Özellikle büyük ölçekli ağlarda belirli portlardaki(SMTP, TCP/445, TCP/139, UDP/1433) trafigin yuksek olmasi anormallik sayilabilir. TCP/25’in yoğun olması spam alameti sayılabilir, benzer şekilde TCP/445 portunun yoğun kullanımı ağınızdak zombilerin cirit attığına işaret eder.
Ağ trafiğinde protokol analizi yapmak için kullanılan en sağlıklı yöntem Netflow’dur. Netflow Cisco’ya özel olsa da piyasada aynı ismi ya da benzeri ismi taşıyan çeşitli flow yazılımları bulunmaktadır. Fakat flow yazılımlarının çalışması için network cihazlarında ayar gerektirir ve bazı durumlarda flow açmak yönlendirici sistemleri zor durumda bırakır(DDOS saldırılarında vs). Flow yerine kullanılanılabilecek diğer bir yöntem de trafiğini SPAN edip bir sniffer aracılığıyla analiz etmek.
Bu iş için en ideal yazılım Argus’tur. Fakat bazen daha basit bir araca ihtiyacımız olur. Mesela amacımız sniffer aracılığıyla kaydedilmiş paketleri inceleyerek ağ trafiğinde protokol kullanım oranını görmekse argus yerine tcpdstat gibi tek işi bu olan basit bir araç kullanabiliriz.
tcpdstat ile trafikden ne elde edilir?
Hangi port(protokol)un ne oranda kullanildigi bilgisi, hangi porttan kac MB veri transferi yapılmış, kaç paket geçmiş, ağımızda yaygın kullanılan paket boyutu gibi bilgiler alınabilir.
Bir sniffer aracılığıyla kaydedilmiş trafiği tcpdstat’a okutarak yukarda saydığım maddeleri gösteren rapor alabiliriz.
[[email protected]]# tcpdstat -n 10gb.pcap
DumpFile: 10gb.pcap
FileSize: 32544.19MB
Id: 200909081156
StartTime: Tue Sep 8 11:56:09 2009
EndTime: Tue Sep 8 12:04:35 2009
TotalTime: 505.74 seconds
TotalCapSize: -1013.45MB CapLen: 1514 bytes
# of packets: 51749994 (31754.55MB)
AvgRate: 526.72Mbps stddev:120.16M
### Packet Size Distribution (including MAC headers) ###
<<<<
[ 32- 63]: 15647286
[ 64- 127]: 7963761
[ 128- 255]: 3286917
[ 256- 511]: 2256683
[ 512- 1023]: 3164325
[ 1024- 2047]: 19431022
>>>>
### Protocol Breakdown ###
<<<<
protocol packets bytes bytes/pkt
————————————————————————
[0] total 51749994 (100.00%) 33297058195 (100.00%) 643.42
[1] ip 51748070 (100.00%) 33296937859 (100.00%) 643.44
[2] tcp 44206963 ( 85.42%) 30306798074 ( 91.02%) 685.57
[3] http(s) 21903649 ( 42.33%) 24386417917 ( 73.24%) 1113.35
[3] http(c) 15599921 ( 30.14%) 2752951633 ( 8.27%) 176.47
[3] squid 635085 ( 1.23%) 498196791 ( 1.50%) 784.46
[3] smtp 633754 ( 1.22%) 268040520 ( 0.80%) 422.94
[3] nntp 21 ( 0.00%) 1292 ( 0.00%) 61.52
[3] ftp 173167 ( 0.33%) 156130274 ( 0.47%) 901.62
[3] pop3 707374 ( 1.37%) 285657875 ( 0.86%) 403.83
[3] imap 78267 ( 0.15%) 30131903 ( 0.09%) 384.99
[3] telnet 11854 ( 0.02%) 3635518 ( 0.01%) 306.69
[3] ssh 49721 ( 0.10%) 5664126 ( 0.02%) 113.92
[3] dns 652 ( 0.00%) 43052 ( 0.00%) 66.03
[3] bgp 202 ( 0.00%) 64050 ( 0.00%) 317.08
[3] napster 89 ( 0.00%) 13020 ( 0.00%) 146.29
[3] realaud 1995 ( 0.00%) 821605 ( 0.00%) 411.83
[3] rtsp 88678 ( 0.17%) 77046679 ( 0.23%) 868.84
[3] icecast 16180 ( 0.03%) 6264020 ( 0.02%) 387.15
[3] hotline 492 ( 0.00%) 31158 ( 0.00%) 63.33
[3] other 4305855 ( 8.32%) 1835686221 ( 5.51%) 426.32
[2] udp 3436128 ( 6.64%) 1196791303 ( 3.59%) 348.30
[3] dns 366550 ( 0.71%) 46654438 ( 0.14%) 127.28
[3] mcast 1588 ( 0.00%) 98456 ( 0.00%) 62.00
[3] realaud 97084 ( 0.19%) 21501796 ( 0.06%) 221.48
[3] halflif 59362 ( 0.11%) 9047215 ( 0.03%) 152.41
[3] starcra 17 ( 0.00%) 2173 ( 0.00%) 127.82
[3] everque 48 ( 0.00%) 5712 ( 0.00%) 119.00
[3] unreal 7 ( 0.00%) 1571 ( 0.00%) 224.43
[3] quake 12540 ( 0.02%) 2414996 ( 0.01%) 192.58
[3] cuseeme 6 ( 0.00%) 444 ( 0.00%) 74.00
[3] other 2889277 ( 5.58%) 1106333936 ( 3.32%) 382.91
[2] icmp 26019 ( 0.05%) 4367139 ( 0.01%) 167.84
[2] ipsec 3983336 ( 7.70%) 1756154718 ( 5.27%) 440.88
[2] ip6 1192 ( 0.00%) 356382 ( 0.00%) 298.98
[2] other 94432 ( 0.18%) 32470243 ( 0.10%) 343.85
[2] frag 62971 ( 0.12%) 72852344 ( 0.22%) 1156.92
>>>>
Rapor vs. çıkarmak için harika bir tool. Ben aynı işi Wireshark’ın istatistik ekranından yapıyordum ancak bu tool daha kullanışlı görünüyor.
Bu arada, böyle minik ama süper kullanışlı araçları nereden bulduğunu da merak etmekteyim 🙂
Wireshark yuksek miktarda trafiklerde boguluyor. Bu da cok efektif degil ama en azindan sistemi kilitlemeden sonuc veriyor.
Araclari nerden buluyorsun sorusuna gelince: Egitim icin okudugum kitaplardan aldigim notlari, arac isimlerini vakit buldukca yaziyorum. Bir kismini da buıraya aktariyorum:). Backtrack egitimi icin boyle kucuk buyuk toplam 300 arac inceledim. Yakinda buralara duser:)
Yazı için teşekkürler.
Peki, orta büyüklükdeki bir ağda herhangi bir kontrolü olmayan, switch’ler arkasına saklanmış bir kullanıcı bahsi geçen uygulamalardan verim alabilir mi?
Switch’den gecen tum tragigi gormeden verim alamaz. Kendi bilgisayarinda calistirirsa sadece o bilgisayara ait verileri analiz edebilir.
Teşekkür ederim.
Peki, “bahsi geçmeyen” uygulamalar ile bu husus yapılabilir mi?
Uygulama degil sorun olan, trafigi sizin makinenizin gorememesi. Tam olarka ne yapmaya/ya da engellemeye calisiyorsunuz? Ona gore bir cozum onerebilirim.
Aslında, hangi (iç) IP bant genişliğini ne kadar kullandığını öğrenebilmek kâfî olurdu. Elbette yukarıdaki şartlara haiz bir bilgisayar üzerinden..