Como monitorar todas as conexões de rede na LAN?

ntop

ntop is a network probe that shows network usage in a way similar to what top does for processes. In interactive mode, it displays the network status on the user's terminal. In Web mode, it acts as a web server, creating a HTML dump of the network status. It sports a NetFlow/sFlow emitter/collector, a HTTP-based client interface for creating ntop-centric monitoring applications, and RRD for persistently storing traffic statistics.

ntop is available for both Unix and Win32-based platforms. It has been developed by Luca Deri, an Italian research scientist and network manager at University of Pisa.

Common usage on linux system is to start the ntop daemon (/etc/init.d/ntopd start), then one can use the web interface to ntop via visiting http://127.0.0.1:3000 provided the loopback device has been started (/etc/init.d/net.lo start) and the listening port for ntop is 3000 (look out for the -w option in ps aux | grep ntop).

Provavelmente wireshark, talvez. Mas é difícil dizer a partir de sua pergunta, uma vez que não inclui informações suficientes para poder dizer o que você entende por "monitor".

Primeiro, você precisa de um design de rede que permita o monitoramento da rede. Pode-se usar muitas portas de monitor. Como alternativa, use hubs de rede em vez de pontes ou switches de camada 2.

Em seguida, instale o IDS (Intrusion Detection System) em todos os segmentos de rede.

"Monitor" pode ter vários significados, por isso é difícil dizer o que você quer dizer. Se você quiser monitorar o status de suas conexões de rede (como se as conexões estão ativas ou desativadas), muitos switches suportam SNMP e você pode usar um programa como What's Up Gold ou Solarwinds para relatar alterações no status das portas.

Se você quiser monitorar as conexões de rede nos servidores, poderá usar uma plataforma que faz solicitações periódicas de ICMP para testar se os servidores ainda estão ativos. O software mencionado anteriormente também faz isso, assim como softwares como o IPSentry (e muitos outros mencionados em outras perguntas do Serverfault, como aqui ou aqui ).

Se você quiser monitorar o tráfego real e examinar os pacotes, será necessário espelhar as portas no switch para uma porta de cópia (supondo que o switch tenha esse recurso) e ter algo como o Wireshark em um sistema que capture essa porta . No entanto, você pode estar sobrecarregando a largura de banda dessa porta (dependendo do tráfego nas outras portas e do número de outras portas sendo espelhadas). Se isso acontecer, você perderá pacotes.

Hmm. Eu acho que podemos apenas pegar uma punhalada e adivinhar que você provavelmente está procurando algo como SNMP (Simple Network Management Protocol). Se o seu switch / roteador / PC suportar traps SNMP, ele poderá enviar seu status, códigos e mensagens para um NMS (Network Monitor Station), que pode mostrar o status dos dispositivos.

Temos todo o nosso software personalizado enviando traps SNMP sempre que houver uma falha ou um travamento, e muitos switches gerenciados fornecerão detalhes da porta por meio do mesmo método (quem está ligado, desligado, velocidade e duplexação etc.)

Parece-me que NetFlow é o tipo de ferramenta que você deseja usar aqui. Se você estiver usando switches que o suportam, eles podem fazer coisas como registrar todas as conexões TCP (ou apenas certas baseadas em filtros, como porta), a quantidade de tráfego em cada conexão e esse tipo de coisa. Você pode fazer algo semelhante com switches não habilitados para o NetFlow se tiver uma porta de monitoramento à qual você possa conectar um computador executando o nProbe (no site http: // www.ntop.org/nProbe.html) ou algo semelhante. Há uma grande lista de softwares relacionados a aplicativos do NetFlow aqui: (no site http: www.switch.ch/network/projects/completed/TF-NGN/floma/software.html)

(BTW, não me culpe por falta de links além do primeiro; este site decidiu que não os quer.)

Experimente o 'IPTRAF' Sua ferramenta maravilhosa. Após a instalação, ele detectará todas as portas Ethernet e você poderá começar a monitorar sua rede local. link

aproveite ..:)

Se você quer apenas uma visão rápida de quem está fazendo o quê, então você pode experimentar o iftop.

Página inicial do projeto: link

baixe o WIRESHARK (ferramenta de monitoramento de rede, que costumava ser chamada ethereal) com isso você verá todo o tráfego de rede e protocolos ao vivo e também THE DUDE (mapeamento de rede) lhe dará uma interface gráfica de sua rede com estatísticas. ambos são livres.

que claramente depende do objetivo que você está tentando alcançar. Talvez você pudesse pegar todo o tráfego de uma porta span em seus switches com wireshark, ou colocar nessa porta um NIDS (snort + base fará o trabalho). Você também pode implantar algum sistema de monitoramento usando o Zabbix, por exemplo, para representar graficamente os valores snmp de suas consultas snmp. Você também pode usar o envenenamento de cache arp com o etercap para ir além no meio. Espero que isso ajude.

O Ascendant NFM é o software de monitoramento de rede que usamos em nosso escritório. Ele está funcionando bem. Nada mal.