La petite question du jeudi:
dans ma boîte nous utilisons une méthode très basique pour savoir comment nos bandes passantes de/vers internet sont utilisées: iftop
Nous lançons iftop sur la machine qui s'occupe du routage et ça permet de diagnostiquer un problème lorsqu'on est dessus au bon moment. Du genre Gérard est encore en train d'utiliser un logiciel P2P qui monopolise la bande passante (plus sérieusement, Gérard est plutôt en train de télécharger une tonne de documents utiles, et sans iftop nous ne pouvons pas deviner d'où vient le problème).
J'aimerais maintenant aller plus loin. Pouvoir enregistrer l'activité réseau qui passe par nos routeurs (ce sont des PC sous Linux). Parmis la brouette de solutions qu'on trouve un peu partout, j'ai l'embarras du choix.
Ca va de la simple journalisation du contenu de /proc/net/ip_conntrack au logiciel qui-fait-tout-donc-rien.
--> vous utilisez/connaissez quoi dans ce domaine ?
# ntop
Posté par uhc . Évalué à 2.
http://www.ntop.org/
[^] # Re: ntop
Posté par Tristan Gallet . Évalué à 2.
Tu peux encore rajouter une couche de stockage avec ceci :
http://nsmwiki.org/index.php?title=Argus
Par exemple pour remonter dans le temps et vérifier que tes requêtes DNS ne pointent pas vers des sites de virus.
Rajoute un Snort pour la détection d'intrusion et tu as presque une sonde Securactive :)
# IPFM + net-acct
Posté par Frédéric Perrin (site web personnel) . Évalué à 3.
- IPFM donne pour chaque hôte interne la quantité de trafic échangée avec l'extérieur, avec une granulosité d'une heure.
- net-acct, qui donne pour chaque connexion un n-uplet avec un timestamp, le protocole de niveau 4 utilisé (TCP / UDP / ICMP), IP source, IP destination, port source, port destination, timestamp, nombre de paquets échangés, nombre d'octets échangés (enfin, « connexion UDP ou ICMP »... j'me comprends).
On utilise IPFM pour identifier les gros téléchargeurs / uploaders, net-acct pour rentrer dans plus de détails lorsqu'il y a contestation ou qu'on veut identifier du trafic bizarre.
[^] # Re: IPFM + net-acct
Posté par thy_off . Évalué à 5.
"granularité" ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.