Os monitores de tráfego de rede funcionam capturando e analisando pacotes de rede à medida que passam por um segmento de rede. Eles conseguem isso usando uma variedade de métodos, e os detalhes dependem do tipo de monitor e de sua implantação. Aqui está um colapso das técnicas comuns:
1. Captura de pacotes (fungando): * Modo promíscuo: A maioria dos monitores opera em "modo promíscuo" em uma interface de rede. Isso significa que a interface recebe * todos os pacotes * no segmento de rede, não apenas aqueles endereçados a ele. Isso é crucial para capturar todo o tráfego, mesmo entre outros dispositivos.
*
torneiras: Para monitoramento ou situações de alto desempenho em que a presença do monitor não deve afetar o desempenho da rede, as torneiras de rede são frequentemente usadas. Estes são dispositivos de hardware físico que criam uma cópia do tráfego de rede e o enviam para o monitor sem afetar o caminho principal da rede. Isso é especialmente importante em ambientes de alta largura de banda.
*
Spanning/Port Mirroring (Switches): Muitos interruptores gerenciados suportam o abrangência ou o espelhamento da porta. Isso permite que o comutador copie o tráfego de uma porta específica (ou grupo de portas) para uma porta de monitoramento designada. O monitor é então conectado a esta porta de espelhamento. Este é um método menos intrusivo do que uma torneira.
2. Análise de pacotes: Depois que os pacotes são capturados, o monitor analisa seus cabeçalhos e cargas úteis. Esta análise fornece informações como:
*
Endereços IP de origem e destino: Identifica os dispositivos de comunicação.
*
portas de origem e destino: Identifica os aplicativos ou serviços envolvidos (por exemplo, HTTP, SMTP, DNS).
* Protocolo
: Determina o protocolo de comunicação (por exemplo, TCP, UDP, ICMP).
*
Tamanho do pacote: Indica a quantidade de dados transmitidos em cada pacote.
*
Timestamp: Registros quando cada pacote foi capturado.
*
carga útil (opcional): Dependendo das configurações e de segurança do monitor, o monitor pode analisar os dados dentro do próprio pacote. Isso geralmente é limitado devido a considerações de desempenho e preocupações com a privacidade.
3. Processamento e apresentação de dados: Após a análise, o monitor processa os dados e o apresenta de várias maneiras:
*
Gráficos em tempo real: Representações visuais dos padrões de tráfego de rede ao longo do tempo.
*
Tabelas: Listas detalhadas de atividade de rede com várias métricas.
* alertas
: Notificações quando os padrões de tráfego excedem os limiares predefinidos (por exemplo, uso de largura de banda alta, atividade incomum).
*
Relatórios: Dados resumidos para análise e identificação de tendências.
*
Decodificação do protocolo: Alguns monitores podem decodificar protocolos específicos para fornecer informações mais perspicazes, revelando o conteúdo das solicitações da Web, e -mails etc. (no entanto, é importante estar atento às implicações da privacidade aqui.)
Tipos de monitores de tráfego de rede: * Monitores baseados em software: Execute em um computador e exija uma placa de interface de rede para capturar pacotes.
* Monitores baseados em hardware
: Aparelhos dedicados com poderosos recursos de processamento, geralmente usados para o monitoramento de rede de alto volume.
*
Sistemas de detecção/prevenção de intrusões de rede (IDS/IPS): Embora focados principalmente na segurança, esses sistemas também monitoram o tráfego de rede e podem identificar atividades maliciosas.
Em essência, um monitor de tráfego de rede atua como um "sniffer" altamente sofisticado que captura, analisa e apresenta dados de tráfego de rede de uma maneira fácil de entender e usar para solução de problemas, otimização de desempenho e análise de segurança. A complexidade e as capacidades desses monitores variam muito, dependendo do uso pretendido e do ambiente de destino.