Декодируем трафик Zabbix Proxy для быстрого устранения неполадок
Cloud4Y 31 минуту назад Декодируем трафик Zabbix Proxy для быстрого устранения неполадок 13 мин 807 Блог компании Cloud4Y Системное администрирование * DevOps * Информационная безопасность * Сетевые технологии *...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. Cloud4Y 31 минуту назад Декодируем трафик Zabbix Proxy для быстрого устранения неполадок 13 мин 807 Блог компании Cloud4Y Системное администрирование * DevOps * Информационная безопасность * Сетевые технологии * Туториал Перевод Автор оригинала: Kaspars Mednis Обычно для базовой диагностики прокси достаточно просто заглянуть на страницу администрирования Zabbix proxy или посмотреть метрики состояния прокси. Однако бывают ситуации, когда требуется более глубокий анализ. Сегодня мы разберём взаимодействие между Zabbix server ↔ proxy и научимся интерпретировать внутренний протокол обмена.
Протокол обмена данными ZabbixКомпоненты Zabbix используют для связи TCP, а информация кодируется в JSON. Как отличить пакеты Zabbix от остальных? Для этого нужно применить несколько основных фильтров:Протокол: TCPПорт: 10051 или 10050 (в зависимости от режима работы: активный или пассивный)Пакет: Начинается с ZBXD (или 5A 42 58 44 в HEX)В старых версиях перехватывать и читать пакеты Zabbix в открытом виде было довольно просто.
Технические детали
0 была введена обязательная компрессия трафика. Это значительно снижает сетевую нагрузку — примерно в 10 раз при практически незаметных накладных расходах по CPU, — но одновременно делает трафик нечитаемым для человека. Современный пакет обмена Zabbix выглядит так:5a425844038200000097000000789c2dcccb0e83201085e15731b33606b90a8fe20ec631256da4056a6c9abe7be965fb7f27e709996e772a151c5c733a1edde2ab871e4ee9db661f423cba1f79ac71a786854a89696bbe7223e5b2326b75e01c199368510b42cf68f2eaf3b453fe8fcdc0063eb68497846770a3d1c25a698cea612be0b43642a9c9b2d71b6c5d2cfdВыглядит не слишком человекочитаемо, верно?
В следующих разделах мы шаг за шагом перехватим и распакуем этот пакет. Перехват трафикаДля этой задачи подойдёт несколько инструментов, но мы будем использовать Wireshark — один из самых популярных и широко применяемых анализаторов сетевых пакетов. У него есть удобный графический интерфейс для Windows и Linux, но мы воспользуемся версией для командной строки, поскольку большинство диагностических задач выполняется через SSH-сессию.
В этом примере используется CentOS Stream 9, но команды должны работать и в других Linux-дистрибутивах с минимальными изменениями синтаксиса. Сначала установим инструмент:dnf install wireshark-cliЭта команда устанавливает консольную утилиту tshark. После этого перейдите в каталог, где можно создавать файлы.
В этом примере мы будем использовать /tmp:cd /tmpТеперь перехватим немного трафика между Zabbix server и active proxy:tshark -i eth0 -f "host and host \ and tcp port 10051" -w zabbix_stream. pcapПояснение параметров:-i eth0 – прослушивать интерфейс eth0 (при необходимости укажите другой интерфейс) – замените на IP-адрес Zabbix server – замените на IP-адрес Zabbix proxytcp port 10051 – перехватывать TCP-пакеты на порту 10051 (Zabbix trapper)-w zabbix_stream. pcap – записывать перехваченные данные в файлДайте команде поработать несколько минут, чтобы собрать необработанные данные трафика.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
