 -A srcip4/24,proto -A inif/dstas nfsen'le sadece kaynak/hedef port/ip/ağ ve protokole göre birleştirme yapılabilirken komut satırından kullanıldığında çok daha fazla seçenek mevcut.
-n num -s statistics[:p][/orderby] İlk num istatistiği görmek için kullanılıyor. Örnek kullanımlar: -n 50 -s srcip/packets -n 15 -s inif/flows/packets nfsen arayüzünde Stat TopN olarak yer alıyor. nfsen arayüzünden de gayet detaylı kullanılabiliyor.
-o format Çıktı formatını belirlemek için kullanılıyor. Örnek kullanımlar: -o fmt:%sap->%dap %in %out -o extended -o fmt:%sa %da %sp %dp %sas %das nfsen'de output formatı olarak line, long, extended seçebiliyoruz veya custom seçerek kendi formatımızı giriyoruz.
-I Verilen dosyayla ilgili istatistikleri basar. Filtrelerle çalışmıyor. nfdump -r./flow -I src ip 3.4.5.6, bu şekilde kullandığımız zaman filtre bir anlam ifade etmiyor.
-I Opsiyonu Çıktısı Ident: somerouter Flows: 3152727 Flows_tcp: 2635020 Flows_udp: 393261 Flows_icmp: 9648 Flows_other: 114798 Packets: 30150713......
İstatistiklerin Veritabanına Girilmesi nfdump'ın veritabanına basma gibi bir özelliği olmadığından, çıktıları perl ile işledikten sonra istatistikler veritabanına girildi. nfexpire belli bir zaman aralığındaki flowları tutmak için kullanışlı bir araç. nfdump ile gelen araç paketinin içinde bulunuyor.
İstatistikler İçin Gerekenler Her ucun kendi ağından dışarı çıktığı omurga yönlendiricisi Omurga yönlendiricilerinin her uca bakan arayüz id'leri Her uca verilen IP aralığı/aralıkları
İnternet Kullanım İstatistikleri
İstatistikler Uçlara göre internet çıkış istatistikleri -A dstip4/24 -N -q -o "fmt:%da %pkt %byt " "in if 1234" Hedef IP'lere göre internet çıkış istatistikleri -n 100 -s dstip/packets -N -q "in if 1234" Kaynak ve hedef portlara göre internet çıkış istatistikleri -n 10 -s srcport/packets -N -q "in if 1234"
İstatistikler Port 80 trafiğine göre internet çıkış istatistikleri -n 10 -s srcip/packets -N -q "in if 1234 and src port 80" Kaynağı değiştirilmiş(aldatıcı, spoofed) trafik istatistikleri -f./filtre -A inif -N -q -o "fmt:%in %pkt %byt " AS numaralarına göre internet çıkış istatistikleri -n 10 -s dstas/packets -N -q "out if 1234"
İstatistikler Detaylı uç trafiği istatistikleri, herhangi bir uç seçildiğinde; Ulaknet içi trafiği Hangi uca ne kadar gidiyor? Ulaknet dışı trafiği Hangi AS'e ne kadar gidiyor?
Örnek Grafikler En çok trafik çeken uçlar:
Örnek Grafikler En çok paket çeken hedef portlar:
Örnek Grafikler En çok trafik çeken IP'ler:
Örnek Grafikler En çok web trafiği çekilen IP'ler:
Örnek Grafikler En çok web trafiği çekilen AS'ler:
Uçlar İçin Trafik İzi Analizi Trafik izi tutulmalı Ağınız hakkındaki temel bilgiler veritabanında tutulmalı Alt ağların bağlı olduğu arayüz numaraları Alt ağların adres aralıkları Tercihen istatistik otomasyonu şeklinde ya da en azından elle trafik izinin analizi şeklinde ağın genel karakterinden haberdar olunmalı.
Teşekkürler Sorular?