Hálózat használat mérése xDarkstat programrendszerrel

Stefán Péter <stefan@iif.hu>

NIIFI

Ebben a cikkben egy NTOP-hoz hasonló program az xDarkstat kerül bemutatásra. (Az „x” elõtag itt az „extended” szó rövidítése.) A Darkstat rendszert eredetileg hálózati interfészek adatforgalmának mérésére, és a mért adatokból készített statisztikák vizualizálására tervezték: a hálózati forgalmat toplista-szerûen tárja az érdeklõdõ felhasználó elé.

Az xDarkstat e rendszernek egy továbbfejlesztett változata: nemcsak egy adott host hálózati interfészén megjelenõ adatokat képes feldolgozni, hanem egy router-bõl „kiexportált” „flow”-t is. Ennek segítségével a hálózati adminisztrátor olyan információk birtokába kerülhet, mint a legnagyobb forgalmat bonyolító host, a legnagyobb forgalmat bonyolító port, stb. egy adott alhálózaton belül.

A statisztikák egy mini web-szerveren keresztül érhetõk el. A program továbbfejlesztése során fontos kritérium volt az eredeti programmal való kompatibilitás megtartása, valamint a program egyszerûsítése, használhatóságának könnyûvé tétele. Jelenleg a CISCO v1 és v5 verziójú „flow”-jait támogatja, telepítéséhez olyan operációs rendszer szükséges, amely képes „thread”-ek kezelésére.

A rendszert alapvetõen kétféle módon lehet használni: az egyik megoldás a folyamatos üzem, ami a hálózat használatáról percenkénti, óránkénti, napi (beállítás szerint) terheltségi adatokat szolgáltat. A felhasználás másik módja a támadás-detektálás. Amikor a hálózati adminisztráror úgy véli, hogy a rendszerét támadás éri, akkor elindítja az xDarkstat-ot, lenullázza a program számlálóit, és a forgalmi adatok változásából meg tudja állapítani, hogy a hálózaton belül melyik gépet/gépeket és azon belül melyik portot/portokat bombázzák nagyobb adattömeggel.

A rendszer jelenleg Solaris és Linux környezetben lett tesztelve, a Magyar Akadémiai Hálózat összes regionális központjára telepítve lett.