Introducción al monitoreo de tráfico en GNU/Linux

De WikiSalud
Revisión a fecha de 10:10 7 jun 2016; Alortiz (Discusión | contribuciones)

(dif) ← Revisión anterior | Revisión actual (dif) | Revisión siguiente → (dif)
Saltar a: navegación, buscar

Lo siguiente se refiere a algunos consejos y herramientas para verificar el tráfico en GNU/Linux, especialmente pero no limitado a Debian.

Con el monitoreo de tráfico nos encontramos ante la complicada tarea de usar técnicas que ofrezcan la mayor información posible con el menor uso de recursos por parte del sistema. Así que como siempre, lo mejor para un servidor es usar herramientas que sean capaces de funcionar por consola.

tshark

Tshark es básicamente el paquete para consola en wireshark. En CentOS, por ejemplo, el paquete se llama wireshark y la GUI se llama wireshark-gui. En Debian el paquete se llama precisamente tshark y se obtiene por vía habitual

aptitude install tshark

Hay ciertas limitaciones en su uso desde consola. Debería ser usado para esnifar paquetes y posteriormente analizarlos en Wireshark:

tshark -i eth1  -F pcapng -w trafico-`date +'%y%m%d-%H:%M'`.pcapng

Como tal, esnifa cualquier paquete en la interfaz eth1 con formato pcapng. Ctrl + C y termina y cierra el fichero. Es posible usar any como valor para la opción -i

La opción -a nos permite establecer una condición de finalizado. La opción referente al tamaño (KB) por ejemplo:

tshark -i eth1 -F pcapng -w trafico-`date +'%y%m%d-%H:%M'`.pcapng -a filesize:524288 

Lo más probable es que la interfaz que estamos esnifando es aquella por la que nos hemos conectado vía SSH. No es que sea un grave problema que registre los ficheros de nuestra comunicación, es un ejemplo de tráfico que nos nos interesa y que podemos filtrar. O de hecho podemos filtrar tráfico específico que nos interese registrar. (Es probable que esto último no sea la mejor idea si hemos llegado a este nivel buscando respuestas) Para ello, usamos la opción -f con un filtro pcap válido:

tshark -i eth1 -F pcapng -w trafico-`date +'%y%m%d-%H:%M'`.pcapng -a filesize:524288 -f 'not (ip host 192.168.2.20 and tcp port 22)' 

Escrito de esta forma, el filtro es menos especifico sobre si IP o Puerto son origen o destino, hará coincidencia en ambos casos.

bwm-ng

Esta es una pequeña joya en los repositorios de Debian. Con ella es posible visualizar en tiempo real el uso de ancho de banda del sistema. Hasta donde he podido probarlo parece que los datos recogidos son bastante confiables, así que tenemos otra herramienta de nivel profesional que trabaja desde consola y no desde un navegador. La instalamos

aptitude install bwm-ng

Y la usamos de forma tan sencilla como:

bwm-gn

La salida desde consola es dinámica, pero tiene el siguiente aspecto:

[[imagen:01_-_sin_opciones.png‎ |center]

Herramientas personales
Espacios de nombres

Variantes
Acciones
Navegación
Herramientas