Forum général.cherche-logiciel IP accounting

Posté par (page perso) .
Tags : aucun
2
10
juin
2010
La petite question du jeudi:

dans ma boîte nous utilisons une méthode très basique pour savoir comment nos bandes passantes de/vers internet sont utilisées: iftop
Nous lançons iftop sur la machine qui s'occupe du routage et ça permet de diagnostiquer un problème lorsqu'on est dessus au bon moment. Du genre Gérard est encore en train d'utiliser un logiciel P2P qui monopolise la bande passante (plus sérieusement, Gérard est plutôt en train de télécharger une tonne de documents utiles, et sans iftop nous ne pouvons pas deviner d'où vient le problème).

J'aimerais maintenant aller plus loin. Pouvoir enregistrer l'activité réseau qui passe par nos routeurs (ce sont des PC sous Linux). Parmis la brouette de solutions qu'on trouve un peu partout, j'ai l'embarras du choix.
Ca va de la simple journalisation du contenu de /proc/net/ip_conntrack au logiciel qui-fait-tout-donc-rien.

--> vous utilisez/connaissez quoi dans ce domaine ?
  • # ntop

    Posté par . Évalué à 2.

    Dans le genre logiciel qui-fait-tout-donc-rien tu peux regarder du côté de ntop.

    http://www.ntop.org/
    • [^] # Re: ntop

      Posté par . Évalué à 2.

      Ntop pour des données sur le long terme, et ce qui vaut vraiment le coup c'est jnettop, bien plus bavard que iftop (te donne en plus les sites web en temps réel, filtre possible, etc...)

      Tu peux encore rajouter une couche de stockage avec ceci :
      http://nsmwiki.org/index.php?title=Argus
      Par exemple pour remonter dans le temps et vérifier que tes requêtes DNS ne pointent pas vers des sites de virus.

      Rajoute un Snort pour la détection d'intrusion et tu as presque une sonde Securactive :)
  • # IPFM + net-acct

    Posté par (page perso) . Évalué à 3.

    On utilise deux choses ici :

    - IPFM donne pour chaque hôte interne la quantité de trafic échangée avec l'extérieur, avec une granulosité d'une heure.

    - net-acct, qui donne pour chaque connexion un n-uplet avec un timestamp, le protocole de niveau 4 utilisé (TCP / UDP / ICMP), IP source, IP destination, port source, port destination, timestamp, nombre de paquets échangés, nombre d'octets échangés (enfin, « connexion UDP ou ICMP »... j'me comprends).

    On utilise IPFM pour identifier les gros téléchargeurs / uploaders, net-acct pour rentrer dans plus de détails lorsqu'il y a contestation ou qu'on veut identifier du trafic bizarre.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.