Hálózat használat mérése xDarkstat programrendszerrel
Stefán Péter <stefan@iif.hu>
NIIFI
Ebben a cikkben egy NTOP-hoz hasonló program az xDarkstat kerül bemutatásra. (Az x elõtag itt az extended szó rövidítése.) A Darkstat rendszert eredetileg hálózati interfészek adatforgalmának mérésére, és a mért adatokból készített statisztikák vizualizálására tervezték: a hálózati forgalmat toplista-szerûen tárja az érdeklõdõ felhasználó elé.
Az xDarkstat e rendszernek egy továbbfejlesztett változata: nemcsak egy adott host hálózati interfészén megjelenõ adatokat képes feldolgozni, hanem egy router-bõl kiexportált flow-t is. Ennek segítségével a hálózati adminisztrátor olyan információk birtokába kerülhet, mint a legnagyobb forgalmat bonyolító host, a legnagyobb forgalmat bonyolító port, stb. egy adott alhálózaton belül.
A statisztikák egy mini web-szerveren keresztül érhetõk el. A program továbbfejlesztése során fontos kritérium volt az eredeti programmal való kompatibilitás megtartása, valamint a program egyszerûsítése, használhatóságának könnyûvé tétele. Jelenleg a CISCO v1 és v5 verziójú flow-jait támogatja, telepítéséhez olyan operációs rendszer szükséges, amely képes thread-ek kezelésére.
A rendszert alapvetõen kétféle módon lehet használni: az egyik megoldás a folyamatos üzem, ami a hálózat használatáról percenkénti, óránkénti, napi (beállítás szerint) terheltségi adatokat szolgáltat. A felhasználás másik módja a támadás-detektálás. Amikor a hálózati adminisztráror úgy véli, hogy a rendszerét támadás éri, akkor elindítja az xDarkstat-ot, lenullázza a program számlálóit, és a forgalmi adatok változásából meg tudja állapítani, hogy a hálózaton belül melyik gépet/gépeket és azon belül melyik portot/portokat bombázzák nagyobb adattömeggel.
A rendszer jelenleg Solaris és Linux környezetben lett tesztelve, a Magyar Akadémiai Hálózat összes regionális központjára telepítve lett.