| Netwerkverkeersmonitors werken door netwerkpakketten vast te leggen en te analyseren terwijl ze door een netwerksegment gaan. Ze bereiken dit met behulp van verschillende methoden, en de details zijn afhankelijk van het type monitor en de inzet ervan. Hier volgt een overzicht van de gebruikelijke technieken:
1. Pakketopname (snuiven):
* Promiscue modus: De meeste monitoren werken in de "promiscue modus" op een netwerkinterface. Dit betekent dat de interface *alle* pakketten op het netwerksegment ontvangt, niet alleen de pakketten die eraan zijn geadresseerd. Dit is cruciaal voor het vastleggen van al het verkeer, zelfs tussen andere apparaten.
* Tikken: Voor hoogwaardige monitoring of situaties waarin de aanwezigheid van de monitor geen invloed mag hebben op de netwerkprestaties, worden vaak netwerktaps gebruikt. Dit zijn fysieke hardwareapparaten die een kopie van het netwerkverkeer maken en naar de monitor sturen zonder het primaire netwerkpad te beïnvloeden. Dit is vooral belangrijk in omgevingen met hoge bandbreedte.
* Spanning/poortspiegeling (switches): Veel beheerde switches ondersteunen spannings- of poortspiegeling. Hierdoor kan de switch verkeer van een specifieke poort (of groep poorten) naar een aangewezen monitoringpoort kopiëren. De monitor wordt vervolgens op deze spiegelpoort aangesloten. Dit is een minder ingrijpende methode dan een tik.
2. Pakketanalyse:
Zodra pakketten zijn vastgelegd, analyseert de monitor hun headers en payloads. Deze analyse levert informatie op zoals:
* Bron- en bestemmings-IP-adressen: Identificeert de communicerende apparaten.
* Bron- en bestemmingspoorten: Identificeert de betrokken applicaties of services (bijvoorbeeld HTTP, SMTP, DNS).
* Protocol: Bepaalt het communicatieprotocol (bijvoorbeeld TCP, UDP, ICMP).
* Pakketgrootte: Geeft de hoeveelheid gegevens aan die in elk pakket wordt verzonden.
* Tijdstempel: Registreert wanneer elk pakket is vastgelegd.
* Payload (optioneel): Afhankelijk van de configuratie en beveiligingsinstellingen van de monitor kan de monitor de gegevens in het pakket zelf analyseren. Dit is vaak beperkt vanwege prestatieoverwegingen en privacyproblemen.
3. Gegevensverwerking en presentatie:
Na analyse verwerkt de monitor de gegevens en presenteert deze op verschillende manieren:
* Realtime grafieken: Visuele representaties van netwerkverkeerspatronen in de loop van de tijd.
* Tabellen: Gedetailleerde lijsten met netwerkactiviteit met verschillende statistieken.
* Waarschuwingen: Meldingen wanneer verkeerspatronen vooraf gedefinieerde drempels overschrijden (bijvoorbeeld hoog bandbreedtegebruik, ongebruikelijke activiteit).
* Rapporten: Samenvattende gegevens voor analyse en trendidentificatie.
* Protocoldecodering: Sommige monitoren kunnen specifieke protocollen decoderen om meer inzichtelijke informatie te bieden, waardoor de inhoud van webverzoeken, e-mails, enz. wordt onthuld. (Het is echter belangrijk om hier rekening te houden met de gevolgen voor de privacy.)
Typen netwerkverkeermonitors:
* Softwaregebaseerde monitoren: Draai op een computer en heb een netwerkinterfacekaart nodig om pakketten vast te leggen.
* Hardwaregebaseerde monitoren: Toegewijde apparaten met krachtige verwerkingsmogelijkheden, vaak gebruikt voor netwerkmonitoring van grote volumes.
* Netwerkinbraakdetectie-/preventiesystemen (IDS/IPS): Hoewel deze systemen primair gericht zijn op beveiliging, monitoren ze ook het netwerkverkeer en kunnen ze kwaadaardige activiteiten identificeren.
In wezen fungeert een netwerkverkeersmonitor als een zeer geavanceerde 'sniffer' die netwerkverkeersgegevens vastlegt, analyseert en presenteert op een manier die gemakkelijk te begrijpen en te gebruiken is voor probleemoplossing, prestatie-optimalisatie en beveiligingsanalyse. De complexiteit en mogelijkheden van deze monitoren variëren sterk, afhankelijk van het beoogde gebruik en de doelomgeving. |
