Início / server / Perguntas / 652168
Accepted
dlyk1988
Asked: 2014-12-13 07:39:53 +0800 CST

Monitore o tráfego/uso da rede por PORTA

  • 772

Peço desculpas antecipadamente se isso estiver fora do tópico.

Atualmente, estou usando Icinga e Cacti para monitorar máquinas e a rede, respectivamente. Embora não tenha grandes problemas com esta configuração, gostaria muito de ter a opção de monitorar o tráfego de rede POR PORTA em tempo real.

Existe algum utilitário que faça isso? Eu só conheço Paesler e Solar Winds, mas qualquer coisa que não seja de código aberto está fora de questão por enquanto.

Alguma ideia?

network-monitoring

2 respostas

  1. Best Answer

    Pediram ideias e... aqui está a minha.

    Para resolver seu problema, você tem duas condições muito limitantes:

    1. Você não pode pegar seu Cisco (porque ele não é seu e sua configuração não pode ser alterada para atender às suas necessidades);

    2. Você não pode mudar (pelo menos, não facilmente) a maneira como o Zeroshell está funcionando (devido à própria natureza do próprio Zeroshell [é bastante complexo reconstruir o Zeroshell para atender às suas necessidades [veja abaixo]).

    Por outro lado, como você deseja REAL_TIME_MONITORING e PER-PORT-TRAFFIC-ACCOUNTING, você é forçado a ter pelo menos um ponto (uma interface de rede) onde:

    1. Todo o tráfego estará fluindo, então para você "contabilizar" tudo;
    2. a interface é "propriedade" de alguns equipamentos que você pode gerenciar.

    O que tenho feito nessas situações é SUBSTITUIR o dispositivo existente (no seu caso: Zeroshell; no meu caso, vários dispositivos de hardware de vários fornecedores) por algo que posso gerenciar totalmente sem restrições: uma caixa Linux comum com pelo menos duas interfaces configuradas corretamente para tráfego de roteamento/firewall.

    Vamos supor que isso possa ser bom para você (...mesmo difícil, eu entendo que pode ser um problema, para você, devido aos esforços iniciais de configuração).

    SE tal máquina estiver disponível, ENTÃO eu adicionaria ao conjunto de software para instalar nela:

    • IPTRAF : apesar de sua idade, ainda é perfeitamente capaz de fornecer dados em TEMPO REAL de suas interfaces de rede. Ele fornece uma interface de usuário de personagem, para que possa ser iniciado remotamente, dentro de uma conexão SSH simples (sem web, sem grandes bibliotecas GUI, etc.);

    • NTOP : do site oficial: " ...uma investigação de tráfego de rede que mostra o uso da rede, semelhante ao que o popular comando top Unix faz... ". O NTOP é muito rico em recursos do que o IPTRAF. Definitivamente mais poderoso (mas mais complexo de configurar/instalar do que um único " apt-get install " ou " yum install ")

    Conforme declarado claramente, ambas as ferramentas acima fornecem bons dados em TEMPO REAL (como você perguntou em sua pergunta). De qualquer forma, estou bastante confiante de que você precisa TAMBÉM de dados assíncronos: tenho certeza de que também deseja verificar algo como: " quem foram os hosts/MACs que geraram/consumiram a maior parte do tráfego, ontem? E para quais protocolos? ", provavelmente detalhando esses dados de volta a um único IP/MAC/PORTA e até uma granularidade de .... 1 minuto. não é? Nesse caso, recomendo fortemente:

    • PMACCT : do site oficial: " ...pmacct é um pequeno conjunto de ferramentas passivas de monitoramento de rede para medir, contabilizar, classificar, agregar e exportar tráfego IPv4 e IPv6.. ". Observe que o PMACCT pode resolver uma ampla gama de problemas, a maioria deles adequados para grandes/grandes ISP/operadoras. No entanto, ele pode rodar perfeitamente em sua caixa linux e contabilizar o tráfego que flui por suas interfaces. Com uma configuração assim:

    -

    host:~# cat /etc/pmacct/pmacctd.conf

interface: eth0
daemonize: true
aggregate: src_mac,dst_mac,src_host,dst_host,proto,src_port,dst_port

ports_file: /etc/pmacct/ports.list 

plugins: mysql

sql_user: pmacct
sql_passwd: sqlpassword
sql_db: pmacct
sql_table: acct_v4_%Y_%m_%d
[...]

    ele pode acompanhar facilmente o tráfego que flui ao longo do eth0 em uma tabela mysql, para que você verifique facilmente o que aconteceu em sua rede com uma consulta SQL comum/simples.

    Apenas para fornecer alguns números reais, usei PMACCT com sucesso em um servidor com um XEON X3350; 4GB de RAM; 4 interfaces broadcom GigaEth; quase 70 VLANs configuradas em eth0 e pmacct escutando em todas elas; +/- 300GB de vários tráfegos IP roteados diariamente; PMACCT gerando contabilidade CADA_MINUTE, para CADA_VLAN, para CADA tupla (src_mac, dst_mac, src_ip, dst_ip, src_port, dst_port); +/- 60.000.000 registros contábeis por dia. Tudo isso, sem nenhum problema (mas escrevendo em arquivos de texto, não em MySQL). De qualquer forma, em ambientes menores, não há problemas em gravar diretamente no MySQL.

    Além disso, observe que, graças ao PMACCT, acompanho diariamente CADA endereço IP visto em minhas redes (ou seja: sei que 29.10.19.89 não foi visto desde 16 de julho de 2014; 172.17.1.45 nunca foi visto [desde o início da contabilidade do PMACCT]; etc.).

    Também no PMACCT: configurei o switch ethernet conectando meu gateway de Internet principal, para "espelhar" seu tráfego para uma porta livre, onde conectei um linux-box ad-hoc contabilizando todo o tráfego de Internet (um link 1GEth) . Nenhum problema.

    Uma observação final sobre o PMACCT: se você (ou algum outro leitor) se perguntar por que NÃO escolhi uma sonda/coletor NETFLOW/IPFIX mais comum, o motivo é muito simples: PMACCT é o único que encontrei capaz de contabilizar também o MAC -endereços.

    • 3

  2. este programa pode monitorar o tráfego pela porta 10-Strike Bandwidth Monitor ( http://www.10-strike.com/bandwidth-monitor/ ) outra vantagem é que ele exibe todos os resultados do monitoramento em diagramas e gráficos em tempo real Visite a página do programa , há muitas capturas de tela dele

    • -2

relate perguntas