Uma abordagem do monitoramento de redes com Netflow

usando o Ntop como sistema de coleta de dados

Francisco Janiel de Oliveira1,Carlos Giovanni Nunes de Carvalho

1

Pós-Graduação em Redes de Computadores, Faculdade Santo Agostinho (FSA), Av.

Walter Alencar, 665, 64.019-625, Teresina – PI – Brazil

janieltec@gmail.com,cgnc@uespi.br

Abstract.With the increasing demand for bandwidth in computer networks due

to its consumption by advanced applications and even for its misuse, the traffic

monitoring tools have become essential in the day to day management. This

article discusses the monitoring of data traffic in a local network, including

Internet access via NetFlow, based on data collection, performed with Ntop

tool. The analysis of network performance is done by monitoring the use of the

available bandwidth in order to detect the users and services that generate

traffic on the network in order to highlight problems for IT administrators.

The Ntop is used as a tool that gathers datagrams which allows to identify,

quantify and classify traffic by the network layer, transport and application

protocols. Thus allows more detailed knowledge of the traffic and the impact

on network performance.

Resumo.Com a crescente demanda por largura de banda nas redes de

computadores, devido ao seu consumo por parte de aplicativos avançados e

até mesmo por seu uso indevido, as ferramentas de monitoramento de tráfego

passaram a ser essenciais no dia a dia dos administradores. O presente artigo

aborda o monitoramento do tráfego de dados de uma rede local, incluindo o

acesso à Internet por meio do Netflow, baseado em coleta de dados, realizada

com a ferramenta Ntop. A análise de desempenho na rede é feita monitorando-

se o uso da largura de banda disponível, com o objetivo de detectar os

usuários e os serviços que geram tráfego intenso na rede a fim de evidenciar

problemas para os administradores de TI. O Ntop é utilizado como ferramenta

que coleta os datagramas a qual permite identificar, quantificar e classificar o

tráfego pelos protocolos da camada de rede, transporte e aplicação. Dessa

forma, permite o conhecimento mais detalhado do tráfego e o impacto sobre

desempenho da rede.

Palavras-chave

Monitoramento de tráfego de redes; Netflow, Ntop, nProbe.

1. Introdução

A Internet é um serviço essencial a qualquer organização. O uso dela para fins

não autorizados pode levar à drástica saturação. Uma rede mal gerenciada pode levar ao

congestionamento com má utilização do link e podendo gerar indisponibilidade.

O congestionamento repentino ou constante pode ter origens dos mais variados

tipos; entre eles, pode-se mencionar: o vírus; aplicações que usam excessivamente a

rede; concorrências de ações na rede; má configuração dos servidores, de equipamentos

e demais recursos de rede; e por fim facilidades de comunicação à disposição do usuário

como os aceleradores de downloads, serviços de compartilhamento de arquivos p2p

(peer-to-peer), VoIP (Voz sobre o IP), videoconferência, streams de vídeos, streams de

rádios, VPNs (Rede Virtual Privada) e a computação em nuvem.

Diante das inúmeras aplicações disponíveis atualmente, é recomendável que as

redes sejam planejadas de forma mais abrangente, focadas no aumento do consumo da

largura de banda e na quantidade de dispositivos móveis que acessam a rede. As

facilidades de acesso à Internet estão embutidas, via wireless, em aparelhos celulares,

tablets, netbooks e notebooks. Esses dispositivos demandam uma carga extra pelo

acesso eventual.

Sabendo dessas necessidades, o gerente de TI (Tecnologia da Informação)

precisa ter conhecimento das atividades que ocorrem na rede. Antes de tomar qualquer

medida, sua decisão deve ser fundamentada nos dados provenientes de uma ferramenta

de monitoramento robusta.

O Netflow1 é uma sonda que captura todo tráfego que passa em um switch ou

roteador. Esse protocolo mostrou uma versatilidade para visualizar diversos eventos que

trafegam na rede. O Netflow dispõe de recursos que facilitam o monitoramento, como:

ajudar na detecção de DoS (negação de serviços) e avaliar a qualidade de serviço. Os

datagramas Netflow contêm informações valiosas sobre estatísticas de fluxo, que devem

ser exportadas para um software coletor, que mostrará as ações que estão correndo na

rede.

Entre os vários coletores de datagramas Netflow disponíveis no mercado, o

Ntop[8] é uma ferramenta de código aberto que dispõe de um plugin que habilita a

visualização do tráfego a partir dos dados de fluxo Netflow. A junção do Netflow com

Ntop fornece uma solução de baixo custo para empresas de poucos recursos financeiros.

O presente artigo investiga a combinação do Netflow com o Ntop na produção

de informações sobre o panorama de uma rede de computadores. Entre as informações,

é importante que se descubra quais as aplicações que mais acessam a rede, os hosts mais

acessados e os usuários que mais usam o link. Esses dados dão indício para descobrir

possíveis situações de congestionamento e isso possibilita permitir ao administrador de

TI tomar as melhores decisões para o controle da rede.

Os demais pontos desse artigo estão organizados da seguinte maneira: na seção 2,

é explicado o referencial teórico; na seção 3, é mostrada a metodologia que foi aplicada;

na seção 4, é detalhada a implantação das ferramentas abordadas e como essas se

relacionam; na seção 5, são apresentados alguns resultados; na seção 6, são apresentadas

as considerações finais.

2. Fundamentação Teórica

Dentre as diversas tecnologias de monitoramento de redes, três se destacam:

SNMP[14], Sniffer e Netflow. A seguir, é possível observar uma visão geral destas

ferramentas e entender melhor o funcionamento do Netflow.

2.1. SNMP

A primeira tecnologia de monitoramento e a mais simples é o uso do protocolo

1 Netflow:http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html

SNMP. O protocolo SNMP, por sua ampla aceitação entre os principais fornecedores de

dispositivos de rede e por implementar as políticas de gerenciamento de redes definido

pelo modelo TCP/IP, tornou muito comum seu uso.

O SNMP, por ser um padrão mais antigo, já vem embutido em vários

dispositivos como roteadores ADSL, switches e dispositivos de redes em geral[9]. O

SNMP também pode ser instalado em sistemas operacionais. Por ser um padrão mais

tradicional, o SNMP é o protocolo mais utilizado para monitoramento, pois é fácil de

ser configurado, requer pouca largura de banda e pouca carga de CPU. Para estudos

iniciais de monitoramento, recomenda-se o uso de SNMP. Existem ferramentas open

source que integram o monitoramento com SNMP; entre elas, pode-se mencionar o

MRTG2 que é bem simples de se configurar e o Nagios

3, que possibilita configurar

muitas funções úteis, sendo um forte aliado ao gerente de rede.

O SNMP é um sistema de monitoramento baseado em três fatores: Aplicações

Agente, Aplicações Gerente e um esquema de comunicação predefinidos nas bases de

informações gerenciais(MIB). As aplicações agentes ficam instaladas nos ativos das

redes que se pretende monitorar. A aplicação gerente é executada em um servidor, que,

por sua vez, coleta todos os dados dos ativos configurados com a aplicação agente.

Dessa forma, os administradores acessam os gráficos e tabelas através de uma interface

para aplicação gerente e assim são conhecidas as atividades que ocorrem na rede[12].

De acordo com [1], a leitura de informação de tráfego baseada no SNMP está

implementada na extração dos dados armazenada nas MIB dos agentes dos dispositivos

de rede. A informação do fluxo que pode ser extraída pelo SNMP inclui: bytes de

entrada, bytes de saída, pacotes de saída e assim por diante. A tecnologia de

monitoramento do tráfego baseada no SNMP é mais fácil e conveniente de se utilizar.

Suas desvantagens estão na precisão ao obter os dados, além de ser pobre sobre as

informações da rede, principalmente as informações extraídas da camada de rede e da

camada de transporte dos equipamentos. Isso é comprovado em [3] ao mencionar que

informações úteis como: origem e destino de endereço IP de um dado e sua respectiva

porta TCP/UDP está disponível no Netflow, porém, não é possível obter esses dados ao

trabalhar com SNMP.

Em um outro contexto que também evidencia esses pontos fracos do SNMP está

na solução proposta por [2], que menciona o protocolo SNMP em não gerar dados

precisos em conexões fim a fim.

Dependendo da situação de monitoramento, conforme discutido em [3], o SNMP

pode ser usado como uma alternativa ao Netflow, desde que o administrador de TI tenha

a certeza que as informações básicas como pacotes/seg, bytes/seg sejam suficientes.

Essas razões justificam o fato do SNMP não ter sido usado como implantação,

pois se buscava uma tecnologia de monitoramento que produzisse informações mais

precisa sobre o tráfego da rede.

2.2. Sniffers

A segunda solução tecnológica de monitoramento são os farejadores de pacotes

ou sniffers. O sniffer é um programa residente em uma máquina conectada a um

segmento de rede que captura todo o tráfego que flui nesse segmento. Uma técnica

2 MRTG: Multi Router Traffic Grapher - Diponviel em http://net-snmp.sourceforge.net/

3 Nagios: Disponível em: http://www.nagios.org/

bastante utilizada está no espelhamento do tráfego de um segmento para uma porta do

switch, que vai ser conectada a uma máquina que esteja executando o sniffer, também

conhecido como analisador de protocolo. Umas das ferramentas bastante utilizada nessa

situação é o Wireshark4.

É importante ressaltar que o sniffer pode ser usado tanto como meio de gerência,

quando visa à coleta e ao tratamento dos dados para fins de melhoria em uma rede,

como também para quebra de privacidade em relação aos dados transportados.

O sniffer é uma das mais tradicionais tecnologias de monitoramento. Captura

muita informação e isso demanda espaço em disco. Uma grande desvantagem dessa

tecnologia é mencionada em [2], que explica que software baseado em sniffer não pode

ser usado em situação de rede de alta velocidade devido ao grande arquivo de log que

seria gerado.

A tecnologia de monitoramento de redes baseada no espelhamento de portas de

switch gerenciável analisa um tráfego por um analisador de protocolo que coleta dados

e reúne estatísticas do comportamento do tráfego. A análise de protocolo de rede é o

método básico de testes para detecção de problemas, análise de desempenho na busca de

"gargalo" e para uso na simulação de redes. Porém, o sniffer é recomendado apenas para

o tráfego de análise de protocolo de espelhamento em um único link, não é adequado

para o monitoramento de tráfego de toda rede que possua vários links[1].

Como as ferramentas farejadoras de pacotes tendem a gerar grandes arquivos de

log quando utilizado em rede de alta velocidade, essa particularidade pesou em não ser

implantada como base para o presente trabalho. Porém, suas vantagens para lidar com a

leitura de cabeçalhos de pacotes são aproveitadas por ferramentas de monitoramento

para construir o protocolo Netflow através do nProbe[15], que se apresenta como uma

solução de baixo custo, usando a técnica RRD5

de armazenamento de dados. Dessa

forma, o sniffer torna-se útil para se emular um Netflow que já vem presente em

roteadores de custo mais elevado, o que possibilita usá-lo em qualquer PC que faça o

papel de um roteador. Assim, o nProbe foi implantado para estudo no presente trabalho.

3.3. Netflow

A terceira tecnologia utilizada para monitoramento de redes é o Netflow. O

monitoramento do tráfego de redes baseado nessa tecnologia acontece normalmente

através da aplicação Netflow, presente nos equipamentos de redes que realizam as

coletas das informações. O Netflow é um protocolo padronizado desenvolvido pela

Cisco e presente nos roteadores da Juniper, Extreme, Huawei e outros fornecedores.[1]

A tecnologia baseada no fluxo é rica em informações. O uso do Netflow é

mencionado como ponto de partida para diversas soluções de monitoramento de dados.

Sua presença na literatura atual é bastante extensa, tornando-se a referência para o

estado da arte no quesito monitoramento de redes baseada em fluxo.

A solução proposta por [2] para um sistema de monitoramento de rede de

backbone faz o uso do Netflow para coleta de dados. Dessa forma, o Netflow é base

para o monitoramento em tempo real em redes de alta velocidade.

A solução de acesso justo proposta por [13] usa o Netflow como base para se

4 wireshark. disponível em http://www.wireshark.org.

5 RRD -Round Robin Database

obter os tráfegos da rede no qual vai ser usado em um sistema de quota de acesso à

Internet baseado na prioridade.

Em uma situação diferente, está uma solução de IDS[4], em que o Netflow é

utilizado como base para o sistema de coleta de informação. Nossa proposta e o IDS são

muito similares na sequência de processamento de dados. Ambos trabalham com coleta

de dados via Netflow e a posterior análise. A diferença é que o IDS trabalha com

algoritmos para detectar padrões de anomalias ou tráfego suspeito já automatizado.

Enquanto o nosso trabalho já faz uma abordagem ao dar uma coleção de dados bem

detalhados do tráfego para o gerente de TI ver o panorama da rede.

As versões 5 e 9 do protocolo Netflow são as mais populares [10]. O Neflow

versão 9 é um método flexível e extensível para registrar os dados de desempenho da

rede. É a base de um novo padrão IETF6

conhecido como IPFIX7ou versão 10 do

Netflow.

O Netflow foi a tecnologia utilizada para caracterização do tráfego no nosso

trabalho, devido a uma série de fatores vantajosos, como facilidade de trabalhar com

grande volume de dados e conseguir monitorar o tráfego por endereços IP específicos.

Em nosso experimento, usamos a versão 9 do protocolo que disponibiliza a

ferramenta nProbe. Diante de tantas vantagens, o Netflow foi escolhido como a base

para a observação do tráfego. Seus dados gerados se mostram eficientes para montar a

base de monitoramento.

3. Metodologia

Diante das razões mencionadas, ficou em evidência que o Netflow é um protocolo

muito utilizado para solução de uma variedade de problemas relacionados ao

monitoramento de redes. O Netflow atende aos objetivos propostos em nosso trabalho.

Como já foi definido o método de captura de dados referente ao tráfego, o passo

seguinte foi selecionar o sistema de coleta para análise e processamento dessas

informações. Então, avaliando os critérios de licença livre, facilidade na instalação e

configuração e a exposição da maior quantidade de informações possíveis, o Ntop foi a

ferramenta escolhida.

3.1. A infraestrutura Netflow

O Netflow surgiu como um projeto desenvolvido para os roteadores da Cisco.

Com o passar do tempo, ele se tornou eficiente para a captura de informações que

podem mencionar o uso da largura de banda passante em um roteador. Sua consolidação

no mercado chamou a atenção do IETF para usá-lo como padrão para todos os outros

roteadores nascendo assim o IPFIX.

A infraestrutura Netflow define uma forma simples e escalável de amostragem

de fluxos de dados trafegando por dispositivos de rede como roteadores e switches. Essa

infraestrutura está baseada na noção de fluxo e permite a medição, identificação e

análise dos tráfegos em uma rede de computadores[7].

Um fluxo é definido como uma sequência unidirecional de pacotes trafegando de

um ponto a outro na rede. Os pontos fonte e destino de um fluxo são identificados pelos

6 IETF - Internet Engineering Task Force

7 IPFIX - Internet Protocol Flow Information eXport

endereços IP e pelo número de porta do protocolo de nível de transporte. O campo TOS

(Tipo de Serviço) do cabeçalho IP e o identificador de interface de entrada também são

utilizados pelo Netflow para identificar univocamente os fluxos.

O processo de funcionamento do Netflow se baseia na seguinte estratégia: os

dispositivos de rede observam os pacotes que chegam sobre suas interfaces e capturam

as estatísticas de tráfego por fluxo com base na configuração de amostragem ou de

filtragem, então eles criam um cache de fluxo, agregam e exportam os dados através de

UDP (User Datagram Protocol) ou SCTP (Stream Control Transport Protocol) para um

coletor[10].

A Figura 1 apresenta o processo básico de formação de Netflow, exportação,

armazenamento e análise.

Figura 1. Processo Netflow[10]

O mecanismo de trabalho do Netflow é executado em duas fases. Na primeira,

os roteadores ou switches com Netflow habilitado permitem a exportação de datagramas

contendo informações relativas aos fluxos capturados para uma estação coletora. Nessa

fase, ocorre a inspeção de pacotes e execução de cache dos fluxos. Na segunda fase, os

coletores recebem, armazenam e disponibilizam os dados para aplicações que realizarão

a análise deles.

Os roteadores ou switches que têm a função Netflow embutida possuem um

custo mais elevado em relação aos roteadores/switches comuns. Uma solução de baixo

custo é a construção desse protocolo em um PC (Personal Computer) comum com o

uso da ferramenta de licença gratuita.

3.2. A Sonda Netflow.

Em um ambiente de administração de redes que possui switches e/ou roteadores

que contêm o protocolo Netflow embutido, eles só precisam ser habilitados. Nessa

situação, é necessária a execução de comandos nesses dispositivos informando o

endereço IP e a porta do coletor para obter os dados que trafegam por esses

equipamentos.

Uma solução de baixo custo para quem não dispõe desses dispositivos ou não

tem acesso a eles é a instalação de sondas Netflow usando os recursos das ferramentas

de licença livre como o fprobe8

ou nProbe no gateway.

O fprobe é uma sonda Netflow mais simples e de fácil instalação. O fprobe pode

ser obtido via apt-get install na distribuição Debian 6.0. Ele é mais limitado por só

8 fprobe: disponivel em http://fprobe.sourceforge.net/

trabalhar até a versão 5 do protocolo Netflow.

O nProbe já tem mais recursos pois trabalha na versões V5/V9/IPFIX. É uma

sonda Netflow muito poderosa que pode ser implementada em computadores comum de

baixo custo e, dependo da configuração, pode ser considerada melhor que as sondas

Netflow comerciais que são baseadas em roteadores[15]. O nProbe possibilita três

opções de configuração: somente sonda, sonda e coletor e proxy.

O mecanismo de funcionamento do nProbe no modo sonda se baseia na inspeção

de pacotes com uso da biblioteca libpcap [5], que flui em um segmento Ethernet,

calcula os fluxos Netflow e, posteriormente, exporta-os para os coletores específicos.

O nProbe foi projetado para ser executado em ambientes de recursos limitados;

oferece suporte para os principais sistemas operacionais que incluem o Unix, Windows

e MacOS X; adequado para redes Gbits e está sob a licença GNU GPL (General Public

License) [15].

Essas características demonstraram a eficiência que o nProbe proporciona. Essas

razões foram essenciais para trabalhar essa ferramenta no desenvolvimento do nosso

trabalho.

3.3. O Coletor dos datagramas Netflow

Nesse trabalho, avaliamos as características definidas pelo Netflow usando o

tráfego real em uma instituição de ensino como referência. O Ntop foi usado como

coletor dos dados gerados pela sonda do Netflow baseada na ferramenta nProbe.

O Ntop é um medidor de tráfego portável free e uma ferramenta de

monitoramento. Quando usado no modo sonda, ele utiliza a biblioteca libpcap para

capturar os pacotes na rede e fazer a análise de protocolos. Porém, é menos eficiente

que o nProbe. Além de executar essa função de sniffer, ele também trabalha com um

coletor de fluxo do Netflow, precisando apenas que plugin disponível na ferramenta seja

ativado.

Na informática, define-se plugin todo programa, ferramenta ou extensão que se

encaixa a outro programa principal para adicionar mais funções e recursos a ele. Nesse

caso, o plugin Netflow é ativado para exercer a função de coletor. Deixando de lado a

função de sonda que o Ntop já carrega integrado em sua estrutura. Essa preferência em

se usar essa configuração como coletor é baseada em [15], que explica que, no modo

sonda, o nProbe mostrou-se mais eficiente.

No estudo elaborado por [6], esta ferramenta é navegada a fundo mostrando toda

sua estrutura, seus recursos e sua eficácia no monitoramento de redes de computadores

de dimensão variada. Embora o estudo abordar versão 3 e nosso trabalho com versão 4

da ferramenta, as informações presentes são de vital importância para o entendimento

do uso, instalação e configuração.

Esse software foi desenvolvido por Luca Deri e Stefano Suin com o objetivo

inicial de identificar rapidamente os hosts de usuários que consumiam grande parte da

banda de rede disponível (network top users, origem do nome da ferramenta). O

software evoluiu muito a partir de seu conceito inicial, atualmente possuindo opções de

medida de tráfego, monitoramento de tráfego, planejamento e otimização da rede etc.

Essas características fazem do Ntop uma ferramenta amplamente capaz de auxiliar no

desenvolvimento e manutenção das mais diversas redes de computadores[6].

Essa ferramenta possibilita a recepção de informações de tráfego via Netflow

gerado pelas sondas nProbe. Embora dentro de sua estrutura seja capaz de apresentar

vários tipos de relatórios, ela não permite a utilização de consultas arbitrárias definidas

pelo administrador de redes no método desenvolvido em [11], mas chega muito próximo

a isso, uma vez que o tempo de atualização da tela do browser pode ser reduzido.

Desde o seu desenvolvimento, o Ntop é um aplicativo voltado para Linux,

porém, com o passar o tempo, houve a necessidade de criar uma versão para Windows.

Assim, nas duas plataformas, esse aplicativo é capaz de mostrar a utilização da rede

detalhada dando a opção de exibir a utilização do tráfego por host, protocolo entre

outras informações. A interface web dessa ferramenta é capaz de gerar gráficos, o que

facilita a interpretação das estatísticas de uso. O desenvolvedor dessa ferramenta dispõe

de uma variedade de versões melhoradas da que foi utilizada em nosso trabalho. Porém,

a versão baixada contém muitos recursos, o que foi suficiente para realizar a

implantação.

O Ntop não possui em sua configuração um arquivo separado, logo se for

necessário utilizar alguma configuração diferente dos valores padrões, será necessário

passar argumentos via linha de comando ou criar um pequeno script que faça isso.

A utilização desse programa é bastante simples, basta iniciar o Ntop e em

seguida acessar o endereço http://<ip-do-servidor>:3000 no seu navegador. Na primeira

vez em que é executado, é solicitado uma senha de administrador, que poderá ser

utilizada depois para configurar alguns parâmetros via interface web.

4. Implantação

O ambiente de implementação é uma rede local de uma instituição de ensino que

dispõe de um único link para Internet de 1Gbps e uma rede local de 100 Mbps. A rede

local está formada por três sub-redes usando a técnica do IP Aliases.

IP Aliase é uma técnica de criação de placas virtuais para facilitar comunicações

com outras sub-redes. Assim a partir de placa física, pode-se multiplicá-las em várias

placas virtuais. Em Linux, a linha de comando:

ifconfig ethX:Y <IP> netmask <máscara> up.

Sendo os parâmetros:

X: o numero da interface física;

Y: o número da interface virtual;

IP: IP da sub-rede;

máscara: a máscara da sub-rede.

Dessa forma, aplicando esse comando, foi possível obter as seguintes sub-redes:

Rede 01: 192.168.0.0/16

Rede 02: 10.0.0.0/16

Rede 03: 172.16.1.0/24

A análise de tráfego da rede foi implementada em duas etapas:

Etapa 01: Definição do gateway, que é um roteador que funciona como saída de

rede, como o local estratégico para a instalação da sonda nProbe, que fará a coleta das

estatísticas do fluxo. O gateway único da rede centraliza todo tráfego de dados das três

sub-redes, seja entre elas ou com a Internet. Esse fator em comum faz do gateway o

local estratégico de toda a captura das informações necessárias para serem avaliadas e

estudadas.

Etapa 02: Configuração do coletor Ntop em uma máquina virtual. Essa estrutura

de separar o coletor da máquina que a sonda foi instalada é para manter a simulação de

um ambiente de coleta onde os roteadores e coletores ficam em equipamentos

diferentes. Essa estratégia é exibida na Figura 2, em um meio simplificado de mostrar a

transposição dos dados coletados.

Figura 2. Esquema de envio de dados

4.1. Instalação da Sonda Netflow

O nProbe deve ser instalado estrategicamente em um local que possa escutar todo

o tráfego. No nosso caso, ele foi instalado no gateway que faz o papel de firewall e

roteador de borda.

Foi usada a sonda sem armazenamento em banco de dados. Somente se fez

utilização dos caches nas suas configurações padrões.

Consegue-se obter a versão standard quando a sonda está sem plugins e captura

de pacote básico baseado na biblioteca libpcap. A versão completa é paga. O nProbe

está disponível sob a licença GPLv2 por uma pequena taxa, que é usada para a execução

do projeto e financiamento dos novos desenvolvimentos.

Existe uma versão para teste no site do desenvolvedor:

http://www.ntop.org/products/nprobe/.

Para os casos de quem trabalha em instituição de ensino, como é o caso do nosso

trabalho, só foi preciso enviar um e-mail para os autores do projeto justificando a

necessidade de usar a ferramenta para fins de pesquisa.

Depois da negociação, foi disponibilizado o arquivo:

nprobe_6.12130403_svn3362.tar.gz para ser usado no Linux.

O passo em seguida foi descompactar o pacote e trabalhar dentro da pasta com

os arquivos já descompactados. É recomendável manter a sequência dos comandos

citados abaixo:

#./autogen.sh

#make

#make install.

Após esse comando, a sonda Netflow está instalada e pronta para ser executada.

O passo seguinte foi informar onde está localizada a ferramenta de coleta dos

datagramas Netflow através do comando:

#nprobe -V 9 -i eth0 <ip:porta> > /dev/null &

O retorno da execução desse comando é o seguinte: o argumento -V 9 informa

que vai capturar os pacotes e vai exportar os datagramas na versão 9 do protocolo

Netflow. Isso deve ser mencionado, já que a versão 5 é a padrão. O argumento -i eth0

diz qual é a interface da rede que os pacotes vão ser capturados. No argumento

<ip:porta:>, o administrador de TI deve informar o endereço de rede e a porta que será

definida no coletor. Os comandos seguintes informam que a saída deve ser suprimida e

rodar em background.

Esse mesmo comando foi colocado em um script de inicialização. Caso haja

algum erro no comando, o processo deve ser morto. Cada comando digitado gera um

novo processo.

Essa ferramenta foi instalada em um servidor gateway que roda um Debian 6.0

Squeeze kernel 2.6.32-5-amd64, CPU Phennom II X4 B95 3.0 GHz Quard-Core; 8GB

de memória RAM e Placa de Rede Broadcom NetXtreme Gigabit Ethernet.

4.2. Preparação do Coletor

A máquina virtual executa um Linux Debian 6.0 kernel 2.6.32-5-686. A versão do

Ntop que foi utilizada é a 4.99.3 (32 bit).

O processo de instalação, configuração e execução do Ntop é muito simples no

Debian 6. Precisamos apenas executar os seguintes comandos. Não precisa de

configuração adicional já que ele não vai atuar como uma sonda.

#apt-get install ntop

#/etc/init.d/ntop start

Após esses comandos, o passo seguinte é colocá-los no modo coletor. Por

padrão, a porta de escuta para receber os datagramas Netflow é a 2055.

Para acessar, via browser, o Ntop, é preciso que seja informado endereço e porta

do servidor. Por default, a porta que roda o Ntop é a 3000. Logo, segue o modelo que

deve ser digitado: <IP do servidor> :3000.

Depois é só navegar nos menus: Menu Plugin → Netflow → View/Configure:

alterar ou criar uma nova interface para o dispositivo Netflow.

Na opção Local Collector UDP Port, definir o número da porta. O administrador

de TI deve ser coerente com o número dessa porta, ela deve ser igual à definida via

ferramenta nProbe.

Após definido isso, só é preciso desativar e , em seguida, reativar novamente o

processo Netflow, posto que a coleta das estatísticas já estará funcionando. Isso pode ser

feito através do próprio browser do Ntop.

Para ver os dados coletados, é preciso que a interface configurada anteriormente

seja selecionada. Isso pode ser feito via Admin → Switch NIC → <interface

configurada>.

A versão do Ntop trabalhada que não fizer acesso a banco de dados e ficar tudo

armazenado na memória RAM terá todas as informações disponíveis perdidas, se o

sistema for reiniciado.

Assim que o Ntop é iniciado, todo o tráfego será acumulado seguindo um

rodízio de substituição das informações mais antigas pelas mais novas. O ciclo se inicia

após o cache encher.

A aba all protocols → traffic dará o total de todo tráfego já percorrido desde a

última inicialização do coletor Ntop.

As páginas em html, por padrão, ao exibir o tráfego global, são atualizadas a

cada 120 segundos. Esse valor pode ser alterado conforme a necessidade do gerente da

rede. Porém, dependo do tipo de relatório, as atualizações podem variar de 3 a 10

segundos. Na nossa situação, permaneceram os valores padrões para manter a

simplicidade da ferramenta.

5. Resultados

A ferramenta Ntop agrega muitas informações sobre a rede. É preciso cuidado ao

navegar nos menus para mostrar os resultados que se deseja encontrar. Para

compreender os resultados gerados pela ferramenta Ntop, o administrador de TI precisa

ter um conhecimento avançado em redes de computadores.

A ferramenta Ntop permite visualizar uma grande quantidade de gráficos

exibindo as mais diversas informações presentes em um ambiente de rede de

computadores em pleno funcionamento. Para se manter coerente com os objetivos

propostos, o aspecto da ferramenta explorada foi em busca dos dados referentes à

velocidade de rede e mostrou fatores que exibem o pico de acesso, os sites mais

acessados e os hosts locais que mais consumem largura de banda. Os poucos gráficos

que foram gerados mostram os pontos críticos que respondem ao propósito do nosso

trabalho.

5.1. Característica do Tráfego

O throughput é definido como a quantidade de dados transferidos de lugar para

outro em unidade de tempo. Através dessa medida, é possível que se saiba a carga

passante na rede. A figura 03 mostra uma situação de um dia de uso. No gráfico exibido,

temos a variação momentânea da velocidade da rede. Os dados simplificados mostram a

medida em Mbit/s. Cada porção do gráfico é atualizada a cada 20 segundos.

Figura 3. Carga da rede

A Figura 3 apresenta um gráfico que mostra um pico de tráfego chegando aos

62Mbit/s de desempenho. Com essa informação em mãos, é possível imaginar que um

usuário ou um grupo de usuários está consumindo uma alta largura de banda em um

determinado horário. Essa situação mostra um tráfego muito acima da média. O pico de

gráfico acontece durante a média de 20 segundos. Um evento inesperado como esse

mostra a ocorrência de alto tráfego na rede que pode ser detalhado clicando-se no

gráfico para se certificar do que aconteceu. Essa situação se manifesta durante o

download de um arquivo de grande porte em alta velocidade, a visualização de vídeos

da internet por um grupo de usuários, a instalação de um programa via rede local ou a

cópia de backup para um servidor.

Conhecer a velocidade que a rede está operando é muito importante. Esses dados

mostram o dimensionamento de uso do link. Conhecer os picos de uso demonstra que

há momentos que a rede alcança sua maior velocidade possível.

Essa velocidade envolve o resultado global de download mais upload. A soma de

todas as velocidades dos hosts em determinado momento mostra a velocidade geral

conforme mostra a figura 4.

Figura 4. Velocidade global da rede.

A ferramenta Ntop possui vários recursos. Embora o interesse seja a velocidade

em bits, é possível ver as estatísticas em pacotes por segundo. A rede que foi usada para

fazer essas medidas mostra que dispõe de um link com uma boa largura de banda que

suportou um pico de 52.9 Mbit/s. Para se ter uma noção do uso geral, observa-se a

média da velocidade que está em 22.9 Mbit/s. Também, é possível obter os tempos

mais recentes como últimos 5 minutos, último minuto e no momento em que foi

visualizado. A ferramenta também possibilita ver a divisão de toda essa velocidade

entres os hosts consumidores. A Figura 5 mostra essa divisão de uso do link. Essa

estratificação dá uma visão ampla e detalhada da rede. Assim os hosts são exibidos

conforme vão usando o link em ordem de consumo de dados somando a entrada e a

saída de informação. Os dados são renovados em um cache em circular dele. Nesse

método, os dados antigos vão sendo sobrepostos aos mais novos.

A velocidade geral da rede é a soma de todas essas parcelas de velocidades dos

hosts. Embora exiba de um jeito reverso, mas mantendo a velocidade em comum, a

ferramenta Ntop permite que seja possível ver essa organização pelos hosts remotos,

possibilitando organizar pelos sites que mais envia dados para a rede local e sua largura

de banda.

O parâmetro host possibilita selecionar em dois modos exclusivos: Redes locais

ou Redes Remotas. A Figura 5 mostra um exemplo de caso para a rede local e,

completando a opção, é possível selecioná-los pelos dados enviados, recebidos ou

ambos.

Figura 5. A velocidade que cada host usa da rede em determinado momento.

5.2. Os sites mais acessados

Uma opção de uso da ferramenta Ntop é permitir encontrar quais os sites que mais

utilizam a rede e não somente sua velocidade de conexão. Assim, dos dados referentes à

arquitetura TCP/IP, é possível que se faça um diagnóstico sobre o que está ocorrendo na

rede. O Coletor Ntop, em sua configuração padrão, trabalha com os dados em cache

independe do modo que a interface RRDTool9 esteja operando. Assim, em determinados

momentos, os sites podem estar ocupando a maior largura da banda. O Ntop dá essa

possibilidade de classificar sempre o que está recentemente acontecendo. Isso é

importante para ver o estado da rede no instante em que acontecer algum problema. A

Figura 6 mostra um exemplo disso. A ferramenta foi utilizada para analisar os

protocolos TCP e o UDP, suas percentagens as quais revelam seus usos na rede.

9 RRDTool que é o acrônimo para Round Robin Databases Tool. É uma interface para geração de gráfico

em ciclo, bastante utilizado nas ferramentas de monitoramento de rede.

Figura 6 - Percentagens dos sites mais acessados a nível da arquitetura IP/TCP

A sonda nProbe é uma ferramenta comercial. A versão que foi obtida para

realização do nosso trabalho é mais restrita e foi configurada para se trabalhar nos

protocolos da camada de rede ICMP e os de transporte UDP e TCP, que é suficiente para

cumprir nossa meta. Porém, a ferramenta mostra que possui característica para se

trabalhar com configurações avançadas para enxergar os protocolos como IPSec, IGMP,

OSPF, porém, em outra versão da ferramenta e em outro modelo de configuração.

A figura 06 mostra o quanto a rede social facebook é muito solicitada ocupando

mais de 70% do link. O Ntop deixa claro para o gerente de rede o que mais trafega na

internet, que, dependendo da política de acesso, pode ser bloqueado.

5.3 Os hosts da LAN que mais consomem largura de banda

Por outro lado, mas dentro do mesmo contexto, é possível classificar os hosts

locais por consumo e mostrar a lista dos maiores consumidores. Assim, a Figura 7,

mostra a visão panorâmica da rede, considerando-se os protocolos da camada de

aplicação.

A quantidade de protocolo da camada de aplicação é muito extensa em uma rede

que está em atividade. É possível que sejam configurados os protocolos de aplicações a

serem visualizados conforme a necessidade do administrador de rede. A ferramenta

Ntop já traz pré-configurado os protocolos mais comuns. Assim, é mostrada uma

classificação dos hosts da rede local pela quantidade de dados trafegados, tanto na

entrada com na saída. Essa ferramenta se destaca por mostrar uma grande variedade de

informações, deixando, a cargo do administrador da rede, as informações mais

necessárias que devam ser exibidas.

Figura 7: Percentagem dos hosts da rede local em exibição por camada de aplicação.

6. Considerações Finais

Essas ferramentas mostram as facilidades de se trabalhar com redes diante de

tantas informações sobre o status dela. Assim, o Gerente de TI tem dados suficientes

que permitem fazer uma boa configuração do firewall e bloquear temporariamente

aqueles sites ou host da rede interna usados em excesso.

Focalizando o uso de uma ferramenta de código aberto, unido ao uso de uma boa

tecnologia de monitoramento como o Netflow, a estratificação de dados tornou-se

possível e eficiente. Esse nosso trabalho demonstrou uma pequena parte da ferramenta

Ntop e nProbe, porém, essas ferramentas dão a possibilidade de configurações mais

elaboradas e podem ser divulgadas em trabalhos futuros. É possível também melhorias e

colaboração no uso dessas ferramentas, bem como a divulgação de sua importância no

ambiente corporativo de pequenas empresas e instituições públicas em geral. É claro

que essa ferramenta não resolve tudo, mas ela em pleno funcionamento e bem

configurada permite ao administrador de TI ter uma boa visão de consumo da rede.

A importância complementar entre um equipamento que dispõe do protocolo

Netflow e outro que mantém um serviço de coleta dos datagramas gerados pelo

Netflow, no nosso caso, o Ntop, mostrou-se essencial para encontrar excesso de uso do

link, definição de top lists do usuário que mais usam a rede, sites mais acessados e

principalmente a contabilização de dados que trafegam nas portas bem conhecidas.

As ferramentas Ntop e nProbe foram utilizadas, em suas funções básicas, de

forma simplificada tanto na instalação quanto na configuração, mostrando o essencial

para o desenvolvimento do nosso trabalho. Porém, é enfático que as ferramentas têm um

grande potencial para ser posto em prática como na criação de interface com filtros

separando o tráfego interno do externo com a utilização dos parâmetros disponíveis para

o nProbe, em conjunto com o modo de exibição do Ntop.

7. Referências

[1] Song, G. The Study and Design of Network Traffic Monitoring Based on Socket

[2] Weiwei, Z., Jian, G., Wenjie, G., Shaomin, C. Netflow - Based Network Traffic

Monitoring

[3] Nieuwelaar, M., Hunt, R. (2004). Real-time carrier network traffic measurement,

visualisation and topology modelling. Elsevier

[4] Bin, L., Chuang, L., Jian, Q., Jianping, H., Ungsunan, P.(2008). A NetFlow based

flow analysis and monitoring system. Elsevier in enterprise networks

[5] McCanne, S., Leres, C. Jacobson, V.(1994) libpcap, Lawrence Berkeley National

Labs

[6] Maron, A. K., Pinheiro, A. B. Network Top: Uma Ferramenta Automatizada para

Análise e Gerenciamento de Redes.

[7] Rosa, D.M.,Pereira, E. D. V., Granville, L .Z., Almeida, M. J. B. e Tarouco, L. M. R.

Uma Solução Baseada em Web Services para o Gerenciamento de Coletores NetFlow

Distribuídos

[8] Deri, L., Suin, S. (1999). Ntop: beyond ping and traceroute, in: Proceedings of

DSOM '99, Zurich, Switzerland, October.

[9] Moura, G. C. M. Monitoramento de Redes utilizando Netflow e Software Livre:

estudo de caso no POP-GO

[10] Li, B., Springer, J., Bebis, G. e Gunes, M. H.(2013). A survey of network flow

applications. Elsevier.

[11]Gomes, C.L., Junior, E.P.D., Hara, C.S,.M., Monitoramento de Tráfego de

Backbones Baseado em Sistemas Gerenciadores de Streams de Dados -UFPR.

[12] Domingos, T. Pereira, S. Reis, D. Silva, C. Barrére, E.(2005) Gerenciamento de

uma rede através do Protocolo SNMP

[13]Lin, T.C., Sun, Y.S., Chang, S.C., Chu, S.I., Chou, Y.T., Li, M.W.(2004)

Management of abusive and unfair Internet access by quota-based priority control.

Elsevier

[14]Karing, A., Protótipo de um sistema de monitoramento de desempenho de redes de

comutadores baseado no protocolo SNMPv3. Trabalho de Conclusão de Curso.

[15]Deri, L.(2003). nProbe: an Open Source NetFlow Probe for Gigabit Networks,

Proceedings of Terena TNC, Zagreb, May 200