esperimento 1

UNIVERSIDADE FEDERAL DO PARÁ

Gerencia de Redes

Monitoramento da Rede

Santarém – PA

2007

UNIVERSIDADE FEDERAL DO PARÁ

Gerencia de Redes

Monitoramento da Rede

Professor: M. Sc. Cassio Pinheiro

Alunos: Idelvandro Fonseca 05 100 005 08

Leonan Costa 05 100 001 08

Luiz Felipe 05 100 012 08

Rafael Brelaz 05 100 009 08

Santarém – PA

2007

1- Introdução

O monitoramento de redes de computadores é uma forma de gerenciar os recursos que se tem em uma determinada instituição para que esta não venha a ter problemas no futuro.

O trabalho que será apresentado irá mostrar uma LAN monitorada por um tempo qualquer e em seguida feita a analise dos dados coletados, responderemos algumas questões importantes que podem vir a causar alguns problemas. A gerencia se torna importante, pois, com esses dados coletados do monitoramento ela pode tomar decisões importantes para evitar possíveis falhas ou inconsistências na rede local.

2- Descrição do Trabalhado

Selecionar de 2 a 3 aplicações de gerenciamento, instalá-las e usá-las; de forma que, em conjunto, possam caracterizar o tráfego em um rede ou host qualquer.

2.1- Problema

A rede será monitorada para que possamos determinar, que tipo de sites e serviços estão sendo visitados, de quantos bytes foram utilizados para as requisições feitas, que tipos de pacotes entram e saem pelo gateway. Com esses dados podemos dar um bom diagnóstico para que os recursos possam ser utilizados de forma correta, apontando tanto problemas de ordem técnica (equipamentos) como de ordem administrativa (falta de treinamento do pessoal da instituição).

3- Ferramentas

• EtherApe: O EtherApe é um monitor de redes baseado no etherman, que exibe a atividade na rede em modo gráfico. Possui suporte a Ethernet, FDDI, Token Ring, ISDN, PPP e PLIP, além de exibição e filtros de protocolo por cor.

O Ehterape diferente dos softwares como nagios…mrtg..pandora..etc.. não é baseado na web. Ele é um software que usa bibliotecas da gnome, Mas isto não quer dizer que ele deixe de ser poderoso por este motivo, pelo contrário, ele oferece uma característica muito útil para se descobrir um host na rede que esteja sendo atacado ou que esteja consumindo muita banda da rede. Ele marca com uma linha colorida, dependendo do protocolo, a ligação entre o host local e o host remoto e aumenta e diminui a largura da linha conforme aumenta e diminui o tráfego entre os dois hosts.

Figura1- Interface gráfica do EtherApe mostrando os pacotes que estão sendo capturados e os respectivos hosts que estão fazendo as solicitações.

Figura2- Pacotes capturados individualmente e suas legendas.

Figura3- Pacotes que estão trafegando no momento em que a rede cesta sendo monitorada e suas legendas.

• Sarg: O Sarg é um interpretador de logs para o Squid, assim como o Webalizer e o Apache. Sempre que executado ele cria um conjunto de páginas, divididas por dia, com uma lista de todas as máquinas que foram acessadas e a partir de cada máquina da rede veio cada acesso. Ele também mostra os usuários, caso o Squid esteja configurado para exigir autenticação.

A partir daí você pode acompanhar as páginas que estão sendo acessadas, mesmo que não exista nenhum filtro de conteúdo e tomar as medidas cabíveis em casos de abuso. Todos sabemos que os filtros de conteúdo nunca são completamente eficazes, eles sempre bloqueiam algumas páginas úteis e deixam passar muitas páginas impróprias. Se você tiver algum tempo para ir acompanhando os logs, a inspeção manual é sempre o método mais eficiente.

Figura4- O programa Sarg gera relatórios diários de todo o trafego na rede e o mostra neste layout

Figura5- Esta tela mostra um dia de monitoramento e os respectivos hosts que fizeram os acessos

Figura6- Mostra o trafego gerado por apenas uma maquina, quais sites ela visitou quanto tempo ficou utilizando os recursos da rede

4- Experimento

• Monitoramento da rede para o controle de acesso.

4.1- Objetivo

• Otimizar os recursos que estão sendo empregados, identificando os usuários através de logs do sistema sabendo o que estes estão acessando, qual o tempo de duração, quantos bytes estão sendo gastos, e com esses dados gerar diagnósticos mais precisos para a otimização da rede.

4.2- Áreas Funcionais

l Monitoramento, controle de acesso, QoS, desempenho

4.3- Ferramentas

l EtherApe e Sarg

5- Procedimento

• As ferramentas serão instaladas em uma maquina que esta em uma rede esta maquina irá capturar os pacotes utilizados pelos hosts com as ferramentas Ethrrape e Sarg.

• Observação dos resultados gerados pelas ferramentas que mostram o trafego gerado em um determinado tempo de monitoramento.

A ferramenta EtherApe captura os pacotes assim que as requisições forem feitas por cada usuário.

A ferramenta Sarg Mostra o monitoramento por dia e pode-se acessar cada dia e ver o quais sites o usuário visitou, os sites mais visitados, tempo de duração e etc .

• após o monitoramento será gerado um relatório apontando quais sites mais visitados se estes apresentam conteúdo que sejam pertinentes para o desenvolvimentos de atividades acadêmicas ou administrativas da organização.

Mostraremos também o tempo de utilização dos recursos e a quantidade de bytes que estão sendo utilizados durante os acessos.

6-Resultados

Após o tempo de experimento de 5 horas utilizando a ferramenta de monitoramento EtherApe foi observado que o maior numero de protocolos usados foi o NETBIOS-NS (compartilhamento de arquivos -windows) com 9088 pacotes, TCP (Protocolo de Transporte) com 6662 pacotes em seguida vem o protocolo WWW (Protocolo de acesso a Web) com 5122 pacotes.

Utilizando a ferramenta Sarg Obtemos o numero total de acessos a sites, tempo utilizado por cada usuário, bytes gastos por cada acesso em sites, numero de conexões realizadas e sites mais visitados. Observamos que em média são gastos 45 min por usuário acessando a internet (Amostra), 26.70Mb em média gastos por usuário, conexões feitas em média foram de 2,47K.

7- Soluções

Nesse período de monitoramento observamos que a implantação de um QoS viria a melhorar o desempenho da rede, pois vimos que não temos a implementação de cotas de largura de banda para usuários, estes utilizariam melhor os recursos em aplicações administrativas, pois o trafego gerado não é diferenciado entre usuários administrativos e usuários comuns, assim as requisições feitas por ambos sofre o mesmo atraso o que em dias de grande consumo de banda iria acarretar em falhas dessas aplicações.`

8- Bibliografia

www.wikipedia.com

www.cassio.orgfree.com

www.vivaolinux.com.br

www.guiadohardware.net

Experimento 1

UNIVERSIDADE FEDERAL DO PARÁ - CAMPUS SANTARÉM

BACHARELADO EM SISTEMAS DE INFORMAÇÃO
GERÊNCIA DE REDES PROF. CÁSSIO PINHEIRO

--------------------------------------------------

COMPONENTES DA EQUIPE:

Danielle Baetas
Valsergio Rebouças
Andrêza Leite

Experimento 1: Monitorar uma rede para identificar as atividades de cada maquina.

Objetivo: Monitorar uma rede para identificar qual ou quais as maquinas que estão consumindo toda a banda da rede.

Área Funcional: Segurança e Contabilização;

Ferramentas: WireShark e Mib Browser;

Wireshark

Wireshark é a mais popular rede mundial de analisador. Esta ferramenta muito poderosa rede e fornece informações sobre a camada superior protocolos dados capturado em uma rede. Tal como uma série de outros programas de rede, Wireshark utiliza a rede eliminando biblioteca para capturar pacotes. : O Wireshark força vem de: - A sua facilidade de instalação. - A simplicidade de utilização das suas interfaces GUI. - O número muito elevado de funcionalidades disponíveis.



Características

• Os dados podem ser capturados "do fio" de uma conexão de rede vivos ou ler um arquivo capturar.
• Live dados podem ser lidos de Ethernet, FDDI, PPP, símbolo anel, IEEE 802.11, Classical IP sobre ATM, e loopback interface (pelo menos em algumas plataformas; Não de todos os tipos são suportados em todas as plataformas).
• Capturado rede de dados pode ser navegado através de uma GUI, ou através do terminal (linha de comando) versão do utilitário, tshark.
• Capturado arquivos podem ser editados ou programática convertido por meio de linha de comando para os interruptores "editcap" programa.
• Display filtros também podem ser usados para destacar seletivamente e cor maço informações resumidas.
• Dados visor pode ser refinada usando um filtro visor.
• Centenas de protocolos pode ser dissecado.

Segurança

Capturando bruto tráfego a partir de uma interface de rede requer privilégios especiais em algumas plataformas. Por esta razão, muitas vezes Wireshark corre com privilégios Levando em conta o grande número de protocolo dissectors, que são chamados quando o tráfego para o seu protocolo é capturado, isso pode representar um grave risco de segurança dado um bug em um dissector. Devido ao grande número de vulnerabilidades e não no passado (muitos dos quais têm permitido código remoto execução) e do desenvolvedor dúvidas para melhor desenvolvimento futuro, OpenBSD removido Ethereal de seus portos árvore antes da sua libertação 3.6. Uma alternativa possível é executar o tcpdump, ou o dumpcap utilitário que vem com Wireshark, com privilégios de superusuário capturar pacotes em um arquivo, e mais tarde analisar estes pacotes executando Wireshark com privilégios restritos sobre o pacote capturar o arquivo de dump.

Mib Browser 5.70

MIB Browser é um aplicativo para auxiliar HostMonitor. É incluído no pacote Advanced Host Monitor (desde a versão 5.70); MIB Browser permite visualizar a hierarquia de SNMP MIB variáveis na forma de uma árvore e lhe fornece informações adicionais sobre cada nó. Com MIB Browser você pode facilmente carga (compilar) padrão e proprietárias dos arquivos MIB, visualizar e manipular dados que está disponível em um agente SNMP.

Quando você estiver configurando SNMP Get ou SNMP Trap métodos de ensaio com MIB Browser instalado HostMonitor permite especificar SNMP variáveis por um nome (juvenis iso.org.dod.internet.mgmt.mib - 2.system.sysUpTime.0) Bem como por um OID em formato numérico (juvenis 1.3.6.1.2.1.1.3.0). Se você clicar no botão "Browse MIB" botão ao lado de "OID" campo, HostMonitor lançará MIB Browser exibindo a hierarquia da árvore SNMP variáveis.

A variável especificada (se houver), é destacada e informação adicional é exibida para ele (como estado, o acesso modo, a descrição). Agora você pode navegar variáveis, escolher outra variável, se necessário, e clique em [OK] botão para utilizar a variável seleccionada por HostMonitor. Além disso, através de uma base de dados compilados dos arquivos MIB HostMonitor pode traduzir OID a partir da sua forma numérica para o MIB nome para SNMP Trap mensagens recebidas.

Nesse caso MIB Browser é necessário quando você deseja prorrogar um banco de dados que inclua informações sobre MIB apoiado por alguns específicos SNMP aparelhos habilitados (juvenis seu roteador CISCO 1603).

MIB Browser pode efetuar SNMP Get. Get_Next pedidos e permitindo - lhe verificar a regularidade eo valor atual do contador em específico agente SNMP. A propósito: você pode descobrir IP - Tools' SNMP Scanner utilidade útil para suas necessidades. Scanner SNMP permite - lhe digitalizar um intervalo ou lista de hosts desempenho Ping, DNS e SNMP consultas. Para cada dispositivo SNMP respondendo o scanner exibe informações adicionais. Mais informações sobre o SNMP Scanner está disponível em http://www.ks-soft.net/ip-tools.eng/mframe.htm info.htm # # snmpscan

PROCEDIMENTOS

O monitoramento é feito através da captura dos pacotes e movimentação na rede com as ferramentas usadas; Observa-se os resultados onde são analizados os pacotes capturados na rede a indentificados suas aplicações/operações; Ao interromper a captura dos pacotes, são apresentados dados estatísticos (gráficos) relativos a conexão da rede no tempo do experimento;



RESULTADOS

Com o resultado identificamos que a máquina com IP10.10.10.2 obteve o maior fluxo na rede durante o experimento como mostra no exemplo abaixo:


PROBLEMAS

Rede lenta; Over Rede, pois a máquina citada acima sobrecarregou o trafego da rede;

SOLUÇÕES

Em testes executados na rede o problema de sobrecarga, devido ao grande numero e requisições de uma máquina específica, pode ser contornado através da definição de cotas pela contabilização da rede.

REFERÊNCIAS

• http://www.ireasoning.com
• http://www.ks-soft.net/hostmon.eng/mibbrowser/

Experimento 1

UNIVERSIDADE FEDERAL DO PARÁ - CAMPUS SANTARÉM
BACHARELADO EM SISTEMAS DE INFORMAÇÃO
GERÊNCIA DE REDES
PROF. CÁSSIO PINHEIRO
__

COMPONENTES DA EQUIPE:
BRAWLIO RICARDO DA COSTA TAVARES
GABYELLA GIVONI DE FREITAS
ÍSIS RIVANE BATISTA
JULIMAR RIAN SIQUEIRA DA ROCHA

Experimento 1: Selecionar de 2 a 3 aplicações de gerenciamento, instalá-las e usá-las de forma que, em conjunto, possam caracterizar o tráfego em uma rede ou host qualquer

Objetivo: Analisar o tráfego da rede interna, utilizando simultaneamente duas ferramentas de gerenciamento, de modo a traçar um comparativo entre as capturas feitas por cada uma.

Áreas Funcionais: Segurança e Desempenho.

Ferramentas:
Ferramenta - Wireshark (Ethereal) 0.99.6
Analisador de protocolos de rede, que permite capturar e navegar de maneira interativa entre os conteúdos da estrutura de rede.
É considerado um dos mais úteis analisadores desenvolvidos para ambiente Linux.

Ferramenta - EtherApe 0.9.7
Monitora e exibe graficamente o tráfego da rede, pois ao invés de listar os pacotes que transitam, apresenta um gráfico que mostra as conexões e o tráfego.
Oferece a possibilidade de ajustar a captura de pacotes, podendo determinar a captura de tráfego Ethernet, TCP ou IP.
Requer Gnome 2.0 (ou mais recente); GTK + 2.x (ou mais recente); Libglade 2 e The libpa.

Procedimentos:
1. Busca de ferramentas para realizar o experimento;
2. Instalação das ferramentas em ambiente Linux;
3. Após a instalação, deu-se início aos experimentos. As duas ferramentas utilizadas foram iniciadas conjuntamente, a fim de avaliar o tráfego capturado por cada uma. Assim, foi possível o modo que cada uma analisa o comportamento da rede.

Pacotes capturados no Wireshark + Janela com dados da conexão do EtherApe:

Gráfico do tráfego da Rede - EtherApe:

Pacotes capturados no Wireshark + Janela com dados da conexão do EtherApe:

Resultados:
Dentre outras coisas, foi verificado que, após dar um comando ping para www.google.com.br, as duas ferramentas apresentaram resultados semelhantes, identificando a mesma quantidade de pacotes e os mesmo protocolos; exceto pelo protocolo ARP, que foi identificado somente pelo Wireshark.
Verificou-se também que o Wireshark identifica mais tipos de protocolos do que o EtherApe, além de oferecer a possibilidade de análise de cada pacote isoladamente. Wireshark possibilita observar informações mais detalhadas sobre o tráfego, identifica quem solicita, qual o destino da requisição, quantidade de frames e informações detalhadas de conexão.
Em contrapartida, analisar o tráfego da rede pelo EtherApe é mais simples, pois a ferramenta apresenta tudo de modo visual. Através apenas de gráficos é possível observar o fluxo de dados transitando na rede, a quantidade e os tipos de protocolos estabelecidos nas conexões e o período de análise.

Problemas:
1. Qual a frequência do uso da minha rede?
2. Que tipos de pacotes entram e saem pelo gateway?
3. Qual a taxa de erro?
4. Quantos pacotes são descartados?

Soluções:
1. No horário verificado, a utilização da rede foi mediana. Verificou-se uma quantidade pequena de acessos e lentidão da rede.
2. No nosso experimento, foram identificados vários tipos de pacotes, como TCP, HTTP, UDP, DNS, ARP, MDNS, etc.
3. e 4. Não foram verificados descartes de pacotes nem taxa de erro, pois não tivemos acesso ao tamanho do buffer e nem ao tráfego que chega ao roteador.
Referente aos problemas 2 e 3, não temos como empregar soluções, visto que o acesso aos dados necessários para uma análise são restritos.

Bibliografia:
Superdownloads
Agatetepê
Viva o Linux
UFRGS