0

Monitorando o tráfego de sua rede com iftop

admin 17 de agosto de 2012

Dando continuidade a nossa série de posts sobre perfomance, hoje irei abordar sobre o iftop. Diferentemente de várias soluções para monitoramento que analisa dados históricos ( mesmo que em espaço de tempo pequenos ) em um certo período de tempo usando o SNMP ( Simple Network Messaging Protocol ), o iftop é uma solução para monitoramento da rede em tempo real.

Soluções como MRTG e o RRDTOOL, por exemplo, são soluções bastante utilizadas no mercado e que utilizam o SNMP para monitoramento da rede. Essas soluções, como já mencionadas, nos fornecem uma gama de informações dos mais variados tipos, tais como tráfego de rede (dados históricos), largura de banda, monitoramento de ativos de rede, espaço em disco, tempo de resposta, latência, entre outras… todas elas nos dando como estimativa a média de um certo período de tempo.

É aí que o iftop entra para complementar, nunca para substituir, essas ferramentas de monitoramento que se utilizam de dados estatísticos. Imagine que se tem necessidade de detectar picos no uso de banda da rede… As ferramentas estatísticas nos darão uma média, ficando difícil saber qual o pico sem estatísticas de tempo real.

O iftop, assim como velho conhecido top e o htop ( tratado recentemente em um dos posts ), em vez de mostrar processos, demonstra conexões de rede.
As opções do iftop são inúmeras e as combinações que podem ser feita dentre elas também.

Para iniciarmos a brincadeira com iftop, é necessário instalar o iftop ( de fácil instalação ) caso o mesmo não esteja instalado. Depois de instalado, vamos monitorar a interface de rede chamada eth1. Para isso teremos que usar a opção -i.

Veja:

iftop -i eth1

Veja a tela inicial do iftop ( por padrão e sem opções )

Ela, como se pode notar, nos dará um panorama geral de todas as conexões ativas, de todas as interfaces de rede que estejam trafegando dados e todos os protocolos utilizados neste exato momento .

Do lado esquerdo, são mostrados os hosts de origem da interface assim como do lado direito, são mostrados os hosts destinos.

As conexões são mostradas em ambos os sentidos determindo pelas setas => ( origem/destino, tráfego de saída ) e =< (destino/origem, tráfego de entrada).

Notem que existem linhas como se fosse selecionando as linhas horizontais. Elas demonstram graficamente a quantidade de que conexão está consumindo quais recursos de sua rede.

Além dessa demonstração gráfica, nas 3 últimas colunas, são mostradas, para cada conexão, períodos de tempos em 2, 10 e 40 segundos.

A parte inferior mostra a relação de TX ( transmissão ) e RX ( recebimentos ) assim como a média (rate) das colunas 2, 10 e 40 segundos.

Existem duas maneiras de interagir com o iftop, a primeira delas é entrar no modo padrão e consultar o help do comando para interagir em tempo real passando as opções e a outra é passando na chamada do comando. Eu, particularmente, gosto mais da primeira opção, pois nos oferece muita flexibilidade.

Vamos abordar nesse post as principais opções do comando, assim como as interações entre elas.

Depois que estiver na tela inicial, basta digitar “h” ou “?” para abrir o menu de opções. Vejamos algumas delas:

Opções de Hosts:
n – Altera para resolver ou não o nome dos hosts
s – Altera para mostrar ou não o host de origem
d – Altera para mostrar ou não o host de destino
t – Alterar o ciclo de transmissão. Existem 4 Tipo ( Uma linha por host, duas linhas por host, trágego enviado e tráfego recebido )

Opções de Portas:
N – Alterar para resolver ou não os serviços de rede
S – Alterar para mostrar ou não a porta de origem
D – Alterar para mostrar ou não a porta de destino
p – Mostrar ou não as portas ( origem e destino )


Note que essas opções nos oferece infinita opções de visualização de sua largura de banda, principalmente se usada em conjunto ( opções de hosts e opções de portas ). Mas isso fica a critério do administrador :) .

Para efeito de demonstração, supondo que queremos mostrar na tela apenas os serviços disponibilizados ( origens ) e a quantidade de recursos consumindos por seus clientes no tráfego em dois sentidos.

Vejamos como ficou nossa tela:

É possível também utilizar filtros no iftop em conjunto com as opçções acima citadas. Como citei, esses filtros podem ser passados tanto na chamada do comando como parâmetros, assim como no modo interativo.

Com esses filtros é possível filtrar somente uma rede que passa pela interface, assim como também filtrar pelas portas. Isso novamente vai da criatividade e necessidade dos sysadmins.

Vejamos alguns exemplos:

Filtrando uma rede na chamada no iftop:

iftop -F 192.168.1.0/255.255.255.0 -i eth1

Nesse caso, o iftop irá analisar os pacotes entrando e saindo da rede 192.168.1.0.

Supondo por exemplo que queremos filtrar somente o tráfego http em modo interativo. Depois de entrar no programa ( iftop -i eth1, por exemplo ), digitar a opção “f” ( ver no help ) e depois filtrar por:

port http

ou por exemplo filtrar pelo porta do smtp excuindo um host

port smtp and not host 192.168.1.32

Veja:

Bem pessoal, é isso. o IFTOP é muito útil e as possibilidades de utilização são inúmeras. Utilizem da criatividade e necessidade.

Gostou do Post?
Ajude-o Compartilhando em suas redes sociais…

Tagged with: ,

Comments are closed.

Login to your account

Can't remember your Password ?

Register for this site!