Интегрированные сети ISDN
Вариации tcpinsegs и udpindatagrams в течение недели
Рисунок 4.1.2. Вариации tcpinsegs и udpindatagrams в течение недели
Для защищенных систем доступ к snmp-резиденту в пакетах должно использоваться поле community = паролю. Но даже эта мера не может блокировать вторжение со стороны LAN, так как в результате перехвата snmp-пакетов пароль может быть открыт. При написании таких программ нужно учитывать версии MIB, используемые анализируемыми узлами, а также тот факт, что snmp-отклики могут иметь для разных операционных сред. Рассмотрим, как варьируются некоторые из перечисленных переменных в течении суток и недели. На Рисунок 4.1.2 видны спады сетевой активности в ночное время и в выходные дни. Левый край диаграммы соответствует понедельнику 9 сентября (ночь), правый - понедельнику, но уже следующей недели. На Рисунок 4.1.3 приведена диаграмма вариации некоторых переменных за сутки. Сетевая активность захватывает период от 10 часов утра и спадает почти до нуля к 9-10 вечера, хотя бывают и исключения. Для эффективной интерпретации временных зависимостей можно использовать программу мониторинга last (или любой ее эквивалент), которая позволяет отслеживать появление новых пользователей или процессов (например, ftp). Фрагмент распечатки, выданной программой last на ЭВМ, snmp-резидентом которой пользовалась наша программа, приведен ниже.
ms977 |
pts/0 |
vitep5.itep.ru |
tue sep 10 23:49 - 00:16 (00:27) |
ms977 |
pts/2 |
vitep5.itep.ru |
tue sep 10 22:20 - 23:46 (01:26) |
ostrouh |
pts/0 |
athene.itep.ru |
tue sep 10 18:30 - 18:43 (00:13) |
titovich |
pts/0 |
athene.itep.ru |
tue sep 10 18:30 - 18:30 (00:00) |
vita |
pts/3 |
athene.itep.ru |
tue sep 10 14:55 - 15:56 (01:00) |
checho |
pts/12 |
itep05.itep.ru |
tue sep 10 13:35 - 13:37 (00:01) |
fomin |
pts/10 |
hydra.ifh.de |
tue sep 10 13:16 - 13:22 (00:06) |
checho |
pts/7 |
itep05.itep.ru |
tue sep 10 13:09 13:16 (00:07) |
illarion |
pts/7 |
xt07.itep.ru |
tue sep 10 12:45 12:45 (00:00) |
vita |
pts/9 |
athene.itep.ru |
tue sep 10 11:55 13:03 (01:07) |
bely |
pts/12 |
pcx01.itep.ru |
tue sep 10 11:49 12:02 (00:13) |
vita |
pts/13 |
athene.itep.ru |
tue sep 10 11:49 11:52 (00:03) |
efre |
pts/4 |
pcx10.itep.ru |
tue sep 10 10:05 10:24 (00:18) |
checho |
pts/0 |
169-151-147.ipt. |
tue sep 10 05:07 05:09 (00:01) |
ssemen |
ftp |
clotho.itep.ru |
mon sep 09 20:14 20:15 (00:01) |
ssemen |
ftp |
clotho.itep.ru |
mon sep 09 19:34 19:35 (00:00) |
ostrouh |
pts/3 |
athene.itep.ru |
mon sep 09 19:20 19:40 (00:20) |
ozero |
pts/0 |
athene.itep.ru |
mon sep 09 19:13 22:44 (03:30) |
ozero |
pts/5 |
itep05.itep.ru |
mon sep 09 18:05 18:32 (00:27) |
olyalin |
pts/6 |
itep05.itep.ru |
mon sep 09 16:19 16:27 (00:08) |
efre |
ftp |
pcx10.itep.ru |
mon sep 09 16:14 16:15 (00:00) |
mara |
pts/1 |
hpl3pur2.cern.ch |
mon sep 09 16:02 16:27 (00:24) |
mara |
pts/1 |
hpl3pur2.cern.ch |
mon sep 09 15:50 15:54 (00:04) |
itep977 |
pts/2 |
1mars.itep.ru |
mon sep 09 15:22 15:23 (00:00) |
ozero |
pts/20 |
aix0.itep.ru |
mon sep 09 15:06 15:36 (00:29) |
ozero |
pts/12 |
itep05.itep.ru |
mon sep 09 14:56 14:56 (00:00) |
galy |
pts/16 |
athene.itep.ru |
mon sep 09 14:27 14:31 (00:03) |
bely |
pts/15 |
vitep5.itep.ru |
mon sep 09 14:09 10:36 (20:27) |
sed |
pts/5 |
pcx11.itep.ru |
mon sep 09 14:01 14:01 (00:00) |
kisel |
pts/1 |
vxitep.itep.ru |
mon sep 09 13:59 15:22 (01:22) |
ozero |
pts/12 |
itep05.itep.ru |
mon sep 09 13:53 14:55 (01:02) |
ozero |
pts/2 |
193.148.166.214 |
mon sep 09 13:40 13:41 (00:00) |
ozero |
pts/8 |
193.148.166.214 |
mon sep 09 13:32 13:37 (00:04) |
vita |
pts/9 |
aix0.itep.ru |
mon sep 09 13:32 13:32 (00:00) |
vita |
pts/2 |
vitep5.itep.ru |
mon sep 09 13:32 13:32 (00:00) |
checho |
pts/3 |
itep05.itep.ru |
mon sep 09 13:11 13:12 (00:00) |
efre |
pts/3 |
pcx10.itep.ru |
mon sep 09 12:12 12:23 (00:10) |
kisel |
pts/2 |
vxitep.itep.ru |
mon sep 09 12:11 12:43 (00:32) |
checho |
pts/6 |
itep05.itep.ru |
mon sep 09 12:02 12:03 (00:00) |
kisel |
ftp |
pcx11.itep.ru |
mon sep 09 11:42 11:43 (00:00) |
kisel |
ftp |
ion04.cern.ch |
mon sep 09 10:59 11:06 (00:06) |
galy |
pts/1 |
athene.itep.ru |
mon sep 09 10:57 10:58 (00:00) |
titovich |
pts/4 |
athene.itep.ru |
mon sep 09 10:20 10:21 (00:01) |
korol |
pts/0 |
193.124.225.174 |
mon sep 09 05:20 05:57 (00:37) |
/p> Первая колонка содержит имена пользователей, вторая - тип задачи (PTS/n - удаленный доступ с терминала с номером n), далее следует имя узла или его IP-адрес, с которого осуществлен доступ, дата, время работы и длительность сессии. Как правило, сессии типа FTP или NFS дают большую сетевую загрузку. Нужно учитывать возможность запуска FTP-сессии или другой информационно-емкой процедуры после входа в систему с помощью telnet (PTS). Рассматривая эту распечатку совместно с временными зависимостями переменных базы данных MIB, можно интерпретировать результаты, определить, какая из сессий загружает данный сегмент сети более других. Рассмотрев, например, результаты работы программы last и Рисунок 5.1.3а, можно видеть, что максимум в период с 18 до 20 часов связан с активностью пользователей ozero, ostrouh и ssemen. Но даже в отсутствии сессий, зафиксированных last, можно наблюдать заметную сетевую активность. Это может быть доставка почтовых сообщений или зондирование сервера пакетами-роботами со стороны удаленных www-клиентов.
