Сетевая статистика.
|
Сетевая статистика. |
|
С целью детального анализа характера трафика клиентов и внешнего трафика для клиентов и внешних счетчиков может быть включен сбор и запись сетевой статистики.
Статистика собирается в контексте IP-адресов, типов протоколов и портов. Для трафика, снятого с прокси сервера, также записывается еще и имя хоста.
Для сбора сетевой статистики для каждого объекта учета, клиента или счетчика, заводится коллектор. Это некая временная таблица счетчиков, где записи группируются по IP-адресам, протоколам, портам и именам хостов. Данные в коллекторе группируются по IP адресам, хостам и протоколам. По портам данные тоже группируются, но тут имеется логика, которой решаются задачи -
| • | С одной стороны требуется минимизировать количество записей. |
| • | С другой стороны, требуется подробная информация о характере трафика. |
Для TCP трафика данные группируются по порту серверной стороны. Т.е. если имеется несколько соединений на один порт одного адреса, то данные пишутся в одну запись и порт со стороны клиента тут не учитывается.
Для UDP определить серверную сторону невозможно. Тут для минимизации количества записей порты более 1023 трактуются как динамические и данные пишутся в одну запись. Но имеется возможность описать список портов, для которых всегда трафик будет писаться отдельными записями, т.е. без группировки.
В сетевую статистику также пишутся атрибуты трафика клиента, что значительно облегчает отладку -
| • | Наценки (скидки). Отдельно для входящего и исходящего трафика. |
| • | Ограничение скорости. Отдельно для входящего и исходящего трафика. Не следует это путать с реальной скоростью. |
| • | Маршрут. Пишется имя внешнего интерфейса, на который трафик должен быть перенаправлен при работе Advanced Routing. |
Для внешних счетчиков в атрибуты пишется тип трафика, если он контролируемый, что может облегчить отладку фильтров сетевого экрана.
Трафик с разными атрибутами не группируется, т.е. пишется в отдельные записи сетевой статистики.
По умолчанию для клиентов пишется только платный трафик. Но имеется настройка, где можно включить запись всего трафика, снимаемого с внутренних интерфейсов. Для учета неавторизованного трафика в этом случае имеется отдельный коллектор. Запись всего трафика может потребоваться для отладки работы программы.
Для более детального анализа каждый внешний IP-адрес в коллекторе с использованием DNS может быть преобразован в имя. Это делается отдельной службой,
процесс преобразования совершенно автономный и на производительности программы никак не сказывается. Но, при наличии большого количества коллекторов, могут появиться проблемы с ресурсами в системе, поэтому для пользователей это преобразование по умолчанию отключено. Также это преобразование может быть отключено с целью экономии DNS трафика.
Записи в таблице коллектора сортируются по одному из критериев - входящему, исходящему, сумме или максимуму. Для клиентов этот критерий сортировки берется из тарифа, для внешних счетчиков задается отдельно. Данные коллектора доступны для просмотра в реальном времени и позволяют оценить, что в данный момент происходит в сети как в контексте клиентов, так и внешнего трафика.
Сетевая статистика с заданным периодом времени сохраняется в файл журнала и коллектор при этом очищается. С целью минимизации количества записей в журнал из коллектора сохраняются не все, а только наиболее активные записи в соответствии с их сортировкой. Количество сохраняемых записей и интервал их сохранения определяет степень детализации данных, используемых в дальнейшем для генерации отчетов.
Запись сетевой статистики для счетчика с отфильтрованным трафиком позволяет вести детальный анализ сетевых атак.
Virus Flood Protect.
Сетевая статистика, которая ведется для пользователей, может использоваться для защиты сервера и сети от перегрузки при заражениях клиентов вирусами. Вирусы для размножения сканируют сеть и пытаются размножаться, выбирая IP адреса случайным образом. Коллектор сетевой статистики пользователя при этом заполняется большим количеством записей. Это обстоятельство и используется для детектирования. Для настройки этой функции задается лимит записей сетевой статистики, когда происходит срабатывание защиты. При этом трафик с прокси сервера не учитывается, что позволяет более точно настроить этот лимит.
При срабатывании защиты пользователь может быть заблокирован на определенное время. Также администратору по почте может быть отправлено сообщение.
Текущая страница справки: help.smart-soft.ru/index.html?howworkns.htm