Realtime netwerk monitoring - Linux en overige clients

donderdag 16 oktober 2003 17:30

Acties:

Klauwtjes uit!

Topicstarter

De meeste van ons kennen het probleem:
Je hebt een leuk routertje (debian met iptables firewall), je deelt een internet verbinding. Helaas zijn er mensen op je netwerk die niet van upload gehoord hebben noch van de effecten hiervan.

Ik kan derhalve nog maar langzaam browsen of spelletjes spelen. Wat ik graag wil is een monitor die mij aangeeft wie er zit te uploaden met welke snelheid. Ik probeer hier altijd iptraf voor te gebruiken maar dit is zo onoverzichtelijk, ik ben meestal een kwartier bezig met het uitzoeken wie er nu bezig is.

Mijn vraag is dus:
Bestaat er zoiets als een realtime monitor die per netwerk adres (van 192.168.1.1 tot 192.168.1.25) kan aangeven hoeveel er naar en van dat adres gestuurd wordt?
De source adressen, poorten zullen mij een worst wezen. Ik zou graag zoiets willen zien als:
..........in ..........out
.1 30 40
.2 0 0
.3 0 0
.4 23 5
Zodat het mij in 1 oogopslag duidelijk is wie er straf verdiend hier in huis

Als je niet de moeite neemt je post in net Nederlands te schrijven, neem ik de moeite niet hem te lezen.

donderdag 16 oktober 2003 17:37

Acties:

duronbug

Step on it.....!

Dat zou ik ook wel eens willen weten. Ik heb nu kbmon, maar deze geeft een totale snelheid weer net zoals dumeter onder windows.

donderdag 16 oktober 2003 18:10

Acties:

Verwijderd

Volgens mij heb je meer aan een trafic shaper

Dan kun je instellen wie hoeveel upload mag hebben en hoe groot de buffers hiervoor zijn et cetera. Kijk maar eens op www.lartc.org

donderdag 16 oktober 2003 18:16

Acties:

Stacium

Perfect Molecular Chaos

http://etherape.sourceforge.net/

niet precies wat je zoekt, maar je kan wel in 1 oogopslag zien wie er verbindingen heeft, waarnaartoe, en hoeveel dataverkeer ze ongeveer hebben.

It seemed like a good idea at the time

donderdag 16 oktober 2003 18:21

Acties:

JeroenT

hoi!

Zoiets (compleets) bestaat niet of nauwlijks.. ik ben al jaren opzoek naar een simpel programma die alles netjes optelt en het in een database mikt.

Helaas voor mij draai ik BSD en de meeste scripts zijn voor linux (iptables).

Maargoed je kunt iig iets als ntop gebruiken , showed alle data op een webpagina met allerlei (teveel) informatie.

En als je dan de grootverbruiker gevonden hebt kun je zoiets als "tc" als trafficshaper gebruiken. (wel even in je kernel config alles onder "QoS" aanvinken)

hier kun je een klein voorbeeldje vinden :

http://www.securityfocus.com/infocus/1285

donderdag 16 oktober 2003 18:30

Acties:

Oezie Woezie

Pim. is de beste

Klubbheads schreef op 16 October 2003 @ 18:21:
Zoiets (compleets) bestaat niet of nauwlijks.. ik ben al jaren opzoek naar een simpel programma die alles netjes optelt en het in een database mikt.

Helaas voor mij draai ik BSD en de meeste scripts zijn voor linux (iptables).

Maargoed je kunt iig iets als ntop gebruiken , showed alle data op een webpagina met allerlei (teveel) informatie.

En als je dan de grootverbruiker gevonden hebt kun je zoiets als "tc" als trafficshaper gebruiken. (wel even in je kernel config alles onder "QoS" aanvinken)

hier kun je een klein voorbeeldje vinden :

http://www.securityfocus.com/infocus/1285

freebsd kan ook veel hoor met ipfw en dummynet

een mooi Tshirt met Pim. is de beste enzo

donderdag 16 oktober 2003 18:42

Acties:

JeroenT

hoi!

Oezie Woezie schreef op 16 oktober 2003 @ 18:30:
[...]

freebsd kan ook veel hoor met ipfw en dummynet

Tell me

ik cap mijn wlan al tijden met dummynet

Je zou overigens ook met mrtg + gbgraph kunnen werken..

Afbeeldingslocatie: http://veg.mine.nu/beheer/traffic/gb.php?host=wan

Samen met macwatch kun je dan per mac address verkeer meten.

[ Voor 44% gewijzigd door JeroenT op 16-10-2003 18:52 ]

donderdag 16 oktober 2003 19:31

Acties:

Oezie Woezie

Pim. is de beste

hij wil het graag snel zien, dus mrtg is niet echt een optie, ben ff aan het klooien geweest met freebsd en rrdtool, en heb nu een grafiekje die elke 10 sec geupdate wordt. en traffic meet ik door:
ipfw add 1 count all from 10.0.11.1 to any in via ed0
ipfw add 2 count all from any to 10.0.11.1 out via ed0

en met een perl scriptje lees je die data uit(kan eventueel ook met snmp)

alles van en naar 10.0.11.1. en de data slaat ie een uur op.
Afbeeldingslocatie: http://status.keyserver.org/~erik/ijsbeer.png

Afbeeldingslocatie: http://status.keyserver.org/~erik/ijsbeer.png

voor het plaatje kan je dat een pagina maken die "realtime" de plaatjes maakt en ververst.

een mooi Tshirt met Pim. is de beste enzo

donderdag 16 oktober 2003 20:17

Acties:

JeroenT

hoi!

Oezie Woezie schreef op 16 October 2003 @ 19:31:
hij wil het graag snel zien, dus mrtg is niet echt een optie, ben ff aan het klooien geweest met freebsd en rrdtool, en heb nu een grafiekje die elke 10 sec geupdate wordt. en traffic meet ik door:
ipfw add 1 count all from 10.0.11.1 to any in via ed0
ipfw add 2 count all from any to 10.0.11.1 out via ed0

en met een perl scriptje lees je die data uit(kan eventueel ook met snmp)

alles van en naar 10.0.11.1. en de data slaat ie een uur op.
[afbeelding]
voor het plaatje kan je dat een pagina maken die "realtime" de plaatjes maakt en ververst.

Alleen hij draait geen Free/Open/Net/BSD

dus moet ie zich met iptables behelpen en dan dat laten uitlezen met perl oid.

donderdag 16 oktober 2003 23:40

Acties:

cool_zero

Misschien is ntop wel wat(en dan voornamelijk intop):
http://www.ntop.org/ntop.html

Ik wilde even kijken of het goed werkte, maar op mijn debian(sarge) ging het niet helemaal goed met installeren.

vrijdag 17 oktober 2003 11:19

Acties:

Tomaat

Ik gebruik hiervoor Squid i.c.m. Calamaris!

Deze maakt een html bestandje met allerlei statitieken, zoals welke files er het meest gedownload worden, welke hosts het meest aangeroepen worden en wat voor jouw interresant is, wie het meeste dataverkeer veroorzaakt

vrijdag 17 oktober 2003 11:29

Acties:

hammerhead

Tomaat schreef op 17 oktober 2003 @ 11:19:
Ik gebruik hiervoor Squid i.c.m. Calamaris!

Deze maakt een html bestandje met allerlei statitieken, zoals welke files er het meest gedownload worden, welke hosts het meest aangeroepen worden en wat voor jouw interresant is, wie het meeste dataverkeer veroorzaakt

Ik denk dat het hem meer om de mensen gaat die gebruik maken van P2P programma's als KaZaa en de volledige upload gebruiken waardoor de totale verbinding niet meer vooruit te branden is.

Dat kun je met Squid icm Calamaris niet meten...

Aviation is proof that given the will, we have the capacity to achieve the impossible.
--Eddie Rickenbacker

vrijdag 17 oktober 2003 11:41

Acties:

Hans

Bandwidthd?

http://bandwidthd.sourceforge.net/demo/

niet zo real-time als iptraf maar toch best bruikbaar

vrijdag 17 oktober 2003 12:03

Acties:

Arzie

Ook iptraf kan dit heel goed. Gebruik gewoon de LAN Station Monitor en ken aan de bekende MAC-adressen een naam toe (Configure->Ethernet/PLIP host descriptions). Duidelijk en realtime.

vrijdag 17 oktober 2003 12:26

Acties:

Stacium

Perfect Molecular Chaos

volgens mij zijn alle bovenstaande oplossingen gericht op het netwerkverkeer van een interface, niet het loggen van waar het verkeer vandaan komt.
Wat je zou kunnen doen is in iptables dataverkeer per intern ip 'mark'-en. Die gemarkte paketten gooi je dan door een eigen class waarna je met iptables per class kunt opvragen hoeveel dataverkeer elk ip heeft veroorzaakt. Dit log je elke x minuten zodat je dit op de 1/andere manier kunt opvragen (RRDTOOL

)

It seemed like a good idea at the time

vrijdag 17 oktober 2003 13:10

Acties:

BoAC

Memento mori

Stacium schreef op 17 October 2003 @ 12:26:
volgens mij zijn alle bovenstaande oplossingen gericht op het netwerkverkeer van een interface, niet het loggen van waar het verkeer vandaan komt.
Wat je zou kunnen doen is in iptables dataverkeer per intern ip 'mark'-en. Die gemarkte paketten gooi je dan door een eigen class waarna je met iptables per class kunt opvragen hoeveel dataverkeer elk ip heeft veroorzaakt. Dit log je elke x minuten zodat je dit op de 1/andere manier kunt opvragen (RRDTOOL )

Je bedoeld iets dergelijks wat deze jongen heeft gemaakt:
http://www.linespeed.net/index.php?m=proj&i=bw-acct
Het is alleen niet realtime

vrijdag 17 oktober 2003 13:15

Acties:

woutur

Klauwtjes uit!

Topicstarter

Zoiets heb ik

Voor het loggen van al het verkeer wordt alles door een chain in iptables gegooid met counters. Die worden door een scriptje uitgelezen en naar een mysql db gegooid.
Zo kunnen we hier in huis zien wie er verantwoordelijk is voor het verkeer per maand (mochten we ooit de grens overschrijden).

Maar dat alles is natuurlijk niet zo relevant als je aan het gamen bent en je ping schiet ineens naar 1200. Dan wil je zo snel mogelijk zien wie dat veroorzaakt en naar zijn kamer rennen

edit:
De tip van iptraf met de lan monitor lijkt een hele goede! Het enige probleem daarvan is het achterhalen van de mac adressen. Ik zal dan van 15 man de mac adressen moeten gaan noteren ... Is er een makkelijkere manier hiervoor?

[ Voor 20% gewijzigd door woutur op 17-10-2003 14:06 ]

Als je niet de moeite neemt je post in net Nederlands te schrijven, neem ik de moeite niet hem te lezen.

vrijdag 17 oktober 2003 14:47

Acties:

Stacium

Perfect Molecular Chaos

dan is het toch een kleine stap om ff een scriptje te maken wat alle counters per seconde uitleest en de kB/s laat zien?

voor de mac-adressen, ping al je clients zodat ze in je arp-tabel staan, je kan dan met 'arp -n' alle adressen opvragen

It seemed like a good idea at the time

vrijdag 17 oktober 2003 15:06

Acties:

woutur

Klauwtjes uit!

Topicstarter

Dat klopt. Ware het niet dat ik dat scriptje niet geschreven heb

Ik weet ongeveer hoe het werkt maar daar houdt mijn kennis mee op

Maar het MAC adres idee ga ik even proberen.

Als je niet de moeite neemt je post in net Nederlands te schrijven, neem ik de moeite niet hem te lezen.

vrijdag 17 oktober 2003 15:25

Acties:

woutur

Klauwtjes uit!

Topicstarter

Fantastisch! Als dank en hulp voor anderen die met dit probleem zitten gooi ik er even een screenshotje in zodat iedereen snel en makkelijk kan zien of dit iets is voor hen:
Afbeeldingslocatie: http://homepage.cistron.nl/~butjes/iptraf.jpg