Monitorowanie ruchu w

sieci

Waldemar Serafin

Co daje nam monitoring
sieci?

•

pozwala określać i zapobiegać kłopotom

związanym z nadmiernym obciążeniem łącz

•

optymalizować wielkość łącza w stosunku

do potrzeb

•

określać nasze potrzeby na przyszłość

•

weryfikować informacje naszego dostawcy

Internetu o generowanym przez nas

obciążeniu

•

dostarcza informacji z jakich adresów

korzystają użytkownicy sieci

Popularny program do
monitoringu Wireshark

•

Analizator protokołu

sieciowego,

umożliwiający

dokładne zbadanie

ruchu w obrębie

lokalnej infrastruktury

sieciowej. Może być

również wykorzystany

jako sniffer, czyli

narzędzie

umożliwiające

przechwytywanie

komunikacji sieciowej.

Ramka

•

Ramka określa strukturę przesyłanego

pakietu danych. Określona jest w niej pozycja

nagłówka, bitów danych oraz wypełnienia

pakietu. Rozeznanie w typach ramek jest

ważne przy monitorowaniu pracy w sieci.

•

W sieciach Ethernet funkcjonują 3 typy

ramek:

•

Ethernet wersja 1 - już nie używana

•

Ethernet wersja 2 (Ethernet II) - zwana też ramką

DIX, jest ona w tej chwili najczęściej stosowana

•

IEEE 802.x LLC

Typy ramek

•

Ethernet wersja 1

•

Ethernet wersja 2

•

IEEE 802.x

•

Preambuła jest naprzemiennym ciągiem bitów 1 i 0, informującym o nadchodzącej ramce.

Najczęściej nie jest on włączany do wielkości ramki. Uznawany jest za część procesu komunikacji.

•

SOF (Start of Frame Delimiter) jest bajtem kończącym preambułę. Bajt ten ma postać: ‘10101011’ i

zawsze jest zakończony dwoma bitami ‘1’. W standardzie Ethernet bajt ten nie występuje,

zastąpiony jest kolejnym bajtem preambuły, w którym ostatni bit jest równy ‘0’.

•

Adresy stacji odbiorczej i stacji nadawczej są to liczby 6 bajtowe, będące adresami sprzętowymi

komunikujących się interfejsów sieciowych. Trzy pierwsze bajty adresu są związane z producentem.

Trzy ostatnie są numerem przypisanym przez dostawcę do danego interfejsu sieciowego.

•

Typ jest polem występującym w Ethernecie i określa protokół wyższej warstwy, który ma posłużyć

do odebrania danych z ramki Ethernetu.

•

Długość – pole występujące w IEEE 802.3; określa w bajtach ilość danych, które nastąpią po tym

polu – nie może być więcej niż 1500. W standardzie Ethernet wartość w tym polu jest zawsze

większa od 1500 (dziesiętnie) i określa numer protokołu warstwy wyższej, który odbierze dane po

zakończeniu obróbki przez standard Ethernet.

•

Dane – jeśli ilość danych jest mniejsza od 46 bajtów, wprowadzane jest tzw. uzupełnienie PAD

(padding) i dane są dopełniane jedynkami, tak, aby ramka nie była mniejsza niż 512 bitów, czyli czas

slotu dla 10Mb/s. Dane zawarte w ramce zostaną przesłane do protokołu wyższej warstwy

zdefiniowanego odpowiednio:

•

-w polu Danych - dla IEEE 802.3;

•

-w polu Typ w przypadku Ethernetu.

•

FCS – Sekwencja Sprawdzania Ramki (ang. Frame Check Sequence), która zawiera 4 bajty

kontrolne (CRC) wygenerowane przez interfejs nadający i sprawdzane przez odbierający. Określają

one, czy dane nie zostały uszkodzone podczas transmisji

Protokół TCP

•

TCP (protokół kontroli transmisji) – strumieniowy

protokół komunikacji między dwoma komputerami.

•

TCP zapewnia wiarygodne połączenie dla wyższych

warstw komunikacyjnych przy pomocy sum

kontrolnych i numerów sekwencyjnych pakietów, w

celu weryfikacji wysyłki i odbioru. Brakujące pakiety

są obsługiwane przez żądania retransmisji. Host

odbierający pakiety TCP porządkuje je według

numerów sekwencyjnych tak, by przekazać wyższym

warstwom modelu OSI pełen, złożony segment.

Protokół ARP

•

Address Resolution Protocol w sieciach komputerowych jest

to metoda znajdowania adresu sprzętowego hosta, gdy dany

jest adres warstwy sieciowej.

•

ARP działa w następujący sposób:

•

Utworzenie pakietu z szukanym adresem sieciowym.

•

Wysłanie pakietu w obrębie danej sieci.

•

Wysłany pakiet odbierają wszystkie hosty podłączone do sieci. Jako

jedyny odpowiada host o szukanym adresie sieciowym - przesyła

pakiet z odpowiedzią zawierającą adres sprzętowy.

•

Host szukający po odebraniu pakietu z szukanym adresem

sprzętowym zapisuje go w tablicy ARP, dzięki czemu nie musi

później szukać jeszcze raz tego samego adresu.

•

Często po podłączeniu do sieci host rozsyła zapytanie ARP o własny

adres. Odpowiedzi nie będzie (gdyż nie mogą być w danej sieci

dwa komputery o tym samym adresie warstwy sieciowej), ale każdy

inny host może zapisać w pamięci podręcznej dane o nowym hoście

przyłączonym do sieci.

Protokół DNS

•

DNS (ang. Domain Name System, system nazw

domenowych) to system serwerów oraz protokół

komunikacyjny zapewniający zamianę adresów znanych

użytkownikom Internetu na adresy zrozumiałe dla

urządzeń tworzących sieć komputerową. Dzięki

wykorzystaniu DNS nazwa mnemoniczna, np.

pl.wikipedia.org, może zostać zamieniona na

odpowiadający jej adres IP, czyli 145.97.39.155.

•

Adresy DNS składają się z domen internetowych

rozdzielonych kropkami. Dla przykładu w adresie

Wikipedii org oznacza domenę funkcjonalną organizacji,

wikipedia domenę należącą do fundacji Wikimedia, a pl

polską domenę w sieci tej instytucji. W ten sposób

możliwe jest budowanie hierarchii nazw, które

porządkują Internet.

Protokół ICMP

•

ICMP (ang. Internet Control Message
Protocol, internetowy protokół
komunikatów kontrolnych) – protokół
wykorzystywany w diagnostyce sieci
oraz routingu. Pełni on przede
wszystkim funkcję kontroli transmisji
w sieci, ale ma też zastosowania, w
których używany jest tylko on - ping
oraz traceroute.

Protokół FTP

•

FTP (ang. File Transfer Protocol) - protokół typu

klient-serwer, który umożliwia przesyłanie plików z i

na serwer poprzez sieć TCP/IP.

•

FTP jest protokołem 8-bitowym, dlatego nie wymaga

specjalnego kodowania danych na postać 7-bitową,

tak jak ma to miejsce w przypadku poczty

elektronicznej.

•

Do komunikacji wykorzystywane są dwa połączenia

TCP. Jedno z nich jest połączeniem kontrolnym za

pomocą którego przesyłane są np. polecenia do

serwera, drugie natomiast służy do transmisji danych

m.in. plików. FTP działa w dwóch trybach: aktywnym

i pasywnym, w zależności od tego, w jakim jest

trybie, używa innych portów do komunikacji.