Ağınızda hangi protokol ne kadar kullanılıyor?

Özellikle büyük ölçekli ağlarda belirli portlardaki(SMTP, TCP/445, TCP/139, UDP/1433) trafigin yuksek olmasi  anormallik sayilabilir. TCP/25’in yoğun olması spam alameti sayılabilir, benzer şekilde TCP/445 portunun yoğun kullanımı ağınızdak zombilerin cirit attığına işaret eder.

Ağ trafiğinde protokol analizi yapmak için kullanılan en sağlıklı yöntem Netflow’dur. Netflow Cisco’ya özel olsa da piyasada aynı ismi ya da benzeri ismi taşıyan çeşitli flow yazılımları bulunmaktadır. Fakat flow yazılımlarının çalışması için network cihazlarında ayar gerektirir ve bazı durumlarda flow açmak yönlendirici sistemleri zor durumda bırakır(DDOS saldırılarında vs). Flow yerine kullanılanılabilecek diğer bir yöntem de  trafiğini SPAN edip bir sniffer aracılığıyla analiz etmek.

Bu iş için en ideal yazılım Argus’tur. Fakat bazen daha basit bir araca ihtiyacımız olur. Mesela  amacımız sniffer aracılığıyla kaydedilmiş paketleri inceleyerek ağ trafiğinde protokol kullanım oranını görmekse argus yerine tcpdstat gibi tek işi bu olan basit bir araç  kullanabiliriz.

tcpdstat ile trafikden ne elde edilir?

Hangi port(protokol)un ne oranda kullanildigi bilgisi, hangi porttan kac MB veri transferi yapılmış, kaç paket geçmiş, ağımızda yaygın kullanılan  paket boyutu  gibi bilgiler alınabilir.

Bir sniffer aracılığıyla kaydedilmiş trafiği tcpdstat’a okutarak yukarda saydığım maddeleri gösteren rapor alabiliriz.

[[email protected]]# tcpdstat -n 10gb.pcap

DumpFile:  10gb.pcap
FileSize: 32544.19MB
Id: 200909081156
StartTime: Tue Sep  8 11:56:09 2009
EndTime:   Tue Sep  8 12:04:35 2009
TotalTime: 505.74 seconds
TotalCapSize: -1013.45MB  CapLen: 1514 bytes
# of packets: 51749994 (31754.55MB)
AvgRate: 526.72Mbps  stddev:120.16M

### Packet Size Distribution (including MAC headers) ###
<<<<
 [   32-   63]:   15647286
 [   64-  127]:    7963761
 [  128-  255]:    3286917
 [  256-  511]:    2256683
 [  512- 1023]:    3164325
 [ 1024- 2047]:   19431022
>>>>
### Protocol Breakdown ###
<<<<
     protocol           packets                 bytes           bytes/pkt
————————————————————————
[0] total         51749994 (100.00%)      33297058195 (100.00%)    643.42
[1] ip            51748070 (100.00%)      33296937859 (100.00%)    643.44
[2]  tcp          44206963 ( 85.42%)      30306798074 ( 91.02%)    685.57
[3]   http(s)     21903649 ( 42.33%)      24386417917 ( 73.24%)   1113.35
[3]   http(c)     15599921 ( 30.14%)       2752951633 (  8.27%)    176.47
[3]   squid         635085 (  1.23%)        498196791 (  1.50%)    784.46
[3]   smtp          633754 (  1.22%)        268040520 (  0.80%)    422.94
[3]   nntp              21 (  0.00%)             1292 (  0.00%)     61.52
[3]   ftp           173167 (  0.33%)        156130274 (  0.47%)    901.62
[3]   pop3          707374 (  1.37%)        285657875 (  0.86%)    403.83
[3]   imap           78267 (  0.15%)         30131903 (  0.09%)    384.99
[3]   telnet         11854 (  0.02%)          3635518 (  0.01%)    306.69
[3]   ssh            49721 (  0.10%)          5664126 (  0.02%)    113.92
[3]   dns              652 (  0.00%)            43052 (  0.00%)     66.03
[3]   bgp              202 (  0.00%)            64050 (  0.00%)    317.08
[3]   napster           89 (  0.00%)            13020 (  0.00%)    146.29
[3]   realaud         1995 (  0.00%)           821605 (  0.00%)    411.83
[3]   rtsp           88678 (  0.17%)         77046679 (  0.23%)    868.84
[3]   icecast        16180 (  0.03%)          6264020 (  0.02%)    387.15
[3]   hotline          492 (  0.00%)            31158 (  0.00%)     63.33
[3]   other        4305855 (  8.32%)       1835686221 (  5.51%)    426.32
[2]  udp           3436128 (  6.64%)       1196791303 (  3.59%)    348.30
[3]   dns           366550 (  0.71%)         46654438 (  0.14%)    127.28
[3]   mcast           1588 (  0.00%)            98456 (  0.00%)     62.00
[3]   realaud        97084 (  0.19%)         21501796 (  0.06%)    221.48
[3]   halflif        59362 (  0.11%)          9047215 (  0.03%)    152.41
[3]   starcra           17 (  0.00%)             2173 (  0.00%)    127.82
[3]   everque           48 (  0.00%)             5712 (  0.00%)    119.00
[3]   unreal             7 (  0.00%)             1571 (  0.00%)    224.43
[3]   quake          12540 (  0.02%)          2414996 (  0.01%)    192.58
[3]   cuseeme            6 (  0.00%)              444 (  0.00%)     74.00
[3]   other        2889277 (  5.58%)       1106333936 (  3.32%)    382.91
[2]  icmp            26019 (  0.05%)          4367139 (  0.01%)    167.84
[2]  ipsec         3983336 (  7.70%)       1756154718 (  5.27%)    440.88
[2]  ip6              1192 (  0.00%)           356382 (  0.00%)    298.98
[2]  other           94432 (  0.18%)         32470243 (  0.10%)    343.85
[2]  frag            62971 (  0.12%)         72852344 (  0.22%)   1156.92
>>>>

This entry was posted in Network Security, Security Tools, Sniffer. Bookmark the permalink.

7 Responses to Ağınızda hangi protokol ne kadar kullanılıyor?

  1. Cagri Ersen says:

    Rapor vs. çıkarmak için harika bir tool. Ben aynı işi Wireshark’ın istatistik ekranından yapıyordum ancak bu tool daha kullanışlı görünüyor.

    Bu arada, böyle minik ama süper kullanışlı araçları nereden bulduğunu da merak etmekteyim 🙂

  2. Huzeyfe ONAL says:

    Wireshark yuksek miktarda trafiklerde boguluyor. Bu da cok efektif degil ama en azindan sistemi kilitlemeden sonuc veriyor.

    Araclari nerden buluyorsun sorusuna gelince: Egitim icin okudugum kitaplardan aldigim notlari, arac isimlerini vakit buldukca yaziyorum. Bir kismini da buıraya aktariyorum:). Backtrack egitimi icin boyle kucuk buyuk toplam 300 arac inceledim. Yakinda buralara duser:)

  3. dimetokavi says:

    Yazı için teşekkürler.

    Peki, orta büyüklükdeki bir ağda herhangi bir kontrolü olmayan, switch’ler arkasına saklanmış bir kullanıcı bahsi geçen uygulamalardan verim alabilir mi?

  4. admin says:

    Switch’den gecen tum tragigi gormeden verim alamaz. Kendi bilgisayarinda calistirirsa sadece o bilgisayara ait verileri analiz edebilir.

  5. dimetokavi says:

    Teşekkür ederim.

    Peki, “bahsi geçmeyen” uygulamalar ile bu husus yapılabilir mi?

  6. Huzeyfe ONAL says:

    Uygulama degil sorun olan, trafigi sizin makinenizin gorememesi. Tam olarka ne yapmaya/ya da engellemeye calisiyorsunuz? Ona gore bir cozum onerebilirim.

  7. dimetokavi says:

    Aslında, hangi (iç) IP bant genişliğini ne kadar kullandığını öğrenebilmek kâfî olurdu. Elbette yukarıdaki şartlara haiz bir bilgisayar üzerinden..

Leave a Reply

Your email address will not be published. Required fields are marked *

eleven − four =