Для проведения мероприятий по розыску Wi-Fi пользователя по информации по внешним ресурсам, которые он посещал, WNAM использует работу со статистикой NetFlow, собираемой с маршрутизатора/сервера доступа.
Информации о факте подключения абонента к беспроводной сети, собираемой от сервера доступа и хранящейся в БД в коллекции "Сессии" недостаточно для розыска, так как все пользователи одновременно используют один общий публичный адрес, через трансляцию адресов (NAT). Таким образом, если владельцу площадки придет запрос вида "кто в период с ... по ... обращался на сайт vk.com" максимум что можно сделать, это выгрузить данных обо всех сессиях всех абонентов за заданный период.
Некоторые сервера доступа (Mikrotik, Cisco-роутер) способны собирать и отправлять в сторону внешней системы (коллектора) данные обо всех потоках трафика, включая IP-адреса посещенных ресурсов. Собирая такие данные, можно с большой точностью сопоставить профиль пользователя посещенному им ресурсу, таким образом успешно решив задачу розыска пользователя беспроводной сети, точно попадающего под критерии.
Внимание! NetFlow не собирает и не анализирует ссылки (URL) помещенных ресурсов. Более того, повсеместное использование SSL (шифрованного доступа к сайтам) делает принципиально неразрешимой мониторинг посещенных ссылок (если только вы не применяете дорогостоящие DPI системы).
Начиная с версии 1.2 и до версии 1.5.2222 WNAM использовал собственный (встроенный) коллектор NetFlow данных, с хранением этих данных в базе MongoDB и привязкой к сессиям и профилям пользователей в реальном времени. Данный подход мел следующие преимущества:
- нет необходимости устанавливать дополнительное ПО-коллектор трафика NetFlow
- данные хранятся в общей базе данных, и можно использовать те же средства резервирования данных
- собираемые данные тут же привязываются к сессии и профилю пользователя
и одновременно недостатки:
- объём базы данных растёт очень быстро, а удаление данных из БД не уменьшает её размера на диске (свойство работы MongoDB)
- непрерывная привязка данных NetFlow к сессиям создаёт серьезную нагрузку на сервер БД в поиске текущих сессий
Для предотвращения проблем с производительностью начиная с версии 1.5.2222 WNAM применят другой способ работы с данными NetFlow, при котором:
для сбора данных NetFlow требуется внешний коллектор-утилита nfcapd, хранящая собранные данные в файле на файловой системе сервера
для анализа данных WNAM при запуске соответствующего отчёта по розыску запускает утилиту nfcap и произвоит анализ принятых результатов по выполненной выборке по данным из файлов
Предлагаемый метод более не требует хранения данных NetFlow в БД в коллекции flows, таким образом рост базы не будет таким быстрым. Также у администратора появляется возможность вручную/автоматизированно удалять устаревшие данных NetFlow прямо с файловой системы, делая освободившееся место немедленно доступным. Резервирование собранных данных также должно выполняться дополнительным средством.