Опубликован: 10.10.2007 | Уровень: специалист | Доступ: платный
Лекция 10:

Сетевая диагностика с помощью SNMP и ICMP

< Лекция 9 || Лекция 10: 123 || Лекция 11 >

Для защищенных систем доступ к snmp -резиденту в пакетах должно использоваться поле community, равное паролю. Но даже эта мера не может блокировать вторжение со стороны LAN, так как в результате перехвата snmp -пакетов пароль может быть открыт. По этой причине лучше ориентироваться на версию SNMPv3, если она поддерживается вашим оборудованием и программами. При написании программ нужно учитывать версии MIB, используемые анализируемыми узлами. Рассмотрим, как варьируются некоторые из перечисленных переменных в течение суток и недели. На рис. 10.2 видны спады сетевой активности в ночное время и в выходные дни. Левый край диаграммы соответствует понедельнику 9 сентября (ночь), правый — понедельнику, но уже следующей недели. На рис. 10.3 приведена диаграмма вариации некоторых переменных за сутки. Сетевая активность охватывает период с 10 часов утра и спадает почти до нуля к 9-10 вечера, хотя бывают и исключения. Для эффективной интерпретации временных зависимостей можно использовать программу мониторинга last (или любой ее эквивалент), которая позволяет отслеживать появление новых пользователей или процессов (например, ftp). Небольшой фрагмент распечатки, выданной программой last на ЭВМ, snmp -резидентом которой пользовалась наша программа, приведен ниже.

ms977     pts/0   vitep5.itep.ru    tue sep 10 23:49 - 00:16 (00:27)
ms977     pts/2   vitep5.itep.ru    tue sep 10 22:20 - 23:46 (01:26)
ostrouh   pts/0   athene.itep.ru    tue sep 10 18:30 - 18:43 (00:13)
titovich  pts/0   athene.itep.ru    tue sep 10 18:30 - 18:30 (00:00)
vita      pts/3   athene.itep.ru    tue sep 10 14:55 - 15:56 (01:00)
checho    pts/12  itep05.itep.ru    tue sep 10 13:35 - 13:37 (00:01)
fomin     pts/10  hydra.ifh.de      tue sep 10 13:16 - 13:22 (00:06)
checho    pts/7   itep05.itep.ru    tue sep 10 13:09 13:16 (00:07)
illarion  pts/7   xt07.itep.ru      tue sep 10 12:45 12:45 (00:00)
vita      pts/9   athene.itep.ru    tue sep 10 11:55 13:03 (01:07)
bely      pts/12  pcx01.itep.ru     tue sep 10 11:49 12:02 (00:13)
vita      pts/13  athene.itep.ru    tue sep 10 11:49 11:52 (00:03)
ozero     pts/5   itep05.itep.ru    mon sep 09 18:05 18:32 (00:27)
olyalin   pts/6   itep05.itep.ru    mon sep 09 16:19 16:27 (00:08)
efre      ftp     pcx10.itep.ru     mon sep 09 16:14 16:15 (00:00)
mara      pts/1   hpl3pur2.cern.ch  mon sep 09 16:02 16:27 (00:24)
mara      pts/1   hpl3pur2.cern.ch  mon sep 09 15:50 15:54 (00:04)
itep977   pts/2   1mars.itep.ru     mon sep 09 15:22 15:23 (00:00)
ozero     pts/20  aix0.itep.ru      mon sep 09 15:06 15:36 (00:29)
ozero     pts/12  itep05.itep.ru    mon sep 09 14:56 14:56 (00:00)
galy      pts/16  athene.itep.ru    mon sep 09 14:27 14:31 (00:03)
bely      pts/15  vitep5.itep.ru    mon sep 09 14:09 10:36 (20:27)
sed       pts/5   pcx11.itep.ru     mon sep 09 14:01 14:01 (00:00)
kisel     pts/1   vxitep.itep.ru    mon sep 09 13:59 15:22 (01:22)
ozero     pts/12  itep05.itep.ru    mon sep 09 13:53 14:55 (01:02)
ozero     pts/2   193.148.166.214   mon sep 09 13:40 13:41 (00:00)
ozero     pts/8   193.148.166.214   mon sep 09 13:32 13:37 (00:04)
vita      pts/9   aix0.itep.ru      mon sep 09 13:32 13:32 (00:00)
galy      pts/1   athene.itep.ru    mon sep 09 10:57 10:58 (00:00)
titovich  pts/4   athene.itep.ru    mon sep 09 10:20 10:21 (00:01)
korol     pts/0   193.124.225.174   mon sep 09 05:20 05:57 (00:37)

Первая колонка содержит имена пользователей, вторая — тип задачи (PTS/n — удаленный доступ с терминала с номером n), далее следует имя узла или его IP-адрес, с которого осуществлен доступ, дата, время работы и длительность сессии. Как правило, сессии типа FTP или NFS дают большую сетевую загрузку. Нужно учитывать возможность запуска FTP-сессии или другой информационно-емкой процедуры после входа в систему с помощью telnet/ssh. Рассматривая эту распечатку совместно с временными зависимостями переменных базы данных MIB, можно интерпретировать результаты, определить, какая из сессий загружает данный сегмент сети более других. Изучив, например, результаты работы программы last, можно видеть, что максимум в период с 18 до 20 часов связан с активностью пользователей ozero, ostrouh и ssemen. Но даже в отсутствие сессий, зафиксированных last, можно наблюдать заметную сетевую активность. Это может быть доставка почтовых сообщений или зондирование сервера пакетами-роботами со стороны удаленных www-клиентов.

Временная зависимость ifinucastpkts, ifoutucastpkts и ifinnucastpkts

увеличить изображение
Рис. 10.3. Временная зависимость ifinucastpkts, ifoutucastpkts и ifinnucastpkts

На рис. 10.3а по горизонтальной оси отложено время от начала суток. Кривая, отмеченная треугольниками, соответствует правой шкале диаграммы, — это справедливо для всех последующих рисунков. Входной и выходной потоки через данный интерфейс практически равны. На рис. 10.4 приведена вариация со временем входных потоков IP-дейтограмм (ipinreceives, ipinreasmreqd и ipindelivers). Пик в правой части рис. 10.4а (19:00 — 20:00) показывает, что поток ipinreceives превосходит поток ipindelivers почти в два раза. Можно было бы предположить, что разница определяется числом ошибок, но, так как по времени это совпадает с пиком в диаграмме ipinreasmreqd, различие следует интерпретировать как необходимость сборки сообщений. Сопоставление значений ipinreceives, ipinreasmreqd и ipindelivers подтверждает такое предположение. Если такого рода ситуация в сети повторяется часто, нужно просмотреть корректность выбора MTU для объектов, участвующих в данном обмене. Для областей вне указанного пика значения ipinreceives и ipindelivers почти совпадают, что говорит о низком уровне ошибок (это подтверждается и значением потока icmpouterrors, icmpoutdestunreachs и ifinunknownprotos).

Временные зависимости входных потоков IP-дейтограмм (ipinreceives, ipinreasmreqd и ipindelivers)

увеличить изображение
Рис. 10.4. Временные зависимости входных потоков IP-дейтограмм (ipinreceives, ipinreasmreqd и ipindelivers)
Суточные вариации потоков UDP-дейтограмм

Рис. 10.5(а,б). Суточные вариации потоков UDP-дейтограмм

На рис. 10.5(а,б) показаны суточные вариации потоков UDP-дейтограмм, а на рис. 10.6(а,б) представлены аналогичные временные зависимости для TCP-сегментов. Если входные и выходные потоки UDP-дейтограмм отличаются друг от друга временами в несколько раз (что вполне естественно), то входные и выходные потоки TCP-сегментов почти не отличаются (ведь каждому посланному пакету в этом протоколе должен соответствовать пакет-подтверждение).

Суточные вариации потоков UDP-дейтограмм

увеличить изображение
Рис. 10.6(а,б). Суточные вариации потоков UDP-дейтограмм
< Лекция 9 || Лекция 10: 123 || Лекция 11 >
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Дмитрий Власов
Дмитрий Власов
Россия, Калининград