СИСТЕМА ВЫЯВЛЕНИЯ ПАРАЗИТНОГО ТРАФИКА В РЕГИОНАЛЬНОЙ НАУЧНО- ОБРАЗОВАТЕЛЬНОЙ СЕТИ А.А.Мерцалов Тульский государственный университет

реклама
СИСТЕМА ВЫЯВЛЕНИЯ ПАРАЗИТНОГО ТРАФИКА В РЕГИОНАЛЬНОЙ НАУЧНООБРАЗОВАТЕЛЬНОЙ СЕТИ
А.А.Мерцалов
Тульский государственный университет
Тел.: (0872) 35-01-37, e-mail: alexm@tula.ru
Одной из важных задач в обеспечении информационной поддержки научной и образовательной
деятельности с применением региональной компьютерной сети является обеспечение бесперебойной работы ее
основных компонентов, особенно в период пиковых нагрузок. Развитие сетевой инфраструктуры неизбежно
связано с возникновением в сети процессов, снижающих производительность сети. Одной из сложнейших задач
администрирования крупных корпоративных сетей является отслеживание паразитного трафика, создаваемого
компьютерными вирусами через “зараженные” рабочие станции пользователей. На рис. 1 показана структурная
схема сегмента региональной компьютерной сети.
Сервера доступа
локальных сетей
Интернет
Switch
Router
Рис. 1. Структурная схема научно-образовательного сегмента региональной компьютерной сети
TPNet
В региональной научно-образовательной компьютерной сети Tula Public Network (TPNet), функционирующей
на базе Тульского государственного университета, имеется ряд web-серверов, информационные ресурсы
которых используются в учебном процессе. Одним из таких ресурсов является система дистанционного обучения
(СДО) и контроля знаний, основанная на web-технологии. СДО активно используется преподавателями
практически всех кафедр университета при обучении студентов дневного отделения, применяя большое
количество графики, видео- и аудио данных. В связи с этим, возросли нагрузки на локальную сеть и основной
сервер СДО, пиковые значения которых приходятся на периоды аттестаций, сдачи зачетов и сессий. Ситуация
осложняется тем, что подавляющее количество компьютеров в сети работают под операционной системой
Windows и пользователи зачастую не следят за работой своего компьютера, вовремя не обновляя программное
обеспечение, в том числе и антивирусные приложения. Это приводит к тому, что в сети появляется большой
объем паразитного трафика, который заметно снижает ее пропускную способность и, как следствие, негативно
влияет на качество работы СДО.
Сотрудниками ОЦНИТ создана система мониторинга сети, позволяющая минимизировать загрузку сети,
поддерживая ее высокую эффективность. Основной проблемой мониторинга является то, что сеть состоит из
множества сегментов, разделенных между собой посредством технологии vlan.
Система мониторинга состоит из 2-х основных частей. Одна из них отслеживает и анализирует ip-трафик,
вторая – интенсивность прохождения пакетов через сетевые интерфейсы свичей (switch) и маршрутизаторов
(router). Для анализа интенсивности прохождения пакетов существует приложение, отслеживающее эту
интенсивность на “транковом” интерфейсе одного из свичей. Примерный среднестатистический нормальный
трафик известен, поэтому определить подозрительную активность в сети можно с высокой долей вероятности. В
случае обнаружения большого количества пакетов, система проверяет все интерфейсы всех свичей, делая
попытку определить интерфейс, к которому подключен загружающий сеть компьютер.
Так же производится попытка определить ip-адрес такого компьютера. Для этого с маршрутизатора
зеркалируется весь проходящий через него трафик и направляется на администраторский компьютер для
анализа.
Анализируется трафик, исходя из ряда признаков, присущих компьютерным вирусам:
– большое количество пакетов в единицу времени, рассылаемых по разным, как правило, идущим по
порядку, непривилегированным портам и произвольным ip-адресам. Следует отметить, что работа ряда
сетевых приложений (например, таких, как популярное ныне приложение для распределенного скачивания
edonkey2000), очень похожа на компьютерный вирус в соответствии с этим признаком.
– большое количество пакетов в единицу времени, рассылаемых по определенным портам,
соответствующих сервисам Интернет (ftp, http, proxy и т.д.).
Также используется статистика, собираемая антивирусной программой, обслуживающей почтовый сервер и
информация, содержащаяся в log-файлах упомянутых выше сервисов.
Все это позволяет определить ряд ip-адресов компьютеров зараженных, как правило, компьютерными
вирусами или целенаправленно пытающихся снизить работоспособность сети.
Работа выполнена при поддержке гранта РФФИ, проект №04-07-96700-р2004Центр_В.
Скачать