Дізнайтеся мережевий трафік за IP

У нас є один центральний сервер, який функціонує як Інтернет-шлюз. Цей сервер підключений до Інтернету, і за допомогою iptables ми переадресовуємо трафік та ділимось з’єднанням з Інтернетом між усіма комп'ютерами в мережі. Це працює просто чудово.

Однак іноді Інтернет стає дуже повільним. Швидше за все, хтось із користувачів завантажує відео чи інші великі файли. Я хочу визначити винуватця. Я думаю про встановлення інструменту, який може контролювати мережевий трафік, який проходить через сервер, по IP. Переважно в режимі реального часу, а також накопиченого загального (знову ж таки IP-адреси). Будь-який інструмент, який рекомендується для цього? Переважно щось у сховищах Ubuntu.

Мені доведеться коштувати дешево і скопіювати свою відповідь з цього питання .

ntop - це, мабуть, найкраще рішення для цього. Він призначений для довгострокової роботи та фіксування саме того, що ви шукаєте.
Він може показати вам, які клієнти отримують / відправляють найбільше трафіку, куди отримують / відправляють, які протоколи та порти використовуються тощо.
Потім він використовує веб-графічний інтерфейс для навігації та відображення цієї інформації.

ntop є досить відомим інструментом, тому я був би дуже здивований, якщо його немає в сховищі пакетів Ubuntu.

ntop може дати вам саме те, що ви просите. Він збирає дані про весь трафік, що протікає через вашу мережу (і може збирати дані з інших мереж, якщо вони мають пристрій, налаштований для передачі даних netfow у вашу систему).

Він покаже вам кожен хост у мережі, з якою пропускною здатністю вони використовували. Це дозволить вам детально ознайомитися з кожним хостом і побачити, який тип трафіку вони генерують і кому / з кого. Це дозволить побачити встановлені TCP-з'єднання. Ти можеш сильно загубитися протягом днів, переглядаючи дані, які вона може тобі дати.

Програма може бути зависою пам’яті, однак, залежно від налаштувань параметрів.

Ви можете перевірити наявні лічильники з iptables, щоб побачити, чи щось виглядає поза лінією,

Також можна додати правила бухгалтерського обліку до iptables, які використовуються лише для генерації підрахунків трафіку. Такий інструмент, як Shorewall, полегшує це та має конкретну документацію щодо правил бухгалтерського обліку

Проведено дослідження, що показують, що великі буфери в маршрутизаторах можуть спричинити проблеми з продуктивністю. Ви можете спробувати сформувати трафік трохи менше, ніж ємність мережі. Shorewall пропонує пару підходів до формування трафіку. Це також можна використовувати для визначення пріоритетності певного виду трафіку.

Якщо ви ідентифікуєте користувача, використання пропускної здатності якого надмірне, у вас є кілька варіантів:

• Обговоріть з ними проблему та нагадайте їм свою політику використання;
• Блокуйте доступ до служби та / або сайту, що використовує пропускну здатність;
• Обмежити трафік до послуги та / або сайту, що використовує пропускну здатність; та / або
• Обмежте трафік для відповідного користувача.

Щоб побачити використання в реальному часі через IP (скоріше, по IP та порту):

sudo apt install tcptrack
sudo tcptrack -i eth0

Щоб побачити використання в реальному часі за MAC-адресою, приємним інструментом на основі ncurses є iptraf-ng:

sudo apt install iptraf-ng
sudo iptraf-ng

(А потім виберіть "Монітор станції LAN → eth0".)

Щоб побачити щоденний сукупний об'єм даних за IP, мій улюблений ipfm. Встановити за допомогою:

sudo apt install ipfm

Потім налаштуйте /etc/ipfm.confвідповідно до man ipfm.confі почніть з sudo ipfm.