Escolar Documentos
Profissional Documentos
Cultura Documentos
Monitoramento de Redes
• Pode ser dividido em dois tipos:
▫ baseado em análise de pacotes
tcpdump
wireshark
▫ baseado em fluxos de tráfego
NetFlow
Protocolo proprietário definido pela Cisco Systems.
IPFIX (Internet Protocol Flow Information eXport)
Padrão originado do NetFlow, definido pelo IETF.
sFlow
alternativa para o monitoramento baseado em ambientes de volume de
tráfego extremamente altos.
Monitoramento baseado em fluxos
• Fluxos
▫ Agrupamento de tráfego de rede em sessões de transmissão unidirecional entre uma
origem e um destino.
▫ 1 fluxo
▫ É um resumo de vários pacotes de rede.
▫ Servem para analisar os pacotes que estão saindo da rede.
▫ Histórico do que passa pela rede.
O conteúdo dos pacotes não ficam guardados, mas sabe-se que a conexão existiu.
▫ São gerados em sensores que os encaminham de forma agrupada aos coletores onde são
armazenados e analisados por meio de relatórios.
Monitoramento baseado em fluxos
• Fluxos
▫ Também chamados de fluxos de tráfego ou fluxo de dados são conjuntos de tráfego de
redes que possuem atributos comuns.
▫ É definido como uma combinação de 7 campos:
IP origem e destino
Porta origem e destino
Protocolo IP
Tipo de serviço (ToS)
Interface de entrada
Monitoramento baseado em fluxos
• A arquitetura para o monitoramento destes diversos tipos de fluxos
pode ser composta por:
▫ Sensores
Switch, roteador ou firewall
Capturaram os pacotes dos tráfegos do segmento da rede.
Identificam os fluxos através do rastreamento das conexões.
Exportam um agrupamento de fluxos a outro dispositivo -> coletor
▫ Coletores
Recebem os agrupamentos de fluxos dos sensores.
Armazenam de forma persistente esses dados, geralmente em discos físicos.
▫ Geradores de relatórios
Devem entender o formato dos arquivos gerados pelo coletor.
Geram relatórios que auxiliam a gestão dos recursos da rede.
Monitoramento baseado em fluxos
• Pode ser usado para:
▫ monitoramento da rede
visualização de padrões de tráfego associados a dispositivos individuais da
rede.
▫ monitoramento de aplicativos
visão detalhada e baseada no tempo de uso de banda por aplicação na
rede.
▫ monitoramento de usuários
compreensão detalhada de como os usuários consomem recursos de rede.
▫ planejamento da capacidade da rede
valida a largura de banda e qualidade de serviço (QoS), permitindo a
análise de novas aplicações na rede.
Monitoramento baseado em fluxos
• Pode ser usado para: (continuação)
▫ análise de segurança
possibilita a identificação e classificação de ataques distribuídos de negação de
serviço (DDoS), vírus e worms, em um limiar próximo ao tempo real.
▫ registros para contabilização e/ou faturamento
o fluxo de dados inclui detalhes como: endereços IP dos pacotes, contagem de
bytes, timestamps, tipo de serviço, portas dos aplicativos, dentre outros,
permitindo a contabilização flexível e detalhada da utilização de recursos.
▫ classificação do tráfego
fluxos podem ser utilizados como insumos em um processo de mineração de
dados para a descoberta de padrões de classificação para encontrar quais as
aplicações e serviços estão sendo usados por usuários e como orientá-los na
melhoria dos serviços.
Monitoramento baseado em fluxos
• Exemplo de informações que podem ser consolidadas em fluxos:
▫ tráfego entre os clientes e os aplicativos fornecidos em um Data
Center;
▫ trocas de informações sobre tráfego malicioso;
▫ tráfego de dados entre roteadores de borda BGP;
▫ tráfego de dados entre matriz e filiais, e matriz e escritórios remotos.
NetFlow
• Introduzido em roteadores Cisco.
• Roteadores e switches que suportam
NetFlow coletam características e
informações sobre o tráfego de redes
IP, tanto na saída quanto na entrada de
uma interface.
▫ Após, exportam essas estatísticas como
registros NetFlow para pelo menos um
coletor NetFlow - normalmente um servidor
que faz a análise de tráfego real.
NetFlow
Exemplo de fluxo
• Possui 2 componentes
• Agente
switches, roteadores, access-points que coletam as informações
dos pacotes transmitidos e encaminham as amostras.
• Coletor
aplicação que analisa o tráfego sFlow recebido.
• Técnicas de amostragem
• estatística
baseado na amostra de pacotes, usado para obter informações do conteúdo do pacote.
• de contadores
baseado na amostra de tempo, usado para obter estatísticas de interfaces.
sFlow
• Vantagens
• Saber a tendência da rede.
• Gera muito menos tráfego, comparado ao NetFlow.
• Controle de congestionamento
Destaca instantaneamente os links congestionados, identificando a fonte deste tráfego.
Auxilia na tomada de medidas preventivas para superar o congestionamento inesperado.
▫ Segurança
Devido a vigilância constante em toda a rede, ameaças e ataques com origem interna ou externa
podem ser rapidamente rastreados e controlados.
▫ Contabilização e faturamento por utilização
Também podem ser utilizados para apresentar ao cliente um detalhamento de seu tráfego total,
destacando os usuários e aplicações que mais consumiram.