CentOS monitorando o tráfego na porta

3

Estou procurando uma ferramenta para monitorar o tráfego em algumas portas de um servidor CentOS. Neste servidor, cada serviço é executado em uma porta de 3000 a 3050 e eu gostaria de comparar o consumo de tráfego nesses serviços; como qual é o principal locutor / ouvinte.

/ proc / net / dev apenas fornece a quantidade global de bits enviados e recebidos na interface de rede, e não no nível da porta.

Toda ferramenta que eu descobri goofing google fornece relatório sobre o nível da interface (como eth0) e nenhum no nível da porta, mas eu posso não ter pesquisado o suficiente afinal.

Vocês conhecem alguma maneira de fazer isso?

    
por philippe 08.11.2011 / 18:15

3 respostas

4

Ou você pode usar iptables sem alvo, o que é legal e inofensivo:

iptables -A INPUT -p tcp --dport 3000
iptables -A INPUT -p tcp --dport 3001
...
iptables -A INPUT -p tcp --dport 3050

e

iptables -A OUTPUT -p tcp --sport 3000
iptables -A OUTPUT -p tcp --sport 3001
...
iptables -A OUTPUT -p tcp --sport 3050

Como nenhuma dessas regras tem um destino, nenhuma delas alterará o fluxo de tráfego. Mas cada um deles irá incrementar suas contagens de pacotes e bytes para cada pacote correspondente, então iptables -L -n -v deve retornar algo como

15733  933K           tcp  --  * *      0.0.0.0/0      0.0.0.0/0     tcp dpt:3000
5733   133K           tcp  --  * *      0.0.0.0/0      0.0.0.0/0     tcp dpt:3001
...

Observe que você não está usando nenhum firewall agora; se você for, essas regras precisarão ir no lugar certo nas cadeias INPUT e OUTPUT, ou seja, primeiro.

Dado o número de portas que você está monitorando, você pode querer delegar isso a uma cadeia definida pelo usuário para manter a saida do seu iptables; mas isso é um exercício para você!

    
por 08.11.2011 / 19:09
5

tcpdump:

[root@bespinwerks ~] # tcpdump -i eth0 port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:23:39.478997 IP dw135-198-237-222.dhcpw.sest.example.com.3364 > bespinwerks.http: Flags [S], seq 388975608, win 65535, options [mss 1260,nop,wscale 1,nop,nop,sackOK], length 0
12:23:39.479043 IP bespinwerks.http > dw135-198-237-222.dhcpw.sest.example.com.3364: Flags [S.], seq 3273086762, ack 388975609, win 5840, options [mss 1460,nop,nop,sackOK,nop,wscale 6], length 0
12:23:39.479982 IP dw135-198-237-222.dhcpw.sest.example.com.3364 > bespinwerks.http: Flags [.], ack 1, win 32768, length 0
12:23:39.480543 IP dw135-198-237-222.dhcpw.sest.example.com.3364 > bespinwerks.http: Flags [P.], seq 1:595, ack 1, win 32768, length 594
12:23:39.480564 IP bespinwerks.http > dw135-198-237-222.dhcpw.sest.example.com.3364: Flags [.], ack 595, win 110, length 0
12:23:39.542350 IP bespinwerks.http > dw135-198-237-222.dhcpw.sest.example.com.3364: Flags [.], seq 1:3781, ack 595, win 110, length 3780
12:23:39.543976 IP dw135-198-237-222.dhcpw.sest.example.com.3364 > bespinwerks.http: Flags [.], ack 2521, win 32768, length 0
12:23:39.544007 IP bespinwerks.http > dw135-198-237-222.dhcpw.sest.example.com.3364: Flags [.], seq 3781:7561, ack 595, win 110, length 3780
12:23:39.544884 IP dw135-198-237-222.dhcpw.sest.example.com.3364 > bespinwerks.http: Flags [.], ack 3781, win 32768, length 0

EDIT: Depois de reler sua pergunta, iftop pode ser uma opção melhor:

                             12.5Kb                        25.0Kb                        37.5Kb                        50.0Kb                  62.5Kb
+----------------------------+-----------------------------+-----------------------------+-----------------------------+-----------------------------
bespinwerks:ssh                                              => dw135-198-237-222.dhcpw.sest.example.com:dj-ilm                   1.48Kb  1.88Kb  2.08Kb
                                                             <=                                                                160b    160b    177b
192.168.1.255:netbios-dgm                                    => STATION:netbios-dgm                                       0b      0b      0b
                                                             <=                                                                  0b    194b     51b
192.168.1.255:17500                                          => rm-macbook:17500                                                 0b      0b      0b
                                                             <=                                                                  0b    109b     57b
255.255.255.255:17500                                        => rm-macbook:17500                                                 0b      0b      0b
                                                             <=                                                                  0b    109b     57b
255.255.255.255:17500                                        => GACDTL05RX7322:17500                                             0b      0b      0b
                                                             <=                                                                  0b      0b    116b
bespinwerks:41307                                            => bespin:domain                                                    0b      0b     16b
                                                             <=                                                                  0b      0b     36b
bespinwerks:39407                                            => bespin:domain                                                    0b      0b     15b
                                                             <=                                                                  0b      0b     21b
bespinwerks:44091                                            => bespin:domain                                                    0b      0b     15b
                                                             <=                                                                  0b      0b     20b
bespinwerks:44738                                            => bespin:domain                                                    0b      0b     15b
                                                             <=                                                                  0b      0b     19b
bespinwerks:59540                                            => bespin:domain                                                    0b      0b     16b
                                                             <=                                                                  0b      0b     16b
bespinwerks:49364                                            => bespin:domain                                                    0b      0b     15b
                                                             <=                                                                  0b      0b     15b
192.168.1.255:17500                                          => STATION:17500                                             0b      0b      0b
                                                             <=                                                                  0b      0b     29b
    
por 08.11.2011 / 18:21
1

iptraf e iftop vem à minha mente, sendo o ex-muito pequeno e eficiente.

    
por 08.11.2011 / 18:33