Surveiller le trafic réseau sur un commutateur vDS grâce à NetFlow sous VMware vSphere 6.7

5. Informations NetFlow collectées

En bas à droite, il se peut qu'une notification apparaisse concernant SNMP.
Néanmoins, il n'est pas possible d'activer SNMP sur le commutateur virtuel distribué (vDS).

Ceci dit, la collecte de données via NetFlow fonctionnera quand même.
Dans le client web "NetFlow Analyzer", allez dans "Inventaire" vous verrez apparaitre un périphérique (le commutateur virtuel distribué (vDS) dont le nom correspond à l'adresse IP du commutateur configuré précédemment sur vCenter Server).
Si vous déployez ce périphérique, vous verrez que plusieurs interfaces apparaitront : les machines virtuelles, ...

Dans la section "Tableau de bord -> Aperçu", vous verrez qu'il y a un flux de trafic NetFlow V9 et qu'il y a plusieurs liens hauts.
Les liens haut correspondent aux interfaces qui sont actuellement utilisées sur votre commutateur virtuel distribué et pour lesquels il y a donc du trafic réseau actuellement.

Un peu plus bas, vous trouverez des informations et des graphiques concernant :

  • les applications (protocoles) les plus utilisés sur votre réseau : https (pour l'accès à des sites web sécurisés principalement)
    • netbios-dgm et netbios-ns : pour le protocole NETBIOS utilisé par défaut sous Windows.
    • domain : pour les services de domaine Active Directory (AD).
    • ntp : pour la synchronisation d'horloges depuis un serveur de temps via le protocole NTP.
    • etc
  • les protocoles les plus utilisés sur votre réseau : TCP / UDP.
  • la QoS (qualité de service).
  • les conversations : trafic réseau entre 2 machines (clients ou serveurs).

6. Repérer un téléchargement élevé sur votre réseau

Bien que vous devriez plutôt gérer correctement votre bande passante en gérant son allocation via NIOC (par exemple), vous pouvez aussi utiliser NetFlow pour repérer du téléchargement interdit dans votre société.
Pour cela, nous avons téléchargé un live CD de réparation connu qui fait environ 3 Go. Le but étant seulement de télécharger un fichier volumineux depuis une machine virtuelle connectée à notre commutateur virtuel distribué pour repérer ce téléchargement via NetFlow.

En effet, si quelqu'un télécharge beaucoup trop longtemps, il risque de bloquer l'accès aux autres services hébergés sur vos hôtes VMware ESXi étant donné qu'il sature votre bande passante.
Ce téléchargement peut évidemment être légitime dans certains cas, mais pas toujours.

Dans la section "Inventaire" de ManageEngine NetFlow Analyzer", vous pourrez voir qu'une interface est actuellement fortement utilisée.
Dans notre cas, nous pouvons voir que l'interface "IfIndex25" de notre commutateur virtuel distribué (10.0.0.13) est utilisée à 100% et que le débit entrant est d'environ 7 Mbps.
Etant donné que la machine virtuelle télécharge des données depuis Internet, le trafic entre donc dans cette VM via cette interface.

Si nous cliquons sur cette interface et que nous allons dans l'onglet "Trafic", nous pouvons voir qu'il y a principalement du trafic entrant (IN) et qu'il y a eu 3.2 GB de données qui sont passés dans le réseau.

Dans l'onglet "Application", nous pouvons voir que le protocole utilisé est principalement du "https".
Ce qui signifie que le téléchargement est effectué depuis un site web sécurisé.

Pour le moment, dans l'onglet "Source", nous pouvons voir que la source des 3 GB de données téléchargés est : Others.

Idem dans l'onglet "Destination".
Vous pouvez voir à nouveau le nom "Others" au lieu de l'adresse IP de destination.

Comme vous pouvez le voir, dans notre cas, le fichier volumineux a été téléchargé depuis le domaine "belnet.be".
En effet, le site possède des partenaires qui permettent de télécharger leur live CD depuis un serveur qui soit physiquement plus près de chez vous.
Etant donné que nous sommes en Belgique, le téléchargement a donc été effectué depuis un serveur hébergé dans ce pays.

Plus tard, vous verrez que l'adresse IP source et celle de destination auront apparu dans les données NetFlow.
En effet, il faut attendre que votre commutateur virtuel distribué (vDS) envoie les nouvelles données NetFlow pour que vous les voyiez sur votre collecteur NetFlow.

Dans notre cas, nous pouvons voir que l'adresse IP source est : 193.190.198.27.

Pour l'adresse IP de destination, nous pouvons voir qu'il s'agit de l'adresse IP "10.0.0.21".
Nous pouvons donc savoir que c'est l'utilisateur de notre machine virtuelle "Win 10 v2004 x64 - VM 1" qui a téléchargé autant de données. (Notez que cela pourrait aussi être l'inverse, dans le cas où vous auriez envoyé des données à cette VM depuis un ordinateur se situant à l'extérieur de votre société).

Pour connaitre le nom de domaine associé à une adresse IP, vous pouvez tenter d'utiliser la commande "nslookup" disponible sous Windows et Windows Server en spécifiant simplement l'adresse IP en paramètre.
Si un reverse DNS est correctement défini sur le serveur DNS concerné, le nom de domaine associé apparaitra.
Dans notre cas, nous pouvons voir qu'il s'agit du serveur : ftp-brudie.belnet.be.
Ce qui correspond au nom de domaine "belnet.be" qui était affiché lors du téléchargement du fichier volumineux depuis notre VM.

Important : cela n'est pas toujours aussi simple étant donné que certains fichiers volumineux sont parfois hébergés sur des serveurs tiers (tel que : Amazon Web Services) ou sur des CDNs.

Une autre façon de savoir à quoi correspond une adresse IP est de chercher celle-ci sur le site de RIPE (qui est le gestionnaire officiel des adresses IP).
Comme prévu, nous voyons à nouveau que la société concernée par cette adresse IP est "BELNET" et que l'adresse de contact fait à nouveau référence au domaine "belnet.be".

Notez que vous pouvez aussi utiliser d'autres sites tiers, tel que "DomainTools" pour obtenir ces mêmes informations.
Sur ce site, nous pouvons également voir le reverse DNS de cette adresse IP : ftp-brudie.belnet.be.

Si nous tapons le domaine "ftp-brudie.belnet.be", nous pouvons voir qu'il s'agit d'un alias du domaine "ftp.belnet.be".

En cherchant un peu dans les dossiers de ce serveur, on s'aperçoit qu'il y a effectivement le fichier qui avait été téléchargé précédemment.
Bref, comme vous l'aurez compris, ce téléchargement était donc légitime.

Mais si quelqu'un passe son temps à télécharger des données depuis une adresse IP (qui correspond à un serveur ou un site web que vous n'autorisez pas sur votre réseau, cela vous permettra de mettre fin à ces téléchargements interdits).

Attention : une même adresse IP peut être utilisée par plusieurs sites web. C'est très souvent le cas à cause des hébergements web mutualisés permettant aux utilisateurs d'héberger leurs sites web à moindre coût).

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.