Uma abordagem do monitoramento de redes com Netflow

usando o Ntop como sistema de coleta de dados

Francisco Janiel de Oliveira1,Carlos Giovanni Nunes de Carvalho1
Ps-Graduao em Redes de Computadores, Faculdade Santo Agostinho (FSA), Av.
Walter Alencar, 665, 64.019-625, Teresina PI Brazil
janieltec@gmail.com,cgnc@uespi.br

Abstract.With the increasing demand for bandwidth in computer networks due

to its consumption by advanced applications and even for its misuse, the traffic
monitoring tools have become essential in the day to day management. This
article discusses the monitoring of data traffic in a local network, including
Internet access via NetFlow, based on data collection, performed with Ntop
tool. The analysis of network performance is done by monitoring the use of the
available bandwidth in order to detect the users and services that generate
traffic on the network in order to highlight problems for IT administrators.
The Ntop is used as a tool that gathers datagrams which allows to identify,
quantify and classify traffic by the network layer, transport and application
protocols. Thus allows more detailed knowledge of the traffic and the impact
on network performance.
Resumo.Com a crescente demanda por largura de banda nas redes de
computadores, devido ao seu consumo por parte de aplicativos avanados e
at mesmo por seu uso indevido, as ferramentas de monitoramento de trfego
passaram a ser essenciais no dia a dia dos administradores. O presente artigo
aborda o monitoramento do trfego de dados de uma rede local, incluindo o
acesso Internet por meio do Netflow, baseado em coleta de dados, realizada
com a ferramenta Ntop. A anlise de desempenho na rede feita monitorandose o uso da largura de banda disponvel, com o objetivo de detectar os
usurios e os servios que geram trfego intenso na rede a fim de evidenciar
problemas para os administradores de TI. O Ntop utilizado como ferramenta
que coleta os datagramas a qual permite identificar, quantificar e classificar o
trfego pelos protocolos da camada de rede, transporte e aplicao. Dessa
forma, permite o conhecimento mais detalhado do trfego e o impacto sobre
desempenho da rede.
Palavras-chave
Monitoramento de trfego de redes; Netflow, Ntop, nProbe.

1.

Introduo

A Internet um servio essencial a qualquer organizao. O uso dela para fins

no autorizados pode levar drstica saturao. Uma rede mal gerenciada pode levar ao
congestionamento com m utilizao do link e podendo gerar indisponibilidade.
O congestionamento repentino ou constante pode ter origens dos mais variados
tipos; entre eles, pode-se mencionar: o vrus; aplicaes que usam excessivamente a
rede; concorrncias de aes na rede; m configurao dos servidores, de equipamentos

e demais recursos de rede; e por fim facilidades de comunicao disposio do usurio

como os aceleradores de downloads, servios de compartilhamento de arquivos p2p
(peer-to-peer), VoIP (Voz sobre o IP), videoconferncia, streams de vdeos, streams de
rdios, VPNs (Rede Virtual Privada) e a computao em nuvem.
Diante das inmeras aplicaes disponveis atualmente, recomendvel que as
redes sejam planejadas de forma mais abrangente, focadas no aumento do consumo da
largura de banda e na quantidade de dispositivos mveis que acessam a rede. As
facilidades de acesso Internet esto embutidas, via wireless, em aparelhos celulares,
tablets, netbooks e notebooks. Esses dispositivos demandam uma carga extra pelo
acesso eventual.
Sabendo dessas necessidades, o gerente de TI (Tecnologia da Informao)
precisa ter conhecimento das atividades que ocorrem na rede. Antes de tomar qualquer
medida, sua deciso deve ser fundamentada nos dados provenientes de uma ferramenta
de monitoramento robusta.
O Netflow1 uma sonda que captura todo trfego que passa em um switch ou
roteador. Esse protocolo mostrou uma versatilidade para visualizar diversos eventos que
trafegam na rede. O Netflow dispe de recursos que facilitam o monitoramento, como:
ajudar na deteco de DoS (negao de servios) e avaliar a qualidade de servio. Os
datagramas Netflow contm informaes valiosas sobre estatsticas de fluxo, que devem
ser exportadas para um software coletor, que mostrar as aes que esto correndo na
rede.
Entre os vrios coletores de datagramas Netflow disponveis no mercado, o
Ntop[8] uma ferramenta de cdigo aberto que dispe de um plugin que habilita a
visualizao do trfego a partir dos dados de fluxo Netflow. A juno do Netflow com
Ntop fornece uma soluo de baixo custo para empresas de poucos recursos financeiros.
O presente artigo investiga a combinao do Netflow com o Ntop na produo
de informaes sobre o panorama de uma rede de computadores. Entre as informaes,
importante que se descubra quais as aplicaes que mais acessam a rede, os hosts mais
acessados e os usurios que mais usam o link. Esses dados do indcio para descobrir
possveis situaes de congestionamento e isso possibilita permitir ao administrador de
TI tomar as melhores decises para o controle da rede.
Os demais pontos desse artigo esto organizados da seguinte maneira: na seo 2,
explicado o referencial terico; na seo 3, mostrada a metodologia que foi aplicada;
na seo 4, detalhada a implantao das ferramentas abordadas e como essas se
relacionam; na seo 5, so apresentados alguns resultados; na seo 6, so apresentadas
as consideraes finais.

2. Fundamentao Terica
Dentre as diversas tecnologias de monitoramento de redes, trs se destacam:
SNMP[14], Sniffer e Netflow. A seguir, possvel observar uma viso geral destas
ferramentas e entender melhor o funcionamento do Netflow.
2.1.

SNMP
A primeira tecnologia de monitoramento e a mais simples o uso do protocolo

Netflow:http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html

SNMP. O protocolo SNMP, por sua ampla aceitao entre os principais fornecedores de
dispositivos de rede e por implementar as polticas de gerenciamento de redes definido
pelo modelo TCP/IP, tornou muito comum seu uso.
O SNMP, por ser um padro mais antigo, j vem embutido em vrios
dispositivos como roteadores ADSL, switches e dispositivos de redes em geral[9]. O
SNMP tambm pode ser instalado em sistemas operacionais. Por ser um padro mais
tradicional, o SNMP o protocolo mais utilizado para monitoramento, pois fcil de
ser configurado, requer pouca largura de banda e pouca carga de CPU. Para estudos
iniciais de monitoramento, recomenda-se o uso de SNMP. Existem ferramentas open
source que integram o monitoramento com SNMP; entre elas, pode-se mencionar o
MRTG2 que bem simples de se configurar e o Nagios 3 , que possibilita configurar
muitas funes teis, sendo um forte aliado ao gerente de rede.
O SNMP um sistema de monitoramento baseado em trs fatores: Aplicaes
Agente, Aplicaes Gerente e um esquema de comunicao predefinidos nas bases de
informaes gerenciais(MIB). As aplicaes agentes ficam instaladas nos ativos das
redes que se pretende monitorar. A aplicao gerente executada em um servidor, que,
por sua vez, coleta todos os dados dos ativos configurados com a aplicao agente.
Dessa forma, os administradores acessam os grficos e tabelas atravs de uma interface
para aplicao gerente e assim so conhecidas as atividades que ocorrem na rede[12].
De acordo com [1], a leitura de informao de trfego baseada no SNMP est
implementada na extrao dos dados armazenada nas MIB dos agentes dos dispositivos
de rede. A informao do fluxo que pode ser extrada pelo SNMP inclui: bytes de
entrada, bytes de sada, pacotes de sada e assim por diante. A tecnologia de
monitoramento do trfego baseada no SNMP mais fcil e conveniente de se utilizar.
Suas desvantagens esto na preciso ao obter os dados, alm de ser pobre sobre as
informaes da rede, principalmente as informaes extradas da camada de rede e da
camada de transporte dos equipamentos. Isso comprovado em [3] ao mencionar que
informaes teis como: origem e destino de endereo IP de um dado e sua respectiva
porta TCP/UDP est disponvel no Netflow, porm, no possvel obter esses dados ao
trabalhar com SNMP.
Em um outro contexto que tambm evidencia esses pontos fracos do SNMP est
na soluo proposta por [2], que menciona o protocolo SNMP em no gerar dados
precisos em conexes fim a fim.
Dependendo da situao de monitoramento, conforme discutido em [3], o SNMP
pode ser usado como uma alternativa ao Netflow, desde que o administrador de TI tenha
a certeza que as informaes bsicas como pacotes/seg, bytes/seg sejam suficientes.
Essas razes justificam o fato do SNMP no ter sido usado como implantao,
pois se buscava uma tecnologia de monitoramento que produzisse informaes mais
precisa sobre o trfego da rede.
2.2.

Sniffers

A segunda soluo tecnolgica de monitoramento so os farejadores de pacotes

ou sniffers. O sniffer um programa residente em uma mquina conectada a um
segmento de rede que captura todo o trfego que flui nesse segmento. Uma tcnica

2
3

MRTG: Multi Router Traffic Grapher - Diponviel em http://net-snmp.sourceforge.net/

Nagios: Disponvel em: http://www.nagios.org/

bastante utilizada est no espelhamento do trfego de um segmento para uma porta do

switch, que vai ser conectada a uma mquina que esteja executando o sniffer, tambm
conhecido como analisador de protocolo. Umas das ferramentas bastante utilizada nessa
situao o Wireshark4.
importante ressaltar que o sniffer pode ser usado tanto como meio de gerncia,
quando visa coleta e ao tratamento dos dados para fins de melhoria em uma rede,
como tambm para quebra de privacidade em relao aos dados transportados.
O sniffer uma das mais tradicionais tecnologias de monitoramento. Captura
muita informao e isso demanda espao em disco. Uma grande desvantagem dessa
tecnologia mencionada em [2], que explica que software baseado em sniffer no pode
ser usado em situao de rede de alta velocidade devido ao grande arquivo de log que
seria gerado.
A tecnologia de monitoramento de redes baseada no espelhamento de portas de
switch gerencivel analisa um trfego por um analisador de protocolo que coleta dados
e rene estatsticas do comportamento do trfego. A anlise de protocolo de rede o
mtodo bsico de testes para deteco de problemas, anlise de desempenho na busca de
"gargalo" e para uso na simulao de redes. Porm, o sniffer recomendado apenas para
o trfego de anlise de protocolo de espelhamento em um nico link, no adequado
para o monitoramento de trfego de toda rede que possua vrios links[1].
Como as ferramentas farejadoras de pacotes tendem a gerar grandes arquivos de
log quando utilizado em rede de alta velocidade, essa particularidade pesou em no ser
implantada como base para o presente trabalho. Porm, suas vantagens para lidar com a
leitura de cabealhos de pacotes so aproveitadas por ferramentas de monitoramento
para construir o protocolo Netflow atravs do nProbe[15], que se apresenta como uma
soluo de baixo custo, usando a tcnica RRD 5 de armazenamento de dados. Dessa
forma, o sniffer torna-se til para se emular um Netflow que j vem presente em
roteadores de custo mais elevado, o que possibilita us-lo em qualquer PC que faa o
papel de um roteador. Assim, o nProbe foi implantado para estudo no presente trabalho.
3.3. Netflow
A terceira tecnologia utilizada para monitoramento de redes o Netflow. O
monitoramento do trfego de redes baseado nessa tecnologia acontece normalmente
atravs da aplicao Netflow, presente nos equipamentos de redes que realizam as
coletas das informaes. O Netflow um protocolo padronizado desenvolvido pela
Cisco e presente nos roteadores da Juniper, Extreme, Huawei e outros fornecedores.[1]
A tecnologia baseada no fluxo rica em informaes. O uso do Netflow
mencionado como ponto de partida para diversas solues de monitoramento de dados.
Sua presena na literatura atual bastante extensa, tornando-se a referncia para o
estado da arte no quesito monitoramento de redes baseada em fluxo.
A soluo proposta por [2] para um sistema de monitoramento de rede de
backbone faz o uso do Netflow para coleta de dados. Dessa forma, o Netflow base
para o monitoramento em tempo real em redes de alta velocidade.
A soluo de acesso justo proposta por [13] usa o Netflow como base para se

4
5

wireshark. disponvel em http://www.wireshark.org.

RRD -Round Robin Database

obter os trfegos da rede no qual vai ser usado em um sistema de quota de acesso
Internet baseado na prioridade.
Em uma situao diferente, est uma soluo de IDS[4], em que o Netflow
utilizado como base para o sistema de coleta de informao. Nossa proposta e o IDS so
muito similares na sequncia de processamento de dados. Ambos trabalham com coleta
de dados via Netflow e a posterior anlise. A diferena que o IDS trabalha com
algoritmos para detectar padres de anomalias ou trfego suspeito j automatizado.
Enquanto o nosso trabalho j faz uma abordagem ao dar uma coleo de dados bem
detalhados do trfego para o gerente de TI ver o panorama da rede.
As verses 5 e 9 do protocolo Netflow so as mais populares [10]. O Neflow
verso 9 um mtodo flexvel e extensvel para registrar os dados de desempenho da
rede. a base de um novo padro IETF 6 conhecido como IPFIX 7 ou verso 10 do
Netflow.
O Netflow foi a tecnologia utilizada para caracterizao do trfego no nosso
trabalho, devido a uma srie de fatores vantajosos, como facilidade de trabalhar com
grande volume de dados e conseguir monitorar o trfego por endereos IP especficos.
Em nosso experimento, usamos a verso 9 do protocolo que disponibiliza a
ferramenta nProbe. Diante de tantas vantagens, o Netflow foi escolhido como a base
para a observao do trfego. Seus dados gerados se mostram eficientes para montar a
base de monitoramento.

3. Metodologia
Diante das razes mencionadas, ficou em evidncia que o Netflow um protocolo
muito utilizado para soluo de uma variedade de problemas relacionados ao
monitoramento de redes. O Netflow atende aos objetivos propostos em nosso trabalho.
Como j foi definido o mtodo de captura de dados referente ao trfego, o passo
seguinte foi selecionar o sistema de coleta para anlise e processamento dessas
informaes. Ento, avaliando os critrios de licena livre, facilidade na instalao e
configurao e a exposio da maior quantidade de informaes possveis, o Ntop foi a
ferramenta escolhida.
3.1. A infraestrutura Netflow
O Netflow surgiu como um projeto desenvolvido para os roteadores da Cisco.
Com o passar do tempo, ele se tornou eficiente para a captura de informaes que
podem mencionar o uso da largura de banda passante em um roteador. Sua consolidao
no mercado chamou a ateno do IETF para us-lo como padro para todos os outros
roteadores nascendo assim o IPFIX.
A infraestrutura Netflow define uma forma simples e escalvel de amostragem
de fluxos de dados trafegando por dispositivos de rede como roteadores e switches. Essa
infraestrutura est baseada na noo de fluxo e permite a medio, identificao e
anlise dos trfegos em uma rede de computadores[7].
Um fluxo definido como uma sequncia unidirecional de pacotes trafegando de
um ponto a outro na rede. Os pontos fonte e destino de um fluxo so identificados pelos

6
7

IETF - Internet Engineering Task Force

IPFIX - Internet Protocol Flow Information eXport

endereos IP e pelo nmero de porta do protocolo de nvel de transporte. O campo TOS

(Tipo de Servio) do cabealho IP e o identificador de interface de entrada tambm so
utilizados pelo Netflow para identificar univocamente os fluxos.
O processo de funcionamento do Netflow se baseia na seguinte estratgia: os
dispositivos de rede observam os pacotes que chegam sobre suas interfaces e capturam
as estatsticas de trfego por fluxo com base na configurao de amostragem ou de
filtragem, ento eles criam um cache de fluxo, agregam e exportam os dados atravs de
UDP (User Datagram Protocol) ou SCTP (Stream Control Transport Protocol) para um
coletor[10].
A Figura 1 apresenta o processo bsico de formao de Netflow, exportao,
armazenamento e anlise.

Figura 1. Processo Netflow[10]

O mecanismo de trabalho do Netflow executado em duas fases. Na primeira,

os roteadores ou switches com Netflow habilitado permitem a exportao de datagramas
contendo informaes relativas aos fluxos capturados para uma estao coletora. Nessa
fase, ocorre a inspeo de pacotes e execuo de cache dos fluxos. Na segunda fase, os
coletores recebem, armazenam e disponibilizam os dados para aplicaes que realizaro
a anlise deles.
Os roteadores ou switches que tm a funo Netflow embutida possuem um
custo mais elevado em relao aos roteadores/switches comuns. Uma soluo de baixo
custo a construo desse protocolo em um PC (Personal Computer) comum com o
uso da ferramenta de licena gratuita.
3.2. A Sonda Netflow.
Em um ambiente de administrao de redes que possui switches e/ou roteadores
que contm o protocolo Netflow embutido, eles s precisam ser habilitados. Nessa
situao, necessria a execuo de comandos nesses dispositivos informando o
endereo IP e a porta do coletor para obter os dados que trafegam por esses
equipamentos.
Uma soluo de baixo custo para quem no dispe desses dispositivos ou no
tem acesso a eles a instalao de sondas Netflow usando os recursos das ferramentas
de licena livre como o fprobe8 ou nProbe no gateway.
O fprobe uma sonda Netflow mais simples e de fcil instalao. O fprobe pode
ser obtido via apt-get install na distribuio Debian 6.0. Ele mais limitado por s

fprobe: disponivel em http://fprobe.sourceforge.net/

trabalhar at a verso 5 do protocolo Netflow.

O nProbe j tem mais recursos pois trabalha na verses V5/V9/IPFIX. uma
sonda Netflow muito poderosa que pode ser implementada em computadores comum de
baixo custo e, dependo da configurao, pode ser considerada melhor que as sondas
Netflow comerciais que so baseadas em roteadores[15]. O nProbe possibilita trs
opes de configurao: somente sonda, sonda e coletor e proxy.
O mecanismo de funcionamento do nProbe no modo sonda se baseia na inspeo
de pacotes com uso da biblioteca libpcap [5], que flui em um segmento Ethernet,
calcula os fluxos Netflow e, posteriormente, exporta-os para os coletores especficos.
O nProbe foi projetado para ser executado em ambientes de recursos limitados;
oferece suporte para os principais sistemas operacionais que incluem o Unix, Windows
e MacOS X; adequado para redes Gbits e est sob a licena GNU GPL (General Public
License) [15].
Essas caractersticas demonstraram a eficincia que o nProbe proporciona. Essas
razes foram essenciais para trabalhar essa ferramenta no desenvolvimento do nosso
trabalho.
3.3. O Coletor dos datagramas Netflow
Nesse trabalho, avaliamos as caractersticas definidas pelo Netflow usando o
trfego real em uma instituio de ensino como referncia. O Ntop foi usado como
coletor dos dados gerados pela sonda do Netflow baseada na ferramenta nProbe.
O Ntop um medidor de trfego portvel free e uma ferramenta de
monitoramento. Quando usado no modo sonda, ele utiliza a biblioteca libpcap para
capturar os pacotes na rede e fazer a anlise de protocolos. Porm, menos eficiente
que o nProbe. Alm de executar essa funo de sniffer, ele tambm trabalha com um
coletor de fluxo do Netflow, precisando apenas que plugin disponvel na ferramenta seja
ativado.
Na informtica, define-se plugin todo programa, ferramenta ou extenso que se
encaixa a outro programa principal para adicionar mais funes e recursos a ele. Nesse
caso, o plugin Netflow ativado para exercer a funo de coletor. Deixando de lado a
funo de sonda que o Ntop j carrega integrado em sua estrutura. Essa preferncia em
se usar essa configurao como coletor baseada em [15], que explica que, no modo
sonda, o nProbe mostrou-se mais eficiente.
No estudo elaborado por [6], esta ferramenta navegada a fundo mostrando toda
sua estrutura, seus recursos e sua eficcia no monitoramento de redes de computadores
de dimenso variada. Embora o estudo abordar verso 3 e nosso trabalho com verso 4
da ferramenta, as informaes presentes so de vital importncia para o entendimento
do uso, instalao e configurao.
Esse software foi desenvolvido por Luca Deri e Stefano Suin com o objetivo
inicial de identificar rapidamente os hosts de usurios que consumiam grande parte da
banda de rede disponvel (network top users, origem do nome da ferramenta). O
software evoluiu muito a partir de seu conceito inicial, atualmente possuindo opes de
medida de trfego, monitoramento de trfego, planejamento e otimizao da rede etc.
Essas caractersticas fazem do Ntop uma ferramenta amplamente capaz de auxiliar no
desenvolvimento e manuteno das mais diversas redes de computadores[6].
Essa ferramenta possibilita a recepo de informaes de trfego via Netow

gerado pelas sondas nProbe. Embora dentro de sua estrutura seja capaz de apresentar
vrios tipos de relatrios, ela no permite a utilizao de consultas arbitrrias denidas
pelo administrador de redes no mtodo desenvolvido em [11], mas chega muito prximo
a isso, uma vez que o tempo de atualizao da tela do browser pode ser reduzido.
Desde o seu desenvolvimento, o Ntop um aplicativo voltado para Linux,
porm, com o passar o tempo, houve a necessidade de criar uma verso para Windows.
Assim, nas duas plataformas, esse aplicativo capaz de mostrar a utilizao da rede
detalhada dando a opo de exibir a utilizao do trfego por host, protocolo entre
outras informaes. A interface web dessa ferramenta capaz de gerar grficos, o que
facilita a interpretao das estatsticas de uso. O desenvolvedor dessa ferramenta dispe
de uma variedade de verses melhoradas da que foi utilizada em nosso trabalho. Porm,
a verso baixada contm muitos recursos, o que foi suficiente para realizar a
implantao.
O Ntop no possui em sua configurao um arquivo separado, logo se for
necessrio utilizar alguma configurao diferente dos valores padres, ser necessrio
passar argumentos via linha de comando ou criar um pequeno script que faa isso.
A utilizao desse programa bastante simples, basta iniciar o Ntop e em
seguida acessar o endereo http://<ip-do-servidor>:3000 no seu navegador. Na primeira
vez em que executado, solicitado uma senha de administrador, que poder ser
utilizada depois para configurar alguns parmetros via interface web.

4. Implantao
O ambiente de implementao uma rede local de uma instituio de ensino que
dispe de um nico link para Internet de 1Gbps e uma rede local de 100 Mbps. A rede
local est formada por trs sub-redes usando a tcnica do IP Aliases.
IP Aliase uma tcnica de criao de placas virtuais para facilitar comunicaes
com outras sub-redes. Assim a partir de placa fsica, pode-se multiplic-las em vrias
placas virtuais. Em Linux, a linha de comando:
ifconfig ethX:Y <IP> netmask <mscara> up.
Sendo os parmetros:
X: o numero da interface fsica;
Y: o nmero da interface virtual;
IP: IP da sub-rede;
mscara: a mscara da sub-rede.
Dessa forma, aplicando esse comando, foi possvel obter as seguintes sub-redes:

Rede 01: 192.168.0.0/16

Rede 02: 10.0.0.0/16

Rede 03: 172.16.1.0/24

A anlise de trfego da rede foi implementada em duas etapas:

Etapa 01: Definio do gateway, que um roteador que funciona como sada de
rede, como o local estratgico para a instalao da sonda nProbe, que far a coleta das
estatsticas do fluxo. O gateway nico da rede centraliza todo trfego de dados das trs
sub-redes, seja entre elas ou com a Internet. Esse fator em comum faz do gateway o
local estratgico de toda a captura das informaes necessrias para serem avaliadas e
estudadas.
Etapa 02: Configurao do coletor Ntop em uma mquina virtual. Essa estrutura
de separar o coletor da mquina que a sonda foi instalada para manter a simulao de
um ambiente de coleta onde os roteadores e coletores ficam em equipamentos
diferentes. Essa estratgia exibida na Figura 2, em um meio simplificado de mostrar a
transposio dos dados coletados.

Figura 2. Esquema de envio de dados

4.1. Instalao da Sonda Netflow

O nProbe deve ser instalado estrategicamente em um local que possa escutar todo
o trfego. No nosso caso, ele foi instalado no gateway que faz o papel de firewall e
roteador de borda.
Foi usada a sonda sem armazenamento em banco de dados. Somente se fez
utilizao dos caches nas suas configuraes padres.
Consegue-se obter a verso standard quando a sonda est sem plugins e captura
de pacote bsico baseado na biblioteca libpcap. A verso completa paga. O nProbe
est disponvel sob a licena GPLv2 por uma pequena taxa, que usada para a execuo
do projeto e financiamento dos novos desenvolvimentos.
Existe
uma
verso
para
http://www.ntop.org/products/nprobe/.

teste

no

site

do

desenvolvedor:

Para os casos de quem trabalha em instituio de ensino, como o caso do nosso

trabalho, s foi preciso enviar um e-mail para os autores do projeto justificando a
necessidade de usar a ferramenta para fins de pesquisa.
Depois
da
negociao,
foi
disponibilizado
nprobe_6.12130403_svn3362.tar.gz para ser usado no Linux.

arquivo:

O passo em seguida foi descompactar o pacote e trabalhar dentro da pasta com

os arquivos j descompactados. recomendvel manter a sequncia dos comandos
citados abaixo:
#./autogen.sh
#make
#make install.

Aps esse comando, a sonda Netflow est instalada e pronta para ser executada.
O passo seguinte foi informar onde est localizada a ferramenta de coleta dos
datagramas Netflow atravs do comando:
#nprobe -V 9 -i eth0 <ip:porta> > /dev/null &
O retorno da execuo desse comando o seguinte: o argumento -V 9 informa
que vai capturar os pacotes e vai exportar os datagramas na verso 9 do protocolo
Netflow. Isso deve ser mencionado, j que a verso 5 a padro. O argumento -i eth0
diz qual a interface da rede que os pacotes vo ser capturados. No argumento
<ip:porta:>, o administrador de TI deve informar o endereo de rede e a porta que ser
definida no coletor. Os comandos seguintes informam que a sada deve ser suprimida e
rodar em background.
Esse mesmo comando foi colocado em um script de inicializao. Caso haja
algum erro no comando, o processo deve ser morto. Cada comando digitado gera um
novo processo.
Essa ferramenta foi instalada em um servidor gateway que roda um Debian 6.0
Squeeze kernel 2.6.32-5-amd64, CPU Phennom II X4 B95 3.0 GHz Quard-Core; 8GB
de memria RAM e Placa de Rede Broadcom NetXtreme Gigabit Ethernet.
4.2. Preparao do Coletor
A mquina virtual executa um Linux Debian 6.0 kernel 2.6.32-5-686. A verso do
Ntop que foi utilizada a 4.99.3 (32 bit).
O processo de instalao, configurao e execuo do Ntop muito simples no
Debian 6. Precisamos apenas executar os seguintes comandos. No precisa de
configurao adicional j que ele no vai atuar como uma sonda.
#apt-get install ntop
#/etc/init.d/ntop start
Aps esses comandos, o passo seguinte coloc-los no modo coletor. Por
padro, a porta de escuta para receber os datagramas Netflow a 2055.
Para acessar, via browser, o Ntop, preciso que seja informado endereo e porta
do servidor. Por default, a porta que roda o Ntop a 3000. Logo, segue o modelo que
deve ser digitado: <IP do servidor> :3000.
Depois s navegar nos menus: Menu Plugin Netflow View/Configure:
alterar ou criar uma nova interface para o dispositivo Netflow.
Na opo Local Collector UDP Port, definir o nmero da porta. O administrador
de TI deve ser coerente com o nmero dessa porta, ela deve ser igual definida via
ferramenta nProbe.
Aps definido isso, s preciso desativar e , em seguida, reativar novamente o
processo Netflow, posto que a coleta das estatsticas j estar funcionando. Isso pode ser
feito atravs do prprio browser do Ntop.
Para ver os dados coletados, preciso que a interface configurada anteriormente
seja selecionada. Isso pode ser feito via Admin Switch NIC <interface
configurada>.
A verso do Ntop trabalhada que no fizer acesso a banco de dados e ficar tudo

armazenado na memria RAM ter todas as informaes disponveis perdidas, se o

sistema for reiniciado.
Assim que o Ntop iniciado, todo o trfego ser acumulado seguindo um
rodzio de substituio das informaes mais antigas pelas mais novas. O ciclo se inicia
aps o cache encher.
A aba all protocols traffic dar o total de todo trfego j percorrido desde a
ltima inicializao do coletor Ntop.
As pginas em html, por padro, ao exibir o trfego global, so atualizadas a
cada 120 segundos. Esse valor pode ser alterado conforme a necessidade do gerente da
rede. Porm, dependo do tipo de relatrio, as atualizaes podem variar de 3 a 10
segundos. Na nossa situao, permaneceram os valores padres para manter a
simplicidade da ferramenta.

5.

Resultados

A ferramenta Ntop agrega muitas informaes sobre a rede. preciso cuidado ao

navegar nos menus para mostrar os resultados que se deseja encontrar. Para
compreender os resultados gerados pela ferramenta Ntop, o administrador de TI precisa
ter um conhecimento avanado em redes de computadores.
A ferramenta Ntop permite visualizar uma grande quantidade de grficos
exibindo as mais diversas informaes presentes em um ambiente de rede de
computadores em pleno funcionamento. Para se manter coerente com os objetivos
propostos, o aspecto da ferramenta explorada foi em busca dos dados referentes
velocidade de rede e mostrou fatores que exibem o pico de acesso, os sites mais
acessados e os hosts locais que mais consumem largura de banda. Os poucos grficos
que foram gerados mostram os pontos crticos que respondem ao propsito do nosso
trabalho.
5.1. Caracterstica do Trfego
O throughput definido como a quantidade de dados transferidos de lugar para
outro em unidade de tempo. Atravs dessa medida, possvel que se saiba a carga
passante na rede. A figura 03 mostra uma situao de um dia de uso. No grfico exibido,
temos a variao momentnea da velocidade da rede. Os dados simplificados mostram a
medida em Mbit/s. Cada poro do grfico atualizada a cada 20 segundos.

Figura 3. Carga da rede

A Figura 3 apresenta um grfico que mostra um pico de trfego chegando aos

62Mbit/s de desempenho. Com essa informao em mos, possvel imaginar que um

usurio ou um grupo de usurios est consumindo uma alta largura de banda em um
determinado horrio. Essa situao mostra um trfego muito acima da mdia. O pico de
grfico acontece durante a mdia de 20 segundos. Um evento inesperado como esse
mostra a ocorrncia de alto trfego na rede que pode ser detalhado clicando-se no
grfico para se certificar do que aconteceu. Essa situao se manifesta durante o
download de um arquivo de grande porte em alta velocidade, a visualizao de vdeos
da internet por um grupo de usurios, a instalao de um programa via rede local ou a
cpia de backup para um servidor.
Conhecer a velocidade que a rede est operando muito importante. Esses dados
mostram o dimensionamento de uso do link. Conhecer os picos de uso demonstra que
h momentos que a rede alcana sua maior velocidade possvel.
Essa velocidade envolve o resultado global de download mais upload. A soma de
todas as velocidades dos hosts em determinado momento mostra a velocidade geral
conforme mostra a figura 4.

Figura 4. Velocidade global da rede.

A ferramenta Ntop possui vrios recursos. Embora o interesse seja a velocidade

em bits, possvel ver as estatsticas em pacotes por segundo. A rede que foi usada para
fazer essas medidas mostra que dispe de um link com uma boa largura de banda que
suportou um pico de 52.9 Mbit/s. Para se ter uma noo do uso geral, observa-se a
mdia da velocidade que est em 22.9 Mbit/s. Tambm, possvel obter os tempos
mais recentes como ltimos 5 minutos, ltimo minuto e no momento em que foi
visualizado. A ferramenta tambm possibilita ver a diviso de toda essa velocidade
entres os hosts consumidores. A Figura 5 mostra essa diviso de uso do link. Essa
estratificao d uma viso ampla e detalhada da rede. Assim os hosts so exibidos
conforme vo usando o link em ordem de consumo de dados somando a entrada e a
sada de informao. Os dados so renovados em um cache em circular dele. Nesse
mtodo, os dados antigos vo sendo sobrepostos aos mais novos.
A velocidade geral da rede a soma de todas essas parcelas de velocidades dos
hosts. Embora exiba de um jeito reverso, mas mantendo a velocidade em comum, a
ferramenta Ntop permite que seja possvel ver essa organizao pelos hosts remotos,
possibilitando organizar pelos sites que mais envia dados para a rede local e sua largura
de banda.
O parmetro host possibilita selecionar em dois modos exclusivos: Redes locais
ou Redes Remotas. A Figura 5 mostra um exemplo de caso para a rede local e,
completando a opo, possvel selecion-los pelos dados enviados, recebidos ou

ambos.

Figura 5. A velocidade que cada host usa da rede em determinado momento.

5.2. Os sites mais acessados

Uma opo de uso da ferramenta Ntop permitir encontrar quais os sites que mais
utilizam a rede e no somente sua velocidade de conexo. Assim, dos dados referentes
arquitetura TCP/IP, possvel que se faa um diagnstico sobre o que est ocorrendo na
rede. O Coletor Ntop, em sua configurao padro, trabalha com os dados em cache
independe do modo que a interface RRDTool9 esteja operando. Assim, em determinados
momentos, os sites podem estar ocupando a maior largura da banda. O Ntop d essa
possibilidade de classificar sempre o que est recentemente acontecendo. Isso
importante para ver o estado da rede no instante em que acontecer algum problema. A
Figura 6 mostra um exemplo disso. A ferramenta foi utilizada para analisar os
protocolos TCP e o UDP, suas percentagens as quais revelam seus usos na rede.

RRDTool que o acrnimo para Round Robin Databases Tool. uma interface para gerao de grfico
em ciclo, bastante utilizado nas ferramentas de monitoramento de rede.

Figura 6 - Percentagens dos sites mais acessados a nvel da arquitetura IP/TCP

A sonda nProbe uma ferramenta comercial. A verso que foi obtida para
realizao do nosso trabalho mais restrita e foi configurada para se trabalhar nos
protocolos da camada de rede ICMP e os de transporte UDP e TCP, que suficiente para
cumprir nossa meta. Porm, a ferramenta mostra que possui caracterstica para se
trabalhar com configuraes avanadas para enxergar os protocolos como IPSec, IGMP,
OSPF, porm, em outra verso da ferramenta e em outro modelo de configurao.
A figura 06 mostra o quanto a rede social facebook muito solicitada ocupando
mais de 70% do link. O Ntop deixa claro para o gerente de rede o que mais trafega na
internet, que, dependendo da poltica de acesso, pode ser bloqueado.
5.3 Os hosts da LAN que mais consomem largura de banda
Por outro lado, mas dentro do mesmo contexto, possvel classificar os hosts
locais por consumo e mostrar a lista dos maiores consumidores. Assim, a Figura 7,
mostra a viso panormica da rede, considerando-se os protocolos da camada de
aplicao.
A quantidade de protocolo da camada de aplicao muito extensa em uma rede
que est em atividade. possvel que sejam configurados os protocolos de aplicaes a
serem visualizados conforme a necessidade do administrador de rede. A ferramenta
Ntop j traz pr-configurado os protocolos mais comuns. Assim, mostrada uma
classificao dos hosts da rede local pela quantidade de dados trafegados, tanto na
entrada com na sada. Essa ferramenta se destaca por mostrar uma grande variedade de
informaes, deixando, a cargo do administrador da rede, as informaes mais
necessrias que devam ser exibidas.

Figura 7: Percentagem dos hosts da rede local em exibio por camada de

aplicao.

6. Consideraes Finais
Essas ferramentas mostram as facilidades de se trabalhar com redes diante de
tantas informaes sobre o status dela. Assim, o Gerente de TI tem dados suficientes
que permitem fazer uma boa configurao do firewall e bloquear temporariamente
aqueles sites ou host da rede interna usados em excesso.
Focalizando o uso de uma ferramenta de cdigo aberto, unido ao uso de uma boa
tecnologia de monitoramento como o Netflow, a estratificao de dados tornou-se
possvel e eficiente. Esse nosso trabalho demonstrou uma pequena parte da ferramenta
Ntop e nProbe, porm, essas ferramentas do a possibilidade de configuraes mais
elaboradas e podem ser divulgadas em trabalhos futuros. possvel tambm melhorias e
colaborao no uso dessas ferramentas, bem como a divulgao de sua importncia no
ambiente corporativo de pequenas empresas e instituies pblicas em geral. claro
que essa ferramenta no resolve tudo, mas ela em pleno funcionamento e bem
configurada permite ao administrador de TI ter uma boa viso de consumo da rede.
A importncia complementar entre um equipamento que dispe do protocolo
Netflow e outro que mantm um servio de coleta dos datagramas gerados pelo
Netflow, no nosso caso, o Ntop, mostrou-se essencial para encontrar excesso de uso do
link, definio de top lists do usurio que mais usam a rede, sites mais acessados e
principalmente a contabilizao de dados que trafegam nas portas bem conhecidas.
As ferramentas Ntop e nProbe foram utilizadas, em suas funes bsicas, de
forma simplificada tanto na instalao quanto na configurao, mostrando o essencial
para o desenvolvimento do nosso trabalho. Porm, enftico que as ferramentas tm um
grande potencial para ser posto em prtica como na criao de interface com filtros
separando o trfego interno do externo com a utilizao dos parmetros disponveis para
o nProbe, em conjunto com o modo de exibio do Ntop.

7. Referncias
[1] Song, G. The Study and Design of Network Traffic Monitoring Based on Socket
[2] Weiwei, Z., Jian, G., Wenjie, G., Shaomin, C. Netflow - Based Network Traffic

Monitoring
[3] Nieuwelaar, M., Hunt, R. (2004). Real-time carrier network trafc measurement,
visualisation and topology modelling. Elsevier
[4] Bin, L., Chuang, L., Jian, Q., Jianping, H., Ungsunan, P.(2008). A NetFlow based
flow analysis and monitoring system. Elsevier in enterprise networks
[5] McCanne, S., Leres, C. Jacobson, V.(1994) libpcap, Lawrence Berkeley National
Labs
[6] Maron, A. K., Pinheiro, A. B. Network Top: Uma Ferramenta Automatizada para
Anlise e Gerenciamento de Redes.
[7] Rosa, D.M.,Pereira, E. D. V., Granville, L .Z., Almeida, M. J. B. e Tarouco, L. M. R.
Uma Soluo Baseada em Web Services para o Gerenciamento de Coletores NetFlow
Distribudos
[8] Deri, L., Suin, S. (1999). Ntop: beyond ping and traceroute, in: Proceedings of
DSOM '99, Zurich, Switzerland, October.
[9] Moura, G. C. M. Monitoramento de Redes utilizando Netflow e Software Livre:
estudo de caso no POP-GO
[10] Li, B., Springer, J., Bebis, G. e Gunes, M. H.(2013). A survey of network flow
applications. Elsevier.
[11]Gomes, C.L., Junior, E.P.D., Hara, C.S,.M., Monitoramento de Trfego de
Backbones Baseado em Sistemas Gerenciadores de Streams de Dados -UFPR.
[12] Domingos, T. Pereira, S. Reis, D. Silva, C. Barrre, E.(2005) Gerenciamento de
uma rede atravs do Protocolo SNMP
[13]Lin, T.C., Sun, Y.S., Chang, S.C., Chu, S.I., Chou, Y.T., Li, M.W.(2004)
Management of abusive and unfair Internet access by quota-based priority control.
Elsevier
[14]Karing, A., Prottipo de um sistema de monitoramento de desempenho de redes de
comutadores baseado no protocolo SNMPv3. Trabalho de Concluso de Curso.
[15]Deri, L.(2003). nProbe: an Open Source NetFlow Probe for Gigabit Networks,
Proceedings of Terena TNC, Zagreb, May 200