Netzwerkverkehrsmonitore arbeiten, indem sie Netzwerkpakete erfassen und analysieren, während sie ein Netzwerksegment durchlaufen. Sie erreichen dies mit einer Vielzahl von Methoden, und die Besonderheiten hängen von der Art des Monitors und seiner Bereitstellung ab. Hier ist eine Aufschlüsselung der gemeinsamen Techniken:
1. Paketaufnahme (Schnüffeln):
* Promiscuous -Modus: Die meisten Monitore arbeiten im "Promiscuous -Modus" auf einer Netzwerkschnittstelle. Dies bedeutet, dass die Schnittstelle * alle * Pakete im Netzwerksegment empfängt, nicht nur die, die darauf hingewiesen wurden. Dies ist entscheidend, um den gesamten Verkehr zu erfassen, selbst zwischen anderen Geräten.
* Taps: Bei Hochleistungsüberwachung oder Situationen, in denen die Anwesenheit des Monitors keine Netzwerkleistung beeinträchtigen sollte, werden häufig Netzwerkversuche verwendet. Dies sind physische Hardware -Geräte, die eine Kopie des Netzwerkverkehrs erstellen und an den Monitor senden, ohne sich auf den primären Netzwerkpfad zu beeinflussen. Dies ist besonders wichtig in Umgebungen mit hoher Bandbreite.
* Spanning/Port Mirroring (Switches): Viele verwaltete Switches unterstützen Spannung oder Portspiegelung. Dadurch kann der Umschalter den Verkehr von einem bestimmten Port (oder einer Gruppe von Ports) in einen angegebenen Überwachungsanschluss kopieren. Der Monitor wird dann mit diesem Spiegelanschluss verbunden. Dies ist eine weniger aufdringliche Methode als ein Tipp.
2. Paketanalyse:
Sobald die Pakete erfasst sind, analysiert der Monitor ihre Header und Nutzlasten. Diese Analyse enthält Informationen wie:
* Quell- und Ziel -IP -Adressen: Identifiziert die Kommunikationsgeräte.
* Quell- und Zielports: Identifiziert die beteiligten Anwendungen oder Dienste (z. B. HTTP, SMTP, DNS).
* Protokoll: Bestimmt das Kommunikationsprotokoll (z. B. TCP, UDP, ICMP).
* Paketgröße: Gibt die Menge der in jedem Paket übertragenen Daten an.
* Zeitstempel: Aufzeichnungen, wenn jedes Paket erfasst wurde.
* Nutzlast (optional): Abhängig von den Konfigurations- und Sicherheitseinstellungen des Monitors kann der Monitor die Daten innerhalb des Pakets selbst analysieren. Dies ist aufgrund von Leistungsüberlegungen und Datenschutzbedenken häufig begrenzt.
3. Datenverarbeitung und Präsentation:
Nach der Analyse verarbeitet der Monitor die Daten und präsentiert sie auf verschiedene Weise:
* Echtzeitdiagramme: Visuelle Darstellungen von Netzwerkverkehrsmustern im Laufe der Zeit.
* Tabellen: Detaillierte Listen der Netzwerkaktivität mit verschiedenen Metriken.
* Warnungen: Benachrichtigungen, wenn Verkehrsmuster vordefinierte Schwellenwerte überschreiten (z. B. hohe Bandbreitenverbrauch, ungewöhnliche Aktivität).
* Berichte: Zusammenfassende Daten zur Analyse und Trendidentifikation.
* Protokolldecodierung: Einige Monitore können bestimmte Protokolle dekodieren, um aufschlussreichere Informationen zu liefern und den Inhalt von Webanforderungen, E -Mails usw. zu enthüllen (es ist jedoch wichtig, hier die Auswirkungen auf die Privatsphäre zu berücksichtigen.)
Arten von Netzwerkverkehrsmonitoren:
* Software-basierte Monitore: Führen Sie auf einem Computer aus und benötigen eine Netzwerkschnittstellenkarte, um Pakete zu erfassen.
* hardware-basierte Monitore: Dedizierte Geräte mit leistungsstarken Verarbeitungsfunktionen, die häufig für die Netzwerküberwachung mit hohem Volumen verwendet werden.
* Netzwerkeindrückungserkennungs-/Präventionssysteme (IDS/IPS): Diese Systeme konzentrieren sich hauptsächlich auf die Sicherheit, überwachen auch den Netzwerkverkehr und können böswillige Aktivitäten identifizieren.
Im Wesentlichen wirkt ein Netzwerkverkehrsmonitor wie ein hoch entwickelter "Sniffer", der Netzwerkverkehrsdaten auf eine Weise erfasst, analysiert und vorstellt, die für die Fehlerbehebung, die Leistungsoptimierung und die Sicherheitsanalyse leicht zu verstehen und zu verwenden ist. Die Komplexität und die Fähigkeiten dieser Monitore variieren stark von ihrer beabsichtigten Nutzung und Zielumgebung.
