Monitorar o tráfego / uso da rede por PORT

2

Peço desculpas antecipadamente se isso estiver fora do assunto.

Atualmente, estou usando o Icinga e o Cacti para monitorar máquinas e a rede, respectivamente. Embora eu não tenha grandes problemas com essa configuração, eu realmente gostaria de ter a opção de monitorar o tráfego de rede POR PORTA em tempo real.

Existe um utilitário que faz isso? Eu só conheço Paesler e Solar Winds, mas nada de código aberto está fora de questão por enquanto.

Alguma idéia?

    
por dsljanus 12.12.2014 / 16:39

2 respostas

2

Você pediu ideias e ... aqui está a minha.

Para resolver seu problema, você tem duas condições muito limitantes:

  1. Você não pode aceitar a sua Cisco (porque ela não é sua e sua configuração não pode ser alterada para atender às suas necessidades);

  2. Você não pode mudar (pelo menos, não facilmente) a maneira como o Zeroshell está funcionando (devido à própria natureza do Zeroshell [é bastante complexo reconstruir o Zeroshell para atender às suas necessidades [veja abaixo]).

Do outro lado, como você quer REAL_TIME_MONITORING e PER-PORT-TRAFFIC-CONTABING, você é forçado a ter pelo menos um ponto (uma interface de rede), onde:

  1. Todo o tráfego estará fluindo, para que você "contabilize" tudo isso;
  2. a interface é "de propriedade" de alguns equipamentos que você pode gerenciar.

O que fiz em tais situações é REPLACE o dispositivo existente (no seu caso: Zeroshell; no meu caso, vários dispositivos de hardware de vários fornecedores) com algo que eu posso gerenciar totalmente sem restrições: caixa linux comum com pelo menos duas interfaces configuradas corretamente para rotear / tráfego de firewall.

Vamos supor que isso pode ser bom para você (... mesmo que seja difícil, eu entendo que isso pode ser um problema para você, devido aos esforços iniciais de configuração).

SE tal máquina está disponível, ENTÃO eu adicionaria ao conjunto de software para instalar nele:

  • IPTRAF : apesar de sua idade, ainda é perfeitamente capaz de fornecer dados em TEMPO REAL de suas interfaces de rede. Ele fornece uma interface de usuário com caractere, para que possa ser iniciada remotamente, em uma conexão SSH simples (sem web, sem grandes bibliotecas GUI, etc.);

  • NTOP : no site oficial: " ... uma sonda de tráfego de rede que mostra o uso da rede, similar ao que o popular comando Unix faz ... ". O NTOP é muito rico em recursos do que o IPTRAF. Definitivamente mais poderoso (mas mais complexo para configurar / instalar do que um único " apt-get install " ou " yum install ")

Como claramente indicado, ambas as ferramentas acima fornecem bons dados EM TEMPO REAL (como você fez em sua pergunta). De qualquer forma, tenho certeza de que você precisa de ALSO dados assíncronos: tenho certeza de que deseja também verificar algo como: " quem foram os hosts / MACs que geraram / consumiram a maior parte do tráfego, ontem? E para quais protocolos? ", provavelmente analisando esses dados de volta para um único IP / MAC / PORT, e até uma granularidade de ... 1 minuto. Você não? Nesse caso, recomendo vivamente:

  • PMACCT : no site oficial: " ... pmacct é um pequeno conjunto de ferramentas de monitoramento de rede passivas para medir, contabilizar, classificar, agregar e exportar tráfego IPv4 e IPv6 .. ". Por favor, note que PMACCT pode resolver uma ampla gama de problemas, a maioria deles adequados para grandes / grandes ISP / operadores. No entanto, ele pode executar perfeitamente o seu linux-box e levar em conta o fluxo de tráfego ao longo de suas interfaces. Com uma configuração como esta:

-

host:~# cat /etc/pmacct/pmacctd.conf

interface: eth0
daemonize: true
aggregate: src_mac,dst_mac,src_host,dst_host,proto,src_port,dst_port

ports_file: /etc/pmacct/ports.list 

plugins: mysql

sql_user: pmacct
sql_passwd: sqlpassword
sql_db: pmacct
sql_table: acct_v4_%Y_%m_%d
[...]

ele pode facilmente acompanhar o fluxo de tráfego ao longo da eth0 em uma tabela mysql, para que você possa verificar facilmente o que aconteceu em sua rede com uma consulta SQL comum / simples.

Apenas para fornecer alguns números reais, usei com sucesso o PMACCT em um servidor com um XEON X3350; 4 GB de RAM; 4 interfaces GigaEth broadcom; quase 70 VLANs configuradas em eth0 e pmacct ouvindo em todas elas; +/- 300 GB de vários tráfegos IP roteados diariamente; PMACCT gerando contabilidade EVERY_MINUTE, para EVERY_VLAN, para CADA tupla (src_mac, dst_mac, src_ip, dst_ip, src_port, dst_port); +/- 60.000.000 registros contábeis por dia. Tudo isso, sem qualquer problema (mas escrevendo em arquivos de texto, não no MySQL). Em ambientes menores, de qualquer forma, não há problemas em escrever diretamente para o MySQL.

Além disso, observe que, graças ao PMACCT, acompanho os endereços IP EACH em minhas redes, diariamente (em outras palavras: eu sei que 10.29.19.89 não foram vistos desde 16 de julho de 2014; 172.17.1.45 nunca foi visto [desde o início da contabilidade do PMACCT]; etc.).

Também no PMACCT: configurei o switch ethernet conectando meu principal gateway de Internet, para "espelhar" seu tráfego para uma porta livre, onde eu pluguei uma caixa ad-hoc linux-box com todo o tráfego da Internet (um 1GEth link). Nenhum problema em tudo.

Uma nota final sobre o PMACCT: se você (ou alguns outros leitores) se perguntar por que NÃO escolheu algum probe / coletor mais comum do NETFLOW / IPFIX, o motivo é muito simples: o PMACCT é o único Eu descobri que ser capaz de responder também aos endereços MAC.

    
por 17.12.2014 / 22:35
-2

este programa pode monitorar o tráfego pela porta 10-Strike Bandwidth Monitor ( link ) Outra vantagem é que ele exibe todos os resultados de monitoramento em diagramas e gráficos em tempo real. Visite a página do programa, há muitas capturas de tela

    
por 21.01.2015 / 10:44