ULAKNET Trafik Analizleri - Ulakbim
ULAKNET Trafik Analizleri - Ulakbim
ULAKNET Trafik Analizleri - Ulakbim
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>ULAKNET</strong> <strong>Trafik</strong> <strong>Analizleri</strong><br />
Alperen ŞİRİN (ULAKBİM)<br />
sirin@ulakbim.gov.tr
Sunum İçeriği<br />
• Senaryo<br />
• nfdump kullanımı<br />
• İstatistikler<br />
• Örnek grafikler<br />
• Siz de trafik izi analizi yapmak istiyorsanız?
<strong>ULAKNET</strong> Topolojisi
Senaryo<br />
• Omurga yönlendiricilerinden trafik izinin(flow)<br />
tutulduğu makineye trafik izi gönderilir.<br />
• <strong>Trafik</strong> izi makinesine gelen trafik izi paketleri,<br />
analizin yapılacağı makineye replike edilir.
Senaryo<br />
• <strong>Trafik</strong> izi analiz edilir ve istatistikler<br />
veritabanına girilir.<br />
• Veritabanındaki istatistikler uygun sorgularla<br />
grafiklere dönüştürülür ve web arayüzünde<br />
gösterilir.
Senaryo
Analiz Detayları<br />
• <strong>Trafik</strong> izi(flow) analizi için nfdump kullanıldı.<br />
• İstatistikler yarım saatlik periyodlarla<br />
veritabanına girildi.<br />
• Zaman sorunu yüzünden işlenicek trafik izi<br />
RAM'e aktarıldı.
nfdump<br />
• Geant projesi kapsamında geliştirilen<br />
performansı yüksek, güçlü bir araç.<br />
• nfsen ile birlikte kullanımı daha kolay.<br />
• Kullanım şekli: nfdump [options] [filter]<br />
• Komut satırından kullanırken önemli opsiyonlar:<br />
– -A aggregation<br />
– -n num -s statistics[:p][/orderby]<br />
– -o format<br />
– -I
-A aggregation<br />
• Belirtilen nitelikleri aynı olan trafik izini<br />
birleştiriyor.<br />
• Örnek kullanımlar:<br />
– -A dstip4/16<br />
– -A srcip4/24,proto<br />
– -A inif/dstas<br />
• nfsen'le sadece kaynak/hedef port/ip/ağ ve<br />
protokole göre birleştirme yapılabilirken komut<br />
satırından kullanıldığında çok daha fazla<br />
seçenek mevcut.
-n num -s statistics[:p][/orderby]<br />
• İlk num istatistiği görmek için kullanılıyor.<br />
• Örnek kullanımlar:<br />
– -n 50 -s srcip/packets<br />
– -n 15 -s inif/flows/packets<br />
• nfsen arayüzünde “Stat TopN” olarak yer<br />
alıyor. nfsen arayüzünden de gayet detaylı<br />
kullanılabiliyor.
-o format<br />
• Çıktı formatını belirlemek için kullanılıyor.<br />
• Örnek kullanımlar:<br />
– -o “fmt:%sap->%dap %in %out”<br />
– -o extended<br />
– -o “fmt:%sa|%da|%sp|%dp|%sas|%das|”<br />
• nfsen'de output formatı olarak line, long,<br />
extended seçebiliyoruz veya custom seçerek<br />
kendi formatımızı giriyoruz.
-I<br />
• Verilen dosyayla ilgili istatistikleri basar.<br />
• Filtrelerle çalışmıyor.<br />
– nfdump -r ./flow -I “src ip 3.4.5.6”, bu şekilde<br />
kullandığımız zaman filtre bir anlam ifade<br />
etmiyor.
-I Opsiyonu Çıktısı<br />
Ident: somerouter<br />
Flows: 3152727<br />
Flows_tcp: 2635020<br />
Flows_udp: 393261<br />
Flows_icmp: 9648<br />
Flows_other: 114798<br />
Packets: 30150713<br />
............<br />
......
İstatistiklerin Veritabanına Girilmesi<br />
• nfdump'ın veritabanına basma gibi bir özelliği<br />
olmadığından, çıktıları perl ile işledikten sonra<br />
istatistikler veritabanına girildi.<br />
• nfexpire belli bir zaman aralığındaki flowları<br />
tutmak için kullanışlı bir araç. nfdump ile gelen<br />
araç paketinin içinde bulunuyor.
İstatistikler İçin Gerekenler<br />
• Her ucun kendi ağından dışarı çıktığı omurga<br />
yönlendiricisi<br />
• Omurga yönlendiricilerinin her uca bakan<br />
arayüz id'leri<br />
• Her uca verilen IP aralığı/aralıkları
İnternet Kullanım İstatistikleri
İstatistikler<br />
• Uçlara göre internet çıkış istatistikleri<br />
– -A dstip4/24 -N -q -o "fmt:%da|%pkt|%byt|" "in if 1234"<br />
• Hedef IP'lere göre internet çıkış istatistikleri<br />
– -n 100 -s dstip/packets -N -q "in if 1234"<br />
• Kaynak ve hedef portlara göre internet çıkış<br />
istatistikleri<br />
– -n 10 -s srcport/packets -N -q "in if 1234"
İstatistikler<br />
• Port 80 trafiğine göre internet çıkış istatistikleri<br />
– -n 10 -s srcip/packets -N -q "in if 1234 and src port 80"<br />
• Kaynağı değiştirilmiş(aldatıcı, spoofed) trafik<br />
istatistikleri<br />
– -f ./filtre -A inif -N -q -o "fmt:%in|%pkt|%byt|"<br />
• AS numaralarına göre internet çıkış<br />
istatistikleri<br />
– -n 10 -s dstas/packets -N -q "out if 1234"
İstatistikler<br />
• Detaylı uç trafiği istatistikleri, herhangi bir uç<br />
seçildiğinde;<br />
– Ulaknet içi trafiği<br />
• Hangi uca ne kadar gidiyor?<br />
– Ulaknet dışı trafiği<br />
• Hangi AS'e ne kadar gidiyor?
Örnek Grafikler<br />
En çok trafik çeken uçlar:
Örnek Grafikler<br />
En çok paket çeken hedef portlar:
Örnek Grafikler<br />
En çok trafik çeken IP'ler:
Örnek Grafikler<br />
En çok web trafiği çekilen IP'ler:
Örnek Grafikler<br />
En çok web trafiği çekilen AS'ler:
Uçlar İçin <strong>Trafik</strong> İzi Analizi<br />
• <strong>Trafik</strong> izi tutulmalı<br />
• Ağınız hakkındaki temel bilgiler veritabanında<br />
tutulmalı<br />
– Alt ağların bağlı olduğu arayüz numaraları<br />
– Alt ağların adres aralıkları<br />
• Tercihen istatistik otomasyonu şeklinde ya da<br />
en azından elle trafik izinin analizi şeklinde<br />
ağın genel karakterinden haberdar olunmalı.
Teşekkürler<br />
Sorular?
![[options] [community@]router1 - Ulak-CSIRT - Ulakbim](https://img.yumpu.com/44123642/1/190x134/options-communityrouter1-ulak-csirt-ulakbim.jpg?quality=85)
Change language