наблюдение IP трафика

Средства управление сетью

Модераторы: Olej, vikos

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

наблюдение IP трафика

Непрочитанное сообщение Olej » 15 сен 2015, 14:56

Наблюдать IP трафик приходится в разных смыслах:
- сетевые сниферы tcpdump, wireshark и т.п. - для детальной диагностики пакетов в сети;
- программы мониторинга более высокого уровня: по направлениям, статистика трафика, использование полосы пропускания интерфейса по различным IP протоколам...

Это всё крайне нужные инструменты (без них никуда) и для сетевого администратора и для программиста разработчика сетевых обменов...

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: наблюдение IP трафика

Непрочитанное сообщение Olej » 15 сен 2015, 15:00

Собираем ссылки до кучи:
Olej писал(а): - сетевые сниферы tcpdump, wireshark и т.п. - для детальной диагностики пакетов в сети;
tcpdump : подсказки по tcpdump - здесь HELP-ы и руководства по использованию с примерами....

wireshark : про использование этого инструмента обсуждалось здесь в теме Виртуальное сетевой устройство с криптованием
Изображение

В принципе, как мне кажется (IMHO!) tcpdump и wireshark - функциональные аналоги, только 1-й с консольным интерфейсом, а 2-й - с GUI.
Кому что больше нравится.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: наблюдение IP трафика

Непрочитанное сообщение Olej » 15 сен 2015, 15:02

Olej писал(а): - программы мониторинга более высокого уровня: по направлениям, статистика трафика, использование полосы пропускания интерфейса по различным IP протоколам...
ntop : ntop - сетевой анализатор трафика
Изображение

iftop :

Код: Выделить всё

olej@nvidia ~ $ iftop
Программа 'iftop' на данный момент не установлена. Вы можете установить её, выполнив:
sudo apt-get install iftop

Код: Выделить всё

olej@nvidia ~ $ sudo apt-get install iftop
Чтение списков пакетов… Готово
Построение дерева зависимостей
Чтение информации о состоянии… Готово
НОВЫЕ пакеты, которые будут установлены:
  iftop
обновлено 0, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 27 пакетов не обновлено.
Необходимо скачать 38,1 kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 111 kB.
Получено:1 http://ftp.tu-chemnitz.de/pub/linux/ubuntu/ trusty/universe iftop i386 1.0~pre2-5 [38,1 kB]
Получено 38,1 kБ за 0с (108 kБ/c)
Выбор ранее не выбранного пакета iftop.
(Чтение базы данных … на данный момент установлен 236961 файл и каталог.)
Preparing to unpack …/iftop_1.0~pre2-5_i386.deb ...
Unpacking iftop (1.0~pre2-5) ...
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...
Настраивается пакет iftop (1.0~pre2-5) …

Код: Выделить всё

olej@nvidia ~ $ iftop
interface: eth0
IP address is: 192.168.1.104
MAC address is: f4:6d:04:60:78:6f
pcap_open_live(eth0): eth0: You don't have permission to capture on that device (socket: Операция не позволена)

Код: Выделить всё

olej@nvidia ~ $ iftop -h
iftop: display bandwidth usage on an interface by host

Synopsis: iftop -h | [-npblNBP] [-i interface] [-f filter code]
                               [-F net/mask] [-G net6/mask6]

   -h                  display this message
   -n                  don't do hostname lookups
   -N                  don't convert port numbers to services
   -p                  run in promiscuous mode (show traffic between other
                       hosts on the same network segment)
   -b                  don't display a bar graph of traffic
   -B                  Display bandwidth in bytes
   -i interface        listen on named interface
   -f filter code      use filter code to select packets to count
                       (default: none, but only IP packets are counted)
   -F net/mask         show traffic flows in/out of IPv4 network
   -G net6/mask6       show traffic flows in/out of IPv6 network
   -l                  display and count link-local IPv6 traffic (default: off)
   -P                  show ports as well as hosts
   -m limit            sets the upper limit for the bandwidth scale
   -c config file      specifies an alternative configuration file

iftop, version 1.0pre2
copyright (c) 2002 Paul Warren <pdw@ex-parrot.com> and contributors

Код: Выделить всё

olej@nvidia ~ $ sudo iftop -i eth0
interface: eth0
IP address is: 192.168.1.104
MAC address is: f4:6d:04:60:78:6f
...
iftop.png

Код: Выделить всё

olej@nvidia ~ $ iptraf
Программа 'iptraf' на данный момент не установлена. Вы можете установить её, выполнив:
sudo apt-get install iptraf

Код: Выделить всё

olej@nvidia ~ $ sudo apt-get install iptraf
Чтение списков пакетов… Готово
Построение дерева зависимостей
Чтение информации о состоянии… Готово
НОВЫЕ пакеты, которые будут установлены:
  iptraf
обновлено 0, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 27 пакетов не обновлено.
Необходимо скачать 155 kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 609 kB.
Получено:1 http://ftp.tu-chemnitz.de/pub/linux/ubuntu/ trusty/main iptraf i386 3.0.0-8.1 [155 kB]
Получено 155 kБ за 0с (315 kБ/c)
Выбор ранее не выбранного пакета iptraf.
(Чтение базы данных … на данный момент установлено 236967 файлов и каталогов.)
Preparing to unpack …/iptraf_3.0.0-8.1_i386.deb ...
Unpacking iptraf (3.0.0-8.1) ...
Processing triggers for doc-base (0.10.5) ...
Обработка 1 добавленный файл doc-base...
Регистрация документа в scrollkeeper...
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...
Настраивается пакет iptraf (3.0.0-8.1) …

Код: Выделить всё

olej@nvidia ~ $ iptraf
IPTraf Version 3.0.0
Copyright (c) Gerard Paul Java 1997-2004l
This program can be run only by the system administrator

Код: Выделить всё

olej@nvidia ~ $ sudo iptraf -h

Syntax:
    iptraf [ -f ] [ -u ] [ { -i iface | -g | -d iface | -s iface | -z iface |
           -l iface } [ -t timeout ] [ -B ] [ -L logfile ] [-I interval] ]
  
Issue the iptraf command with no parameters for menu-driven operation.
These options can also be supplied to the command:

-i iface    - start the IP traffic monitor (use "-i all" for all interfaces)
-g          - start the general interface statistics
-d iface    - start the detailed statistics facility on an interface
-s iface    - start the TCP and UDP monitor on an interface
-z iface    - shows the packet size counts on an interface
-l iface    - start the LAN station monitor ("-l all" for all LAN interfaces)
-B          - run in background (use only with one of the above parameters)
-t timeout  - when used with one of the above parameters, tells
              the facility to run only for the specified number of
              minutes (timeout)
-L logfile  - specifies an alternate log file for any direct invocation
              of a facility from the command line.  The log is placed in
              /var/log/iptraf if path is not specified.
-I interval - specifies the log interval for all facilities except the IP
              traffic monitor.  Value is in minutes.
-f          - clear all locks and counters.  Use with great caution.
              Normally used to recover from an abnormal termination.

-u          - allow use of unsupported interfaces as ethernet devices.
IPTraf 3.0.0 Copyright (c) Gerard Paul Java 1997-2004

Код: Выделить всё

olej@nvidia ~ $ sudo iptraf -i eth0
...
iptraf.png

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: наблюдение IP трафика

Непрочитанное сообщение Olej » 18 сен 2015, 09:10

Вот, хоть и не самый свежий, обзор сетевых сниферов - Лучшие инструменты пен-тестера: сниферы и работа с пакетами
автор: Журнал «Хакер»Июл 2, 2009
Приятно что с указанием URL проектов:
Wireshark

Сайт: www.wireshark.org
Платформа: *nix, Windows

Фантастически успешный анализатор пакетов для винды и никсов, который многие
помнят и даже по-прежнему называют Ethereal (новое имя появилось лишь с
лета 2006 года). Wireshark «на лету» анализирует трафик из локальной сети
или из заранее подготовленного дампа на диске. То, насколько он удобен – выше
всяческой похвалы: ты можешь свободно перемещаться по всей отснифанной инфе,
просматривая данные в той детализации, которая тебе нужна.
TCPDump

Сайт: www.tcpdump.org
Платформа: *nix, есть порт под Windows

Название этого снифера знакомо каждому. Еще бы: до появления на сцене
Ethereal‘а (Wireshark) он считался стандартом де-факто, да и теперь
многие по привычке используют его, вполне радуясь жизни. Да, у него нет
классного GUI-интерфейса и возможности автоматически распарсить данные
популярных протоколов, но это, в любом случае, отличное средство, чтобы
отснифать в локалке трафик и получить вожделенный дамп данных.
Ettercap

Сайт:
ettercap.sourceforge.net
Платформа: *nix, Windows, Mac OS

Помнится, когда мы впервые рассказывали об ARP-спуфинге (приеме, позволяющем
снифать трафик в локальных сетях, построенных на считах), то в качестве снифера
применяли именно Ettercap. Сами разработчики продвигают свой продукт как
средство для совершения атак man-in-the-middle. Утилита поддерживает снифинг в
реальном времени, фильтрацию контента «на лету», инжекцию пакетов и многие
другие интересные трики.
Netcat

Сайт:
netcat.sourceforge.net
Платформа: *nix, есть порт под Windows

Своеобразный швейцарский нож любого взломщика. Эта чрезвычайно простая
утилита позволяет читать и писать данные в TCP и UDP соединениях. Иными словами,
Netcat позволяет тебе соединиться с чем угодно, да и делать что угодно. В
результате, получаем одну единственную утилиту с 1000 и одним применением.
Ngrep

Сайт:
ngrep.sourceforge.net
Платформа: *nix, есть порт под Windows

Что такое Ngrep? Берем известную никсовую утилиту grep (ту, что
находит на вводе строки, отвечающие заданному регулярному выражению, и выводит
их) и натравливаем ее на сетевой трафик. Точно так же, как вывод на какую-то
команду можно ограничить строками с определенным содержимым, можно фильтровать и
трафик. Ngrep позволяет выделить из перехваченного трафика любые данные,
отвечающие регулярным выражениям. Ngrep понимает IPv4/6, TCP, UDP,
ICMPv4/6, IGM по Ehetrnet’у и другим технологиям (PPP, SLIP, FDDI, Token Ring).
Nemesis

Сайт:
nemesis.sourceforge.net
Платформа: *nix, Windows

Эта консольная тулза для разборки сетевых пакетов, их модификации и
дальнейшей инжекции в Сеть не раз выручала меня в тестировании IDS, файрволов и
сетевых демонов. Благодаря работе через консоль, Nemesis легко
приспосабливается к любым сторонним скриптам для пен-теста. Оригинальная версия
может распарсить и инжектировать произвольные пакеты ARP, DNS, ETHERNET, ICMP,
IGMP, IP, OSPF, RIP, TCP и UDP.
Hping2

Сайт: www.hping.org
Платформа: *nix, MacOS X, Windows

Вот еще одна миниатюрная утилита, позволяющая отсылать произвольные ICMP, UDP,
TCP и RAW-IP пакеты и отображать ответы на них. Отправить такой пакет не
сложнее, чем пропинговать нужный хост. Интерфейс полностью перенят у любимого
Ping’а – отсюда и название программы. Изначально тулза была разработана в
качестве замены стандартным ping/traceroute, работа которых часто обламывается
из-за файрволов. Поэтому в Hping2 по умолчанию есть продвинутый
traceroute и режим IP-фрагментации.
Scapy

Сайт:
www.secdev.org/projects/scapy
Платформа: *nix, есть порт под Windows

Must-have для любого хакера, представляющий собой мощнейшую тулзу для
интерактивной манипуляции пакетами. Принять и декодировать пакеты самых
различных протоколов, ответить на запрос, инжектировать модифицированный и
собственноручно созданный пакет — все легко! С ее помощью можно выполнять целый
ряд классических задач, вроде сканирования, tracorute, атак и определения
инфраструктуры сети. В одном флаконе мы получаем замену таких популярных утилит,
как: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f и т.д.
packeth

Сайт:
packeth.sourceforge.net
Платформа: *nix, есть порт под Windows

Интересная разработка, позволяющая, с одной стороны, генерировать любой
ethernet пакет, и, с другой, отправлять последовательности пакетов с целью
проверки пропускной способности. В отличие от других подобных тулз, packeth
имеет графический интерфейс, позволяя создавать пакеты в максимально простой
форме.
Отдельного внимания здесь заслуживает Scapy - все остальные или уже упоминались, или и так достаточно понятны.

Ответить

Вернуться в «Сеть, сетевые службы и сервисы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость