Подсчет трафика linux. Проверить исходящий сетевой трафик

Для тех пользователей, кто лишен возможности использовать безлимитный тарифный план (например вынужден часто использовать 3G в роуминге) учет потребления трафика - достаточно критичная задача. Как же решить ее в Ubuntu? Рассмотрим 2 интересных приложения.

Network Traffic Monitor (NTM)

Данное приложение отображает достаточно подробный отчет об использовании указанного интернет соединения. В данный отчет входят:

1. текущая скорость загрузки-отдачи
2. общее количество трафика, количество трафика для текущей ppp сессии, количество трафика за месяц
3. время текущей ppp сессии (актуально когда оплата интернета - почасовая, не знаю где такое еще сохранилось)

Программа позволяет указывать интерфейс, за которым производится слежение и, в случае если это PPPoE соединение, предоставляет возможность автоматически обрывать соединение при достижении указанного в настройках лимита по трафику/времени за указанный промежуток времени (день/неделя/месяц или любой другой интервал). К сожалению, обладая такими богатыми возможностями, NTM - достаточно слабо интегрирован в Ubuntu, все ограничивается статичным индикатором, а чтобы посмотреть текущую ситуацию с лимитами приходится открыть окно программы, что не всегда удобно.

Download Monitor

Программа создана в рамках Ubuntu Apps Showdown . Ее возможности намного скромнее: download monitor позволяет задать дневной, недельный и месячный лимит по трафику, получать сообщения о превышении данных лимитов и просматривать простые графики. С другой стороны программа достаточно хорошо интегрирована в Ubuntu, имеется progress bar на Unity иконке, который позволяет оценить сколько трафика осталось.

Установить программу можно с помощью ppa-репозитория используя следующие команды:

Sudo add-apt-repository ppa:duncanjdavis/download-monitor-submit sudo apt-get update sudo apt-get install download-monitor

А как вы контролируете расход интернета?

Решил обновить блог 21.03.10

Многое уже поменялось за 2 года. Но с нормальных биллингов всёравно не хватка. Особым лидером вышел Траффпро (бывший Office-Control). Свой выбор я остановил именно на нём, бесплатной версии вполне хватает для управления офисом.

Сам обзор оставлю в не изменённом виде, как достояние истории. Большая часть информации в нём до сих пор актуальна. Приятного чтения:)

Потребовалось на работе установить систему учёта и контроля трафика. Как всегда, я взялся за поиски Бесплатной системы для OC Linux.

Что я для себя хотел найти:
1) Учёт всего и вся (по всем портам)
2) Подробная статистика кто куда и зачем
3) Авторизация юзеров (чтоб ни кто другой, кроме самого юзера не мог накачать трафик)
3) Чтоб юзер мог смотреть сколько он сам скачал
4) Минимум вмешательства В ОСWin юзера.
5) Простота установки и настройки биллинга

Забегая немного вперёд, хочю сказать что я такую систему нашёл, и сейчас она успешно работает на предприятии, и в этом обзоре я буду рассматривать эту сборку.

Товарищь google.com дал мне очень много интересной и полезной информации, но как оказалось нормальных и бесплатных биллинг систем не так уж много.
Все они делятся на 2 типа у каждого есть свои плюсы и минусы:
1) На Iptables -
+ Считают траффик по всем портам и по всем направления. = Точность подсчёта
+ Фиксируют по Ip иногда и по мас адресу.
+ Стабильность работы при больших нагрузках.
+ Хорошая система Тарификации и отключения юзеров
- Не гибкость, учёт только по компьютерам, а не по юзерам
- Нет статистики по посещаемым страницам
- Часто, отсутствует какая либо авторизация по юзерам.

2) На Squid -
+ Подробная статистика о посещаемых сайтах каждого юзера
+ Возможность установить блокировку на определённые сайты и поставить Банерорезку
+ Развитая акаунт система (юзеры могут быть как привязаны к адресу компьютера так и быть полностью свободны, т.е. заходить в интернет под своим логином и паролем с Любого компьютера)
+ Различные способы авторизации (ip, ntlm, ncsa - если не понятно что это, то ниже расскажу что к чему:))
+ Возможность лимитирования трафика.
- считают трафик Только по 80 порту!
- Из этого следует что контролировать почту, фтп, банклиенты и подобные программы мы не сможем!
- Придётся прописывать Адрес прокси на клиентских машинах для использования авторизации по логину и паролю.

Хочю заметить, что в некоторых биллингах какие-то из минусов отсутствуют, но и там есть свои "тараканы" :)

А теперь рассмотрим самих кандидатов.

Биллинги на iptables:

NeTAMS (Network Traffic Accounting and Monitoring Software)

www.netams.com

Работает под управлением Unix (Linux/FreeBSD/Solaris). Поддерживаются различные методы сбора статистики (tee/divert/ip_queue/ulog/libpcap/netflow v5 и v9/netgraph), хранения в базе данных (BerkleyDB/MySQL/PostgresSQL/Oracle/Radius), агрегирования, отображения, оповещения и пр. Возможно проводить блокировку на базе квот, авторизации, исчерпании баланса (биллинг); управлять полосой пропускания, контролировать подмену MAC-адреса, делать связь с RADIUS, создавать гибкие политики учета и фильтрации. Более подробней о возможностях в этом списке.

Многие админы хвалят, но что они в нём нашли не знаю, может им нравится перелопачивать кучу программного кода, чтоб находить нужные зависимости. Пробовал Его ставить на AltLinux 2.4, Ubuntu, Fedore. Ни на одной системе нормально не завёлся, что-то не хватало в зависимостях, но почитав подробно в мануалах я понял, что даже если он заработает, мне придётся потратить не одну ночь и не одну неделю для доведения его в божеский вид.

Не заработал!

Вывод:
- Только для профи.
- Запутанная документация
- Многое доделывать нужно самому
- ввиде sh, rpm и.deb пакетов не существует

STARGAZER

Система StarGazer предназначена для авторизации и учета трафика в локальных, домашних и офисных сетях. При создании данной системы была поставлена задача создать продукт, который отвечал бы требованиям большинства локальных сетей для учета в них трафика и средств клиентов, а также безопасной авторизации клиентов.

Основные возможности системы:

• контроль над клиентами сети, их добавление, удаление, текущие корректировки
• авторизация клиента, с последующим разрешением или запретом доступа в Internet
• подсчет трафика по предварительно заданным направлениям и правилам
• подсчет израсходованных клиентом средств и автоматическое отключение в случае их полного расходования
• хранение дополнительной информации о клиенте, такой как домашний адрес, телефон и т.д.
• автоматический пинг всех клиентов сети и вывод результатов на экран
• ведение кредитной истории для всех клиентов
• оперативное предоставление клиенту информации о его трафике и наличии средств
• формирование подробных отчетов о состоянии клиентов
• внешние модули

Более подробно на http://stargazer.dp.ua/doc20/about.html

Админы говорят, что это отличный (чуть ли не единсвенный) вариант для тех, кто хочет получить максимальный функционал при минимальных затратах. Основная нацеленность биллинга - для небольших интернет провайдеров.
Очень понравился функционал и возможности биллинга. И Наконец Подробная и Всеобъемлющая инструкция по установке и использованию!!! (к сожалению все бесплатные системы страдают отсутствием именно нормальной документацией, толи разработчикам лень её писать, толи они думают что мы и сами догадаемся как её ставить). Но долго радоваться мне не прошлось.
Ставлю всё на систему Ubuntu.
Сразу во время сборки в самом скрипте сборке (./build) возникли непонятные проблемы. Оказалось что разработчик вместо gmake написал make (позже я узнаю, что это для совместимости с FreeBSD). Ладно с эти справились, но далее пошли проблема за проблемой- невозможность компиляции на определенных пакетах gc++, не запускающийся демон контроля трафика, не работа скриптов onConnect/onDisconnect.
Далее пробую собрать это дело на системе AltLinux 2.4 уже из готового пакета, то там тоже сталкиваюсь с дюжиной проблем.
Где-то через неделю мучений по попыткам заставить его нормально работать я забросил это дело, темболее от форумчан я узнал что этот биллинг иногда теряет информацию из собственной базы и для безопасности его нужно переводить на Mysql, а это ещё дополнительный гемор. Да и попытки разработчика "угодить" как и Linux (всем дистрибутивам сразу!), так и FreeBSD ни к чему хорошему не привело (как говориться, за 2-мя заяцами погонишься, ни одного не поймаешь). Не знаю как на BSD, но на Linux этот биллинг

Не заработал!

Вывод:
+ Хороший сайт с подробным мануалом
+ Простая система управления в GUI (оконной) оболочке
+ Продуманный клиент авторизатор
- Сложность установки связанная желанием угодить и BSD и Linux
- Нет rpm и.deb пакетов сборки (а sh сделан так, что только усложняет установку)

NiTraf

http://nitalaut.sarkor.uz/nitraf-uchyot-trafika-v-linux/

Что может NiTraf ?
На данный момент список возможностей таков:

Подсчет трафика за день/с начала месяца/с начала года в разбивке по ip-адресам

Возможность получения отчетов за произвольные день/месяц/год в разбивке по ip-адресам

Возможность получения отчетов за произвольные день/месяц/год в по конкретному ip-адресу

Возможность выставления квот по трафику(отдельно по входящему и исходящему).
По превышению лимита пользователь отключается от интернета(в iptables добавляется соответствующее правило)

Для удобства просмотра отчётов есть возможность присваивать ip-адресам алиасы(псевдонимы), под которыми они будут фигурировать в отчётах

По каждому ip-адресу можно просмотреть детальную статистику(в разбивке по портам и протоколам). Список портов можно изменять

Более подробно на http://nitalaut.sarkor.uz/nitraf-uchyot-trafika-v-linux/

Простейший биллинг, всё по мнимому. Заработал на системе Ubuntu. На других не пробовал, так как и на Ubuntu он отлично

РАБОТАЕТ!

Вывод:
+ Подробная инструкция по установке на Debian системы http://nitalaut.sarkor.uz/instrukcii/
+ Быстрота развертывания системы
+ Подробная Веб статистика
+ Возможность учёта по различным портам
- Контроль только по IP (юзер может сменить свой IP и использовать чужой трафик)
- Нет авторизации по логину и паролю для юзеров

Office-Control

Система "Office-Control" предназначена для управления и защиты сетей офисов. Разрабатывается с учетом потребности в проектах, исключающих утомительную настройку сервера, и позволяет свести к минимуму время на развёртывание и обслуживание системы. Включает в себя несколько компонент, из которых можно построить необходимый комплекс для любых нужд офиса.

Комплекс позволяет:

• контролировать доступ к серверу как из сети интернет, так и из внутренней сети
• предупреждать распространённые атаки на сервер с помощью интеллектуальной системы защиты
• управлять доступом из внутренней сети во внешнюю, и из внешней во внутреннюю
• вести логирование всех несанкционированных попыток доступа к серверу и к защищённой внутренней сети
• рассылать уведомления по email администраторам комплекса в случае попыток взлома системы или в критических ситуациях
• контролировать потребление трафика пользователями внутренней сети
• ограничивать доступа пользователей к ресурсам внешней сети по портам и адресам

Система предоставляет отчёты по потреблению трафика пользователями, содержит в своём составе терминал администратора под две операционные системы Windows и Linux, также имеется модуль Web клиента, который не зависит от платформы. Также предусмотрен индикатор трафика для пользователя сети, позволяющий получать отчёты пользователем без вмешательства администратора.

Проект сейчас активно развивается и только выходит из стадии бетатестирования. Но уже сейчас я вполне успешно установил эту систему. Да и разработчики активно продолжают развитие проекта. Так например, стоило мне упомянуть, что не помешалоб в биллинге авторизацию через веб интерфейс сделать, как через 2 дня на сайте эже появился этот модуль! Единсвенное с чем могут возникнуть трудности, это документация, пока она сыровата, но её сполна заменяет консультация по ICQ, разработчик не только помог в установке но даже проконсультировал по работе биллинга с Iptables и помог настроить правила безопасности (в дальнейшем они планируют перенести функции управления фаярволла в веб админку, дабы окончательно упростить работу администратора). Посмотрим что у них получиться:)
И забыл упомянуть, биллинг заточен под Системы RedHat (Fedora, CentOS, RedHat)
Лично у меня на Fedore 8

РАБОТАЕТ!

Вывод:

+ Хорошая поддержка проекта
+ Привязка не только по Ip но и mac!
+ Подробная Веб статистика
+ Авторизация по логину и паролю через Web-интерфейс
+ Есть rpm пакет
+ Стабильная работа с Squid
- Сыроватость (на время написания статьи веб админка ещё не была готова, приходилось добавлять юзеров через скрипты.)
- все остальные мелкие минусы, скорее, тоже относятся к сырости чем к закоренелым недостаткам. Буду пристально наблюдать за дальнейшим развитием проекта...

SUB Billing

http://www.subbilling.ru/

О SUB Billing:
Это система сбора информации о трафике пользователей через ulog-acctd. Обработанные данные записываются в MySQL или PostgreSQL базу. Для управления биллингом используется удобный, простой и понятный веб интерфейс.

Характеристики:
+Сбор данных - ulogd
+Базы хранения - mysql, postgresql
+Авторизация - freeradius, chap-secrets
+ Скрипты запускаемые cron

Возможности:
+Работа через - NAT, PPTPD (VPN)
+Группы пользователей: каждой группе можно назначить скидку на трафик.
+Тарифные планы с расчетным периодом, абонентской платой, установкой предоплаченного трафика.
+Установка зон тарификации.
+Установка временных зон.
+Установка праздничных дней.

+Карты оплаты.
+Техническая поддержка.
+Зачисление произвольной суммы на счет.
+Группы администраторов с разными разрешенными действиями.
+Детализированный трафик

В пользовательском веб интерфейсе:
+Детальная информация об аккаунте
+Подробный отчет по платежам, подключениям, трафику в общем, и по разным тарифным зонам.
+Оплата экспресс картой
+Настройки доверительных адресов, пароля, смена тарифного плана.
+Отправка запросов в тех. поддержку
+Новости на главной странице

Пробовал ставить на Debian, что-то не сошлось в настройках VPN. Долго разбираться не стал, так как для работы с биллингом на каждой клиентской машине нужно создавать VPN подключения, а это не в ходило в мои условия по идеальному биллингу. В основном эту систему использают Gentoo-ники, хотя мануалы идут для Debian. И всё же на Ubuntu

Не заработал!

Вывод:
+ Хороший сайт, хоть и мануал пришлось поискать (он в архиве с биллингом)
+ По скринам, хорошая веб админка
+ Развивающийся проект
- Проблемы при установке на стандартный Debian
- Нет rpm и.deb пакетов сборки

Биллинги на SQUID:

Sarg + Wemin

Собирал эту систему я на Ubuntu
Инструкция просто до безобрация - Заходим на www.webmin.com и качаем последнию весию Debian Package.
А потом sudo apt-get install squid sarg (если не получается, то вам сюда forum.ubuntu.ru)
Далее в webmine находим вкладу Squid (что-то там) report (ах да, ещё немного с squid повозиться придётся, но это не так сложно, т.к. все настройки через webmin сделать можно)

Данная система у меня успешно работала в паре с NiTraf на Ubuntu 7.4

РАБОТАЕТ!

+ Легко установить (информации в интернете просто уйма)
+ Можно свободно просмотреть с какого IP какие сайты были просмотрены, сколько было скачано с этих сайтов и таму подобное.
- Сами юзеры не могут посмотреть статистику только для себя
- Генерировать отчёты приходиться вручную

SQUID Account Management System(SAMS)

http://sams.nixdev.net/
http://sams.perm.ru/
Определённо Лидер среди всех биллинговых систем на Squid!
К сожаления на Ubuntu 7.4 он у меня ни в какую не захотел работать, но за-то отлично Заработал на Fedore 8. Понравилась удобная Веб админка, широкие возможности по распределению прав у пользователей (ограничения по трафику, по пропускной способности, по сайтам).

РАБОТАЕТ!

+ Подробная инструкция по установке на сайте разработчика
+ Отличная веб админка
+ Широкие возможности по управлению правами пользователей
+ У пользователей есть свой личный кабинет, где они могут посмотреть свою статистику (мб и посещённые страницы)
+ Можно свободно просмотреть с какого IP какие сайты были просмотрены, сколько было скачано с этих сайтов и таму подобное.
+ Продуманная система взаимодействия со Squid-ом
- Я бы ещё немного доработал дизайн админки
- Считает трафик только по 80 порту

Сейчас мой выбор:
Linux Fedore 8
Office-Control + SAMS (+ прозрачное проксирование)

Я объединил 2 типа биллинга для того чтоб получить:

Office-Control :
1) Учёт трафика по всем портам
2) авторизация пользователей через веб интерфейс
3) управлением прав доступа для юзеров и лимита трафика
SAMS :
4) Подробная статистика по посещаемым сайтам как для админа так и для пользователя
5) экономия трафика за счёт кэширования трафика
6) Ограничение на посещение определённых сайтов

В следующей статье я расскажу как всё это собрать, настроить и запустить вместе. Дам примеры рабочих конфигов и свои сборки.

P.s.
Для разработчиков и фанатов не заработавших биллингов - На время тестирования у меня не было ни времени, ни знаний. В среднем, я экспериментировал с биллингом в течении 5 дней, если этого было мало, чтоб его запустить, то я брался за другой. Я буду рад если вы укажите причины по которым ваш билинг не запустился или дадите подробную, реально Работающюю, инструкцию по установке! (мои контакты в самом конце)

P.p.s. (21.10.08)
Давно не обновлял эту статью, но обращения ко мне в асю по данному вопросу всё ещё приходят. По этому отвечу сразу. Сейчас мой выбор TrffPro.ru (бывший ОфискКонтрол). Там есть всё что нужно, и объединяет возможности сквидовского биллинга (Самс) и табловского.

© Copyright 2007 Lek (ICQ 355767)

Во многих случаях может понадобиться отследить нагрузку на сеть, посмотреть сколько данных передается и какие пользователи, программы или компьютеры занимают канал. Особенно часто такие задачи возникают перед системными администраторами, перед которыми стоит задача отслеживать работу сети целой компании. Но также это может быть полезно и обычным пользователям.

В этой статье мы рассмотрим как выполняется мониторинг сети Linux. Для этого можно использовать различные утилиты. Начиная от сетевых анализаторов, таких как и до более простых инструментов, таких как iptraf.

Все данные, которые распространяются через интернет передаются в виде пакетов определенного размера. Данные разделяются на части определенного размера и из них составляются пакеты, которые будут отправлены в ядро системы а затем в сеть, где пройдут путь из многих компьютеров и маршрутизаторов пока достигнут цели. С помощью специального программного обеспечения мы можем отслеживать сколько пакетов и какого размера проходит через наш компьютер и неважно, были они созданы локальной программой или получены из сети.

Таким образом, очень просто можно узнать какая сейчас нагрузка на сеть, какие программы или сервисы создали пакеты, и даже что содержится в этих пакетах и что делает пользователь.

Мониторинг сети с помощью iptraf

iptraf - это одна из самых лучших программ для мониторинга сети в Linux. Она предоставляет очень удобный интерактивный интерфейс, с помощью которого можно наглядно увидеть всю необходимую информацию, причем достаточно подробно. Утилита не поставляется по умолчанию, но она достаточно популярна, поэтому вы можете установить ее из официальных репозиториев. Для этого в Ubuntu выполните команду:

sudo apt install iptraf

А в CentOS / Red Hat выполните:

sudo yum install iptraf

После установки утилиты для ее запуска просто наберите в терминале iptraf:

Перед вами откроется интерактивный интерфейс на основе Ncurses, в котором необходимо выбрать нужное действие. Здесь доступны монитор пропускной способности сети, статистика по интерфейсу, статистика по сбоям и монитор локальной сети.

Обратите внимание на нижнюю часть окна, там отображается описание выбранного действия, а также находятся подсказки по горячим клавишам.

Например, для просмотра сетевых соединений и статистики трафика для каждого из них выберите "IP traffic moitor". Затем вам будет необходимо выбрать сетевой интерфейс, например, enp2s0:

Дальше вы увидите все IP адреса, с которыми сейчас выполняется взаимодействие. Здесь можно увидеть направление отправки пакетов, количество пакетов и общий объем переданных или полученных данных в байтах.

С помощью других пунктов меню можно посмотреть статистику по интерфейсу или статистику по работе локальной сети. Утилита даже может работать в неразборчивом режиме, чтобы собирать максимум данных про локальную сеть.

Также поддерживаются фильтры, которые позволяют отфильтровывать информацию только по определенному критерию. Например, чтобы создать фильтр откройте меню "Filters" , затем выберите "IP..." , а дальше "Apply new filter" :

Затем нужно указать имя фильтра:

На следующем этапе вы можете расписать нужные параметры фильтрации:

Чтобы применить фильтр нужно выбрать "Apply filter" и выбрать имя фильтра из списка:

Теперь в любом пункте статистики будет отображаться только та информация, которая подходит под созданный фильтр.

Мониторинг трафика Linux чаще всего выполняется администраторами именно с помощью этой утилиты. Видео про использование утилиты:

Мониторинг сети с помощью других утилит

Самая мощная программа для мониторинга сети - это iptraf. Она предоставляет всю необходимую для администраторов информацию. Но, кроме нее, существуют и другие продукты. Рассмотрим их более подробно.

1. iftop

Утилита имеет более простой интерфейс и отображает намного меньше информации. Она выводит ip адреса отправителя и получателя, а также количество переданных или полученных данных за несколько последних секунд:

Установить программу в Ubuntu можно командной:

sudo apt install iftop

Хотя здесь отображается информация по каждому соединению, программа не может идентифицировать программу, которая создает пакеты.

2. nload

nload - это очень простая утилита, которая отображает только скорость входящих и исходящих соединений. Это позволяет сделать примитивный анализ сети linux и определить нагрузку. Отображается текущая скорость, максимальная и минимальная скорость за период работы. Также данные о скорости выводятся в виде графика, поэтому вам будет достаточно беглого взгляда, чтобы понять что происходит.

Для установки программы в Ubuntu используйте команду:

sudo apt install nload

3. nethogs

Это достаточно интересная утилита для мониторинга сетей, которая выделяется среди других. С помощью нее можно посмотреть какой процесс создает тот или иной трафик. Здесь отображаются PID процессов и имена пользователей, отсортированные по занимаемой пропускной способности сети:

Программа, как и другие доступна из официальных репозиториев, поэтому у вас не возникнет проблем с установкой:

sudo yum install nethogs

4. bmon

Утилита bmon позволяет отображать достаточно подробно статистику по каждому сетевому интерфейсу. Она работает похоже на nload и выводит график кроме текстовой информации:

Для установки программы выполните:

sudo apt install bmon

5. Vnstat

Vnstat отличается от всех инструментов, рассмотренных выше. Программа работает постоянно в фоновом режиме и собирает информацию об использовании сети в лог файл. Далее можно посмотреть какой была нагрузка за определенный период. Для установки утилиты выполните:

sudo systemctl start vnstat

Здесь будет отображаться информация о нагрузке на сеть с указанием дат и периодов. Также вы можете посмотреть доступную информацию в реальном времени. Для этого используйте опцию -l:

Видео про использование и настройку vnstat:

6. bwm-ng

Это еще одна утилита, очень простая в использовании, которая позволяет следить за сетевой нагрузкой в режиме реального времени. Отображаются все доступные сетевые интерфейсы в системе:

Для установки утилиты выполните такую команду:

sudo apt install bwm-ng

7. speedometer

Это еще один простой инструмент, который позволяет выполнить мониторинг сети и выводит данные в виде красивых графиков. Для установки программы выполните:

sudo pip install speedometer

Как видите, она есть в официальных репозиториев не всех дистрибутивов, зато вы можете установить программу из репозитория python.

speedometer -r enp2s0f0 -t enp2s0f0

Опция -r указывает интерфейс, с которого необходимо отображать количество полученных пакетов, а опция -t - отправленных.

8. netwatch

Netwatch - это небольшая утилита, которая входит в набор инструментов Netdiag и показывает сетевые соединения между локальной и удаленными системами, а также скорость, с которой будут передаваться данные. Для установки программы используйте:

sudo apt install netdiag

Затем для запуска:

9. ifstat

Утилита ifstat показывает пропускную способность сети, измеряя количество переданных и принятых пакетов. Вывод утилиты можно использовать и анализировать в других программах. Утилита не выводит информацию об ip адресах или других параметрах, а только скорость. Для установки используйте:

sudo apt install ifstat

Для запуска:

10. trafshow

Это утилита, очень похожа на iftop, которая отображает не только скорость передачи, но и сами соединения. Здесь выводится информация по соединениях, размеры пакетов и протокол. Для установки программы наберите:

sudo apt install trafshow

Осталось запустить программу:

Выводы

В этой статье мы рассмотрели команду Iptraf, а также еще несколько полезных утилит, с помощью которых можно выполнять мониторинг сети linux на сервере или домашнем компьютере. Некоторые из этих инструментов можно использовать даже в корпоративной среде. В качестве альтернативы вы можете использовать инструменты с веб-интерфейсом. Некоторые из них перечислены в статье . А какие инструменты мониторинга используете вы? Напишите в комментариях!

В этой статье собраны способы мониторинга трафика, проходящего через сервер. Чаще всего задача мониторинга встаёт для роутеров, обеспечивающих связь с интернетом.

Мониторинг в реальном времени

Для мониторинга трафика в реальном времени можно использовать утилиту jnettop:

sudo jnettop

Или, как вариант, vnstat с ключом –live:

sudo vnstat --live

Можно также воспользоваться достаточно удобной утилитой с псевдографическим интерфейсом, которая называется iptraf:

sudo iptraf

Журналирование активности средствами iptables

Стандартный пакетный фильтр iptables иногда может быть очень полезен для анализа какого-то конкретного типа трафика. iptables позволяет записывать в системный журнал активность по выбранным критериям. Например, с помощью iptables можно легко отследить, какой компьютер посылает данные во внешнюю сеть по 25 порту (SMTP), таким образом вычислив заражённый компьютер в локальной сети.

Для записи данных в файл журнала предназначено действие LOG (и более мощное ULOG). Подробный его синтаксис и возможные параметры можно посмотреть в документации по iptables .

Важным аспектом является то, что iptables сам не ведёт файлы журналов. Вместо этого действие LOG отправляет информацию системному демону журналирования, и уже он записывает её в журнал, коим чаще всего является /var/log/syslog . В итоге получается каша, в которой очень непросто разобраться. Поскольку iptables сам не занимается ведением журнала, то перенаправить запись в отдельный файл средствами самого iptables невозможно.

К счастью, в Ubuntu существует простой способ рассортировать данные по нужным журналам средствами используемой системы журналирования rsyslog . Достаточно при записи в журнал добавлять некий уникальный префикс. Например, вот так:

sudo iptables -t filter -A FORWARD -s 192.168.0.0/ 16 -m tcp -p tcp --dport 25 -j LOG --log-prefix "iptables: "

Теперь все записи в журнале, соответствующие этому критерию, будут начинаться с «iptables: ». Осталось добавить правило сортировки в систему журналирования. Для этого можно создать файл /etc/rsyslog.d/10-iptables.conf со следующим содержанием:

:msg, contains, "iptables: " -/var/log/iptables.log & ~

Вторая строчка означает, что дальнейшую работу с этой записью производить не надо, т.е. она не должна попадать в другие журналы.

После создания нового файла конфигурации не забудьте переконфигурировать rsyslog:

sudo / etc/ init.d/ rsyslog reload

Теперь вся активность, соответствующая добавленному правилу iptables, будет записываться в файл /var/log/iptables.log . Если вы хотите надолго оставить журналирование, то не забудьте добавить этот файл в систему ротации логов logrotate , а то в какой-то момент у вас может закончиться место на диске.

Подробней про управление записью журнала можно почитать в документации по rsyslog.

Утилиты Vnstat и Vnstati

Vnstat это очень простой инструмент для учёта трафика. Он есть в репозиториях Ubuntu, так что установка не вызывает сложностей. Vnstat не требует тонкой настройки, просто считает трафик и позволяет просматривать статистику. Для обычного пользователя этого чаще всего более чем достаточно.

Чтобы начать подсчёт трафика надо выполнить команду, которая создаст базу данных для указанного интерфейса:

sudo vnstat -u -i eth0

Подсчёт трафика происходит автоматически, база данных обновляется при выключении сетевого устройства. Но есть возможность обновить базу вручную:

sudo vnstat -u

Для просмотра статистики достаточно просто ввести:

Также можно использовать ключи:

H, --hours по часам -d, --days за день -m, --months за месяц -w, --weeks за неделю -t, --top10 top10 -s, --short короткий вывод -l, --live мониторинг в реальном времени

Vnstati это утилита для визуализации статистики, с ней тоже все просто. Вот, например, короткий скрипт, который выводит на экран статистику в виде картинки:

#! /bin/bash vnstat -u vnstati -vs -o ~/ vnstati.png eog ~/ vnstati.png

Обе утилиты имеют еще некоторые возможности, не забывайте про ключ --help и утилиту man!

Netflow - мониторинг с ведением статистики

Для мониторинга с ведением статистики одним из популярных решений является технология Netflow .

Для сбора статистики с помощью Netflow необходимо на нужные интерфейсы повесить специальные Netflow-сенсоры, которые будут собирать информацию и передавать Netflow-коллектору, который может располагаться на другой машине.

Информацию, собранную коллектором, можно визуализировать с помощью графического фронтенда, или же анализировать с помощью утилит командной строки.

В качестве сенсоров можно использовать доступные в стандартных репозиториях fprobe или softflowd .

Сенсор fprobe

Для установки сенсора fprobe можно, например, выполнить такую команду:

sudo apt-get install fprobe

Установщик спросит, на каком интерфейсе слушать трафик, и куда передавать собранную статистику - введите нужные вам параметры и fprobe начнёт работать. Например, для Nfsen в примере ниже нужно указать порт 9995.

Автозапуск при перезапуске сети

Демон fprobe всегда аварийно завершается, когда интерфейс, к которому он привязан, выключается (переходит в состояние DOWN). И не запускается автоматически снова, когда интерфейс возобновляет работу.

Если вам по каким-то причинам нужно периодически переключать интерфейсы, то чтобы обойти данную проблему fprobe можно в файл /etc/network/interfaces после описания интерфейса добавить строчки

Up service fprobe start down service fprobe stop

Например, могло бы получится нечто похожее на:

Allow-hotplug eth0 iface eth0 inet static address 192.168.0.1 netmask 255.255.255.0 # fprobe up service fprobe start down service fprobe stop

Теперь при использовании утилит, которые перечитывают этот файл (ifup и ifdown), fprobe будет корректно завершаться и автоматически запускаться при переключении состояния интерфейса. При этом при старте системы fprobe будет пытаться запуститься два раза (один раз стандартным способом, другой - через /etc/network/interfaces), и хотя у него это не получится, но всё же для порядка лучше автозапуск системного демона fprobe убрать:

sudo update-rc.d -f fprobe remove

Несколько демонов fprobe на одном компьютере

Если вы хотите запустить на одном компьютере сразу несколько демонов fprobe (чтобы слушать несколько интерфейсов), то придётся немного изменить стартовые скрипты.

Для начала отредактируйте имеющийся стартовый скрипт /etc/init.d/fprobe , заменив в нём строчку

NAME =fprobe

на строчку

NAME ="fprobe"

И, кроме этого, строчку

DAEMON_OPTS ="-i

на строчку

DAEMON_OPTS ="-l 1:0 -i$INTERFACE $OTHER_ARGS $FLOW_COLLECTOR "

Первое число добавленного параметра запуска -l («1») говорит fprobe использовать syslog для журналирования, а второе является идентификатором процесса. Именно второе число и нужно менять при запуске нескольких копий fprobe , и оно же должно стоять в квадратных скобочках в параметре NAME соответствующего стартового скрипта.

Теперь, чтобы создать все необходимые параметры и скрипты для запуска второй копии fprobe , скопируйте /etc/init.d/fprobe в /etc/init.d/fprobe_1:

sudo cp / etc/ init.d/ fprobe / etc/ init.d/ fprobe_1

И /etc/default/fprobe в /etc/default/fprobe_1:

sudo cp / etc/ default/ fprobe / etc/ default/ fprobe_1

Отредактируйте /etc/default/fprobe_1 для работы со вторым интерфейсом.

Теперь надо отредактировать стартовый скрипт /etc/init.d/fprobe_1 для второго процесса fprobe . Замените числа в параметре NAME и DAEMON_OPTS на нужные:

NAME ="fprobe" DAEMON_OPTS ="-l 1:1 -i$INTERFACE $OTHER_ARGS $FLOW_COLLECTOR "

Кроме этого, измените код загрузки конфигурационного файла таким образом, чтобы он обращался к файлу fprobe_1. Вместо примерно следующего:

if [ -f / etc/ default/ fprobe ] ; then . / etc/ default/ fprobe fi

должно получится что-то вроде:

# Include fprobe defaults if available if [ -f / etc/ default/ fprobe_1 ] ; then . / etc/ default/ fprobe_1 fi

Также в новых версиях Ubuntu в начале этого файла содержится специальный комментарий для системы загрузки. Он начинается со строчки

# ## BEGIN INIT INFO

В этом комментарии также необходимо заменить строчку

# Provides: fprobe

на строчку

# Provides: fprobe_1

Убедитесь, что всё работает, как надо. Для этого запустите оба fprobe , потом загляните в любой менеджер процессов (например, htop) и найдите там оба демона.

Если всё нормально, то добавьте второй демон fprobe в автозагрузку командой

sudo update-rc.d fprobe_1 defaults

Конечно, если вы пропишете запуск второго демона fprobe в /etc/network/interfaces , то добавлять его в автозагрузку не стоит.

Таким образом можно запустить сколько угодно демонов fprobe , просто меняя идентификатор.

Коллектор Nfdump и визуализатор данных Nfsen

Nfdump и Nfsen - это коллектор с сопутствующими утилитами и веб-интерфейс визуализации собранных данных. Nfdump доступен в стандартных репозиториях Ubuntu, а Nfsen можно скачать с официального сайта . Там же можно посмотреть скриншоты, чтобы составить представление о том, что такое Nfsen.

В качестве сенсора для этой связки можно использовать любой доступный, например fprobe или softflowd .

Nfdump можно поставить через любой пакетный менеджер, например, командой

sudo apt-get install nfdump

Nfsen необходимо распаковать куда-нибудь на сервер из архива с исходными текстами и выполнить несколько несложных операций. Для начала необходимо поставить все нужные для работы пакеты:

sudo apt-get install apache2 libapache2-mod-php5 librrds-perl libmailtools-perl

После этого зайти в папку etc/ в директории, куда вы распаковали Nfsen, и переименовать находящийся там файл nfsen-dist.conf в nfsen.conf . Это основной конфигурационный файл Nfsen. Его необходимо отредактировать под ваши нужды. Ниже приведены только опции, которые нужно изменить для базовой конфигурации Nfsen:

# Директория, куда установится Nfsen. $BASEDIR = "/srv/nfsen" ; # Если хотим веб-интерфейс поставить в ту же папочку, что и всё остальное $HTMLDIR = "${BASEDIR}/www" ; # Местоположение утилит Nfdump для Ubuntu и Debian $PREFIX = "/usr/bin" ; # Пользователь для запуска nfcapd - демона-коллектора $USER = "www-data" ; # Пользователь и группа для запуска веб-интерфейса $WWWUSER = "www-data" ; $WWWGROUP = "www-data" ; # Источники сбора данных - имя, локальный порт, на котором слушать, цвет графика %sources = ( "router1" => { "port" => "9995" , "col" => "#0000ff" , "type" => "netflow" } , "router2" => { "port" => "9996" , "col" => "#00ff00" , "type" => "netflow" } , ) ;

Подробную документацию по доступным возможностям можно почитать на .

В Ubuntu 12.04 LTS с Perl 5.14 и nfsen 1.3.6p1 нет import Socket6. В файлах «libexec/AbuseWhois.pm» и «libexec/Lookup.pm» заменить:

use Socket6;

Socket6-> import (qw (pack_sockaddr_in6 unpack_sockaddr_in6 inet_pton getaddrinfo) ) ;

После редактирования конфига можно установить Nfsen. Для этого достаточно из директории, куда вы его распаковали, выполнить команду

./ install.pl etc/ nfsen.conf

Всё, что осталось, это запустить Nfsen. В примере выше в качестве директории для установки Nfsen указан путь /srv/nfsen/. В этом случае для запуска можно использовать команду

/ srv/ nfsen/ bin/ nfsen start

Чтобы интегрировать Nfsen в систему качестве автоматически запускаемого сервиса выполните две примерно такие команды:

ln -s / srv/ nfsen/ bin/ nfsen / etc/ init.d/ nfsen update-rc.d nfsen defaults 20

Теперь, если вы оставили настройки веб-сервера по умолчанию, веб-интерфейс должен быть доступен по адресу http://yourserver/nfsen/nfsen.php .

Учтите, информация начнёт собираться не сразу, так что необходимо некоторое время, перед тем, как на графиках что-то появится. Ну и конечно в сети должны быть сенсоры, посылающие информацию по указанным портам.

Для мониторинга скорости соединения и трафика можно также использовать стандартный апплет панели cairo-dock - netspeed и популярное средство системного мониторинга conky.

14

Я бы порекомендовал iptraf или iftop , если вам не нужно много функциональность. На домашней странице iptraf:

IPTraf - это консольная утилита статистики сети для Linux. Он собирает множество показателей, таких как TCP-соединение и количество байтов, статистика интерфейса и индикаторы активности, сбои трафика TCP/UDP и количество пакетов и байт-станций локальной сети. Характеристики

• Монитор IP-трафика, который показывает информацию об IP-трафике, проходящем через вашу сеть. Включает информацию о флагах TCP, количество пакетов и байт, данные ICMP, типы пакетов OSPF.
• Общая и подробная статистика интерфейса, показывающая IP, TCP, UDP, ICMP, не IP и другие IP-пакеты, ошибки контрольной суммы IP, активность интерфейса, количество пакетов.
• Протокол TCP и UDP службы монитор, показывающий счетчики входящих и исходящих пакетов для общих TCP и UDP портов приложений
• Локальная сеть Модуль статистики, который обнаруживает активные хосты и показывает статистические данные, показывающие активность данных на них
• TCP, UDP, и другие фильтры отображения протокола, позволяющие просматривать только интересующий вас трафик.
• Регистрация
• Поддерживает типы интерфейса Ethernet, FDDI, ISDN, SLIP, PPP и loopback.
• Использует встроенный интерфейс raw socket ядра Linux, позволяя использовать его на широком диапазоне поддерживаемых сетевых карт.
• Полноэкранный режим, управляемый меню.

Скриншот IPTraf главного меню:

Это скриншот, если iftop:

1

Такие вещи, как bro IDS будет анализировать трафик, который идет через сетевой интерфейс и записывать всевозможные вещи, такие как соединения и количество трафика IR, найденные протоколы и информацию для каждого протокола (например, HTTP-запросы, отправленные письма, DNS-запросы, общие имена сертификатов SSL ...). Это не скажет вам, что это за приложение (за исключением регистрации агентов пользователя, например, для HTTP-браузеров). Поскольку он обнюхивает пакет, он может пропустить некоторые данные, если он не может идти в ногу с объемом обмена данными (хотя он будет сообщать, если он это делает).

conntrackd может использоваться для регистрации каждого соединения, отслеживаемого брандмауэром с состоянием, и обмена данными. Он будет работать независимо от объема данных, проходящих через систему, но не будет сообщать данные, которые не проходят через брандмауэр, например, мостовой трафик, если они исключены из сетевого фильтра или raw-сокета.

Вы также можете использовать правила брандмауэра для регистрации трафика с использованием цели LOG или ULOG в комбинации с ulogd .

Для регистрации того, что связано с подключением pid, вам необходимо использовать систему аудита (auditd / auditctl), но это было бы очень много и нелегко анализировать.