Monitoreo de tráfico

Herramientas de Monitoreo de Tráfico de Red en Linux

Para los que tenemos un potente firewall con Linux, gestionando el tráfico de más de 300 equipos informáticos, monitorear su tráfico de paquetes es vital para la resolución de incidentes, o para el entendimiento de alguna eventualidad. Necesitamos observar en tiempo real todo lo que sucede en la conexión de internet para el control y toma de decisiones en la gestión. Por eso, en esta entrada veremos varias herramientas libres y de la línea de comando para el monitoreo de tráfico de la red en Linux.

 

Nload


Es una utilidad que monitorea en tiempo real la carga de nuestro canal, tanto del flujo ascendente como del flujo descendente. Monitorear tráfico con este comando nos da pleno conocimiento en línea de qué tanto está holgado o saturado el canal. Además usarlo es muy sencillo, solo invocalo seguido del nombre de la interfaz de red:

_$ nload enp6s4f1

Monitoreo de tráfico

Nload en funcionamiento

Aunque el comando es sencillo, tiene la capacidad de cuantificar y graficar lo que sucede en nuestra interfaz de red.  De manera que nos entrega cinco datos por cada flujo:

 

Curr: La carga actual de la interfaz.

Avg: Es el promedio entre el mínimo y máximo valor de la carga, en un periodo de 5 minutos.

Min: Valor mínimo de la carga en el periodo observado.

Max: Valor máximo de la carga en el periodo observado.

Ttl: Es el volumen total de bytes procesados en esa interfaz, desde la última vez que se encendió la máquina.

 

Tal como se puede observar, el comando también sirve para verificar la velocidad del canal de Internet.

 

Pktstat


Personalmente me agrada más este comando, pues descompone el flujo de paquetes que atraviesa la interfaz de red, tabulando sus detalles en tiempo real. Es decir, muestra el ancho de banda usado por cada dirección IP de origen y destino en línea. Puede ejecutarlo del siguiente modo:

_$ pktstat -i enp6s4f1 -t -n -w 2

monitorear tráfico

Pktstat en funcionamiento

Por ejemplo, en el gráfico se visualiza un flujo de datos entre la dirección IP 192.168.0.111 y la dirección IP pública 172.217.8.138, ocupando 266.9 Kbps del canal.

 

Describo las opciones:

-i: Seleccionamos la interfaz a monitorear tráfico.

-t: Muestra la salida en form resumida. Si omitimos esta opcion el comando todas las conexiones TCP establecidas por cada IP.

-n: Es para que omita resolver los nombres de servicios de puertos. Si esta opción se omite, el monitoreo se hace más lento.

-w: Tiempo de refresco (en segundos). En el ejemplo del gráfico, el sistema cada segundos está refrescando el informe del monitoreo.

 

La información que proporciona este comando es bastante útil para tomar decisiones inmediatas sobre los actores que usan la red y el canal de Internet. Es decir, podemos detectar e ir directamente a la fuente que esté congestionando el canal.

 

Monitorix


Más que un comando, Monitorix es una herramienta completa de monitoreo histórico para sistemas Linux. No monitorea en tiempo real, sino que genera gráficos históricos sobre la carga de cada componente del sistema, incluyendo la red. Entre los componentes que registra está; la carga del sistema, uso del kernel, uso de la CPU; también grafica el uso del sistema de ficheros (uso del disco) y de la red, ésta es la parte que nos interesa para el tema.

Monitoreo de tráfico

Sitio web de Monitorix www.monitorix.org

Básicamente podemos ejecutar un monitoreo del tráfico con estas tres herramientas individualmente, sin embargo, podemos integrarlas en algo más versátil. Con un poco de html y un paquete llamado “Shell in a Box” podemos ensamblar una interfaz monitoreo completa. Básicamente el paquete “Shell in a box” instala un servicio que ofrece conectividad ssh al firewall a través del navegador web. Entonces, armando una interfaz web con cuatro pantallas de “Shell in a box” que ejecuten cada comando visto, obtenemos una herramienta de monitoreo de red en tiempo real completa.

 

Consola de monitoreo


Les muestro la ventana que tengo desde hace varios años para monitorear tráfico del firewall en GNU/linux:

monitorear tráfico

Consola de monitoreo estructurada con los comandos vistos

Con un tipo de herramientas como esta, es fácil determinar las causas de lentitud en un canal. Por ejemplo, se puede detectar qué usuarios están haciendo descargas de vídeos, con URL incluida. También sirve para identificar patrones de navegación que sirva para alimentar la Lista de Control de Acceso de un Proxy. Por supuesto, podemos tener montado un Proxy en el mismo Firewall y así, poco a poco, tenerlo funcionando como un UTM.

Vea cómo Configurar un Servidor Proxy, aquí

 

Notarán que en la ventana hay un tercer marco diferente a los que hemos visto. Se trata del monitoreo en tiempo de real del sistema, el cual se puede hacer con el paquete htop. Lo incluyo para el monitoreo en tiempo real su CPU, su memoria y los procesos del sistema, especialmente el de Squid Proxy.

monitorear tráfico

 

Ntopng


Es una herramienta mucho más completa que monitoriza en tiempo real la red TCP/IP. Es bastante útil para llevar un seguimiento del consumo de los recursos de la red en un instante específico. Aunque a ntopgn lo podemos instalar en cualquier servidor GNU/Linux, obviamente le sacaremos más provecho en uno que trabaje como firewall.

Para instalarlo basta el siguiente comando:

_$ apt-get install ntopng

Luego, entramos a su interfaz gráfica desde cualquier navegador usando su dirección y puerto 3000

http://ip-del-firewall:3000

Lo interesante de esta herramienta es que genera los datos de los informes en tiempo real. No es necesario refrescar página.

monitorear tráfico

Informe general de todos los host detectados por ntopgn

Si entramos en cada una de los local host, veremos información detallada del uso que aquellos le han dado a cada protocolo y servicio.

monitorear tráfico

Informe detallado por host

 

Estas son las herramientas para el monitoreo de tráfico de red en Linux que mejor datos me aportan para el análisis del tráfico de datos, y lo mejor, con la libertad que solo el software libre nos puede otorgar.

Nos vemos un próximo artículo.

 

Monitorear tráfico en Linux Overall rating: ★★★★★ 5 based on 1 reviews
5 1

 

Su nombre
Email
Titulo
Valoración
Opinión

 

Excelente

★★★★★
5 5 1
Lo que más gusta es la libertad y la diversidad de herramientas que da el software libre para este tipo de soluciones. Lo felicito!

 

Comparte esto en
Publicado en Seguridad Informática.