ULAKNET Trafik Analizleri
Alperen ŞİRİN (ULAKBİM) sirin@ulakbim.gov.tr
Sunum İçeriği
• Senaryo
• nfdump kullanımı
• İstatistikler
• Örnek grafikler
• Siz de trafik izi analizi yapmak istiyorsanız?
ULAKNET Topolojisi
Senaryo
• Omurga yönlendiricilerinden trafik izinin(flow) tutulduğu makineye trafik izi gönderilir.
• Trafik izi makinesine gelen trafik izi paketleri, analizin yapılacağı makineye replike edilir.
Senaryo
• Trafik izi analiz edilir ve istatistikler veritabanına girilir.
• Veritabanındaki istatistikler uygun sorgularla grafiklere dönüştürülür ve web arayüzünde gösterilir.
Senaryo
Analiz Detayları
• Trafik izi(flow) analizi için nfdump kullanıldı.
• İstatistikler yarım saatlik periyodlarla veritabanına girildi.
• Zaman sorunu yüzünden işlenicek trafik izi RAM'e aktarıldı.
nfdump
• Geant projesi kapsamında geliştirilen performansı yüksek, güçlü bir araç.
• nfsen ile birlikte kullanımı daha kolay.
• Kullanım şekli: nfdump [options] [filter]
• Komut satırından kullanırken önemli opsiyonlar:
– -A aggregation
– -n num -s statistics[:p][/orderby]
– -o format – -I
-A aggregation
• Belirtilen nitelikleri aynı olan trafik izini birleştiriyor.
• Örnek kullanımlar:
– -A dstip4/16
– -A srcip4/24,proto – -A inif/dstas
• nfsen'le sadece kaynak/hedef port/ip/ağ ve
protokole göre birleştirme yapılabilirken komut satırından kullanıldığında çok daha fazla
seçenek mevcut.
-n num -s statistics[:p][/orderby]
• İlk num istatistiği görmek için kullanılıyor.
• Örnek kullanımlar:
– -n 50 -s srcip/packets
– -n 15 -s inif/flows/packets
• nfsen arayüzünde “Stat TopN” olarak yer alıyor. nfsen arayüzünden de gayet detaylı kullanılabiliyor.
-o format
• Çıktı formatını belirlemek için kullanılıyor.
• Örnek kullanımlar:
– -o “fmt:%sap->%dap %in %out”
– -o extended
– -o “fmt:%sa|%da|%sp|%dp|%sas|%das|”
• nfsen'de output formatı olarak line, long,
extended seçebiliyoruz veya custom seçerek kendi formatımızı giriyoruz.
- I
• Verilen dosyayla ilgili istatistikleri basar.
• Filtrelerle çalışmıyor.
– nfdump -r ./flow -I “src ip 3.4.5.6”, bu şekilde kullandığımız zaman filtre bir anlam ifade
etmiyor.
- I Opsiyonu Çıktısı
Ident: somerouter Flows: 3152727
Flows_tcp: 2635020 Flows_udp: 393261 Flows_icmp: 9648
Flows_other: 114798 Packets: 30150713 ...
...
İstatistiklerin Veritabanına Girilmesi
• nfdump'ın veritabanına basma gibi bir özelliği olmadığından, çıktıları perl ile işledikten sonra istatistikler veritabanına girildi.
• nfexpire belli bir zaman aralığındaki flowları
tutmak için kullanışlı bir araç. nfdump ile gelen araç paketinin içinde bulunuyor.
İstatistikler İçin Gerekenler
• Her ucun kendi ağından dışarı çıktığı omurga yönlendiricisi
• Omurga yönlendiricilerinin her uca bakan arayüz id'leri
• Her uca verilen IP aralığı/aralıkları
İnternet Kullanım İstatistikleri
İstatistikler
• Uçlara göre internet çıkış istatistikleri
– -A dstip4/24 -N -q -o "fmt:%da|%pkt|%byt|" "in if 1234"
• Hedef IP'lere göre internet çıkış istatistikleri
– -n 100 -s dstip/packets -N -q "in if 1234"
• Kaynak ve hedef portlara göre internet çıkış istatistikleri
– -n 10 -s srcport/packets -N -q "in if 1234"
İstatistikler
• Port 80 trafiğine göre internet çıkış istatistikleri
– -n 10 -s srcip/packets -N -q "in if 1234 and src port 80"
• Kaynağı değiştirilmiş(aldatıcı, spoofed) trafik istatistikleri
– -f ./filtre -A inif -N -q -o "fmt:%in|%pkt|%byt|"
• AS numaralarına göre internet çıkış istatistikleri
– -n 10 -s dstas/packets -N -q "out if 1234"
İstatistikler
• Detaylı uç trafiği istatistikleri, herhangi bir uç seçildiğinde;
– Ulaknet içi trafiği
• Hangi uca ne kadar gidiyor?
– Ulaknet dışı trafiği
• Hangi AS'e ne kadar gidiyor?
Örnek Grafikler
En çok trafik çeken uçlar:
Örnek Grafikler
En çok paket çeken hedef portlar:
Örnek Grafikler
En çok trafik çeken IP'ler:
Örnek Grafikler
En çok web trafiği çekilen IP'ler:
Örnek Grafikler
En çok web trafiği çekilen AS'ler:
Uçlar İçin Trafik İzi Analizi
• Trafik izi tutulmalı
• Ağınız hakkındaki temel bilgiler veritabanında tutulmalı
– Alt ağların bağlı olduğu arayüz numaraları – Alt ağların adres aralıkları
• Tercihen istatistik otomasyonu şeklinde ya da en azından elle trafik izinin analizi şeklinde
ağın genel karakterinden haberdar olunmalı.
