In data 11 marzo 2009 alle ore 15:04:11, NetExpress
<[email protected]> ha scritto:
Argus http://qosient.com/argus/
per i report te li devi generare a mano ma fa un'ottima analisi del
traffico, utilizza pochissima cpu.
Non ? banale da usare
Ntop, va benissimo per il traffico internet con proxy, se ti interessa
capire chi fa pi? traffico e che traffico viene fatto ? dura con ntop ?
pi? versatile argus
Ho provato Argus e mi è piaciuto molto e quindi penso che utilizzarò
questo.
Avrei però bisogno ancora di un vostro consiglio per sapere se
l'estrapolazione dei dati che eseguo è corretta:
La situazione è la seguente:
1 Firewall con Debian 4.0, 4 interfacce di rete per gestire 3 linee dati
differenti e una collegata alla lan.
Il firewall mi gestisce le connessioni vpn tra 3 sedi (non è il massimo
come soluzione, ma per il momento la lascio così....),per le vpn utilizzo
OpenSwan 2.4.6.
Ora ho eth1 che è collegata alla lan e eth0 che è collegata alla linea
internet e viene utilizzata per le vpn.
Ho lanciato argus su questa interfaccia e ora vorrei provare a capire
quanto traffico abbiamo genereato su quella linea e che tipo di traffico.
Con il comando:
#racount -ar argus_eth0 mi vengono calcolati i totali e ottengo un
risultato del genere:
racount records total_pkts src_pkts dst_pkts
total_bytes src_bytes dst_bytes
tcp 56613 7570161 6960752
609409 8690701140 8080376410 610324730
udp 45544 505589 406874
98715 47883009 37061704 10821305
icmp 6845 12566 12566
0 1406432 1406432 0
ip 5685 2543303 2543303
0 878386586 878386586 0
arp 1131 5144 2572
2572 262344 108078 154266
sum 116114 10636763 9926067
710696 9618639511 8997339210 621300301
Ora io vorrei estrapolare da questi dati quanto traffico è stato generato
tra le sedi in vpn e quanto traffico è generato su internet.
Per far questo ho lanciato i seguenti comandi:
#racount -ar argus_eth0 - host ip_fw1 and host_ipfw2 e mi restiruisce i
seguenti dati:
racount records total_pkts src_pkts dst_pkts
total_bytes src_bytes dst_bytes
tcp 339 2935 1667
1268 203910 105306 98604
udp 376 14850 7425
7425 1333600 646239 687361
ip 2916 1252530 1252530
0 530239996 530239996 0
sum 3631 1270315 1261622
8693 531777506 530991541 785965
Da qui dovrei dedurre che tra i due firewall ho un traffico totale di
531777506 Bytes di cui 530239996 sono del protocollo esp, quindi mi
verrebbe da dire che tra le due sedi ho genereato quasi 500 Mega di
traffico.
Come controprova ho provato a utilizzare le seguenti statistiche:
#racount -ar argus_eth0 - net lan1 and net lan2 e mi saltano fuori questi
dati:
racount records total_pkts src_pkts dst_pkts
total_bytes src_bytes dst_bytes
tcp 11433 374890 359398
15492 299098884 297418792 1680092
udp 12537 286838 286838
0 25349117 25349117 0
icmp 1452 2876 2876
0 303017 303017 0
sum 25422 664604 649112
15492 324751018 323070926 1680092
E i conti non tornato :(, secondo logica il totale del traffico tra le due
lan dovrebbe essere uguale al traffico vpn tra le due sedi (cioè l'esp).
Sicuramente sbaglio ragionamento, ma non capisco questa differenza
abissale (che poi magari è normale...).
Per chi non conosce argus i parametri dopo il - sono filtri in stile
tcpdump.
Grazie mille per l'aiuto.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
