Выбор редакции

Быстрый анализ транзитного трафика

06 апреля, 2016. 02:04
Перед любым системным администратором рано или поздно возникает задача количественного анализа трафика (откуда / куда, по каким протоколам / портам, в каких объемах и т. п.), проходящего по его сети. Особенно неприятно, когда эта задача возникает спонтанно, как побочный результат DDoS-а, а денег на серьезные решения от Cisco или Arbor, как обычно, нет. И хорошо еще, если шлюзом для сети выступает сервер, на котором можно запустить tcpdump или wireshark, но что делать если:

шлюзом выступает устройство провайдера, а в сети есть только файл-сервер; данные о трафике нужны не постоянно, а от времени к времени; устройство не поддерживает возможность запуска на нем сторонних программ; трафика столько, что сервер после запуска tcpdump-а «клеит ласты»; или наоборот, настолько мало, что его уровень сравним с долей (хотя и значительной) обычного трафика? Дополнительную ложку дегтя в эту «бочку меда» задачи добавляет еще и отсутствие как у tcpdump, так и у tshark чудесного ключа «сгруппировать, просуммировать / усреднить и отсортировать».
Комментарии: