анализатор траффика через интерфейс.

Linux, безопасность, сети и все что с этим связано
Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

анализатор траффика через интерфейс.

Сообщение tes+or »

все для того же. интересует простое и прозрачное решение позволяющее мониторить загрузку интерфейса и вести не сильно наворочанную статистику.

хотелось бы иметь статистику по портам и для каждого из портов фигурирующих в статистике - топ 10 или около того адресов + не сильно детальный график загрузки за сутки, неделю, месяц. смотреть все это ес-но через веб. т.е. я так полагаю что это какой-то демон, который анализирует траффик, или возможно набор правил для iptables c -j LOG и вебскрипт который потом обрабатывает накопленные логи.

но все это в принципе не обязательно и если красивого с точки зрения логики и не влияющего на безопасность решения нету, то прошу меня об этом предупредить и посоветовать забить. без этой вещи можно пережить, просто статистика это забавно и полезно.

и еще, не думаю что стоит создавать для этого отдельную тему, потому что вопрос ламерский и к тому же смежный - на какую цель перенаправлять правило, чтобы ограничивать по нему ширину канала. как это сейчас принято решать?

канал просто узкий и все это актуально.

а, да, и еще, не сильно ли это бъет по производительности?

Hermit
Неотъемлемая часть форума
Сообщения: 354
Зарегистрирован: 22 сен 2004, 13:47
Откуда: Minsk
Контактная информация:

Сообщение Hermit »

попробуй ntop, не думаю, что ты столкнешься с проблемой производительности. Еще неплохой вариант какой-нить генератор netflow + flow-tools. Эта схема будет более масшабируемой.

bsw_m
Интересующийся
Сообщения: 54
Зарегистрирован: 04 авг 2007, 17:29
Откуда: Молодечно - Москва - Abu Dhabi
Контактная информация:

Сообщение bsw_m »

snmpd+cacti

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

гмм..

так что лучше, ntop или связка генератора net-flow+flow-tools? вообще вторая тема мне кажется более универсальной, а универсальность полученного при конфигурации опыта - это важно.

но генераторов net-flow я нашел тучу, вот они:

1.softflowd
2.fprobe
3.ndsad
4.nfdump

и это явно не все. какой более ровный?

>snmpd+cacti
а эта связка мне вообще непонятна. зачем тут snmp?

и еще, могут ли возникнуть проблемы с безопасностью?

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

только вот мне кажется что вебморда для сбора netflow лучше подходит. или эта вебморда полюбому юзает эту либу? если да, то из каких вебморд посоветуете выбирать?

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

у меня fprobe-ulogd, flow-tools, flowscan-cuflow, rrdtool
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

а можно хотябы кратко расшифровать? гуглить устану

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Re: анализатор траффика через интерфейс.

Сообщение tes+or »

поставил ntop, кажется это то что нужно.

только вот оно у меня в 7 утра в выходной день при загрузке в 3 мегабита на роутере с core2duo и гигом оперативы стабильно грузит проц на 3% и память на 10%. днем будет намного хуже, а перспектива расширения канала вообще пугает, а перспектива эта неотвратима и находится где-то в ближайшем будущем.

это вообще нормально? я почти все оставил по дефолту, только разделил статистику для разных интерфейсов и отключил reverse DNS lookups. очевидных способов снижения нагрузки на интерфейс я глядя в опции не заметил. может кто-то из присуствующих сталкивался и находил эти способы?

bsw_m
Интересующийся
Сообщения: 54
Зарегистрирован: 04 авг 2007, 17:29
Откуда: Молодечно - Москва - Abu Dhabi
Контактная информация:

Re: анализатор траффика через интерфейс.

Сообщение bsw_m »

ntop он такой, любит пригрузить систему.
Попробуй fprobe, а для анализа трафика - http://manageengine.adventnet.com/products/netflow/

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Re: анализатор траффика через интерфейс.

Сообщение tes+or »

cacti поставил, даже минимально настроил, в прицнипе работает и потом даже пригодится, но это не совсем то, что на настоящий момент уже остро необходимо. временно сужаю задачу: есть роутер, сеть и интернет. через роутер в интернет и из интернета гоняют траффик. временами кто-то наглеет и гоняет его особенно бессовестно. задача - составить рейтинг таких юзеров. на железном роутере у нас это было, хотим и тут такое. cacti кажется не умеет такого. может есть иной проверенный способ? не обязательно вебинтерфейс, консольный даже лучше, возни меньше.

leave
Неотъемлемая часть форума
Сообщения: 1055
Зарегистрирован: 25 окт 2006, 14:50
Откуда: minsk
Контактная информация:

Re: анализатор траффика через интерфейс.

Сообщение leave »

trafshow

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Re: анализатор траффика через интерфейс.

Сообщение Llama »

tes+or, я ж выше приеводил сызку используемых тулзов - сенсор, коллектор, анализатор + рисовалка - все настраивается независимо.
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Re: анализатор траффика через интерфейс.

Сообщение tes+or »

leave, спасибо! категорически то что надо

Llama, это все хорошо, но оно рисует графики, а мне нужен топ по айпишникам. это невозможно отобразить на известных мне типах графиков. или я что-то упустил?

leave
Неотъемлемая часть форума
Сообщения: 1055
Зарегистрирован: 25 окт 2006, 14:50
Откуда: minsk
Контактная информация:

Re: анализатор траффика через интерфейс.

Сообщение leave »

tes+or, на свиссхосте кстати на шлюзе офисном оно стояло :)

bsw_m
Интересующийся
Сообщения: 54
Зарегистрирован: 04 авг 2007, 17:29
Откуда: Молодечно - Москва - Abu Dhabi
Контактная информация:

Re: анализатор траффика через интерфейс.

Сообщение bsw_m »

tes+or,
То что я предложил, позволяет составить топ.
Таки предлагаю посмотреть, благо оно ставится с пол-пинка

Ответить