Netzwerk Traffic Monitoring

[worel]

Hallo Leutz!

Ich habe in einigen Infrastrukturen soweit alles mögliche überwacht, endlich hat sich alles eingependelt und die Sache läuft rund.

Wonach ich aber bis heute suche, ist ein Monitoring Tool für den aktuellen Netzwerktraffic.

In meinem Fall alles was von intern ins Internet raus bzw. reingeht. Mit der Angabe welcher Absender/Empfänger, was grundsätzlich übertragen wird sowie wieviel davon. Wenn möglich in "realtime". Ich habe jetzt schon einige Tools durch (wie z.B. etherape) aber so richtig glücklich machte mich noch keines davon.

Habt ihr diesbez. eine Empfehlung die ich mir mal anguggen kann? Ich denke ntop passt auch nicht, da hier nur "Vergangenheitsdaten" angezeigt werden, ich möchte aber möglichst realtime Werte...

Falls ich nix im OS Bereich finde muss ich halt die Reporting Appliance der Firewall ums teure Geld kaufen. ;-)

 

[Nonpareille]

Hast Du ne Fritzbox?

Dann kannst Du unter fritz.box/html/capture.html einen Paketmitschnitt aufrufen und den dann z.B. mit Wireshark auswerten.

In dem Zusammenhang gleich noch ne Warnung an alle Fritzboxbesitzer!
Über diese Seite ist je nach Firmwareversion u.U. von jedem Rechner aus dem Netzwerk OHNE Passwortabfrage ein Paketmitschnitt zu starten (auch wenn für die Fritzbox eigentlich ein Passwort gesetzt wurde!).

 

[worel]

Ne, keine Fritzbox.

Dennoch guter Hinweis da einige Provider gerne Fritzboxen für Privatprodukte verwenden. Kommt mir immer wieder unter.

(wir verwenden größtenteils Fortigate Appliances)

 

[morromett]

Evtl. kann darkstat dir nützlich sein.

 

[FreeBSDuser]

Ehrlich gesagt hab ich mal angefangen sowas zu schreiben, der captured alle pakete mit pcap und guckt dann SRC DST und die länge des pakets an und wertet das aus. Habs leider nicht in einem lauffähigen Stadium...

 

[pit234a]

ich versuche mal wieder einen Beitrag als Ahnungsloser.
Du kannst sicher nur dann sehen, was raus geht, wenn du auf den Ausgang lauschen kannst. Das wird vermutlich nur gehen, wenn du den genutzten router beherrschen kannst und dort muß dann eine entsprechende SW laufen, oder sehe ich das falsch?
Aus der GNU/Linux Welt kenne ich IP-Tables noch so am Rande und da hast du es vielleicht einfacher, weil du bestimmst, welche Sachen wohin dürfen.
Hier kenne ich nur tcpdump und wireshark, die so ähnliche Ausgaben von dem Gerät liefern, auf das sie lauschen können. Außerdem iftop.
Doch weil das allgemeinbekannte Sachen sind, meint ihr sicher was anderes.
Keines dieser Tools erstellt, soviel ich weiß, einen Report als Zusammenfassung, sondern zeigt nur laufende Daten. Gerade die Ausgaben von tcpdump kann ich mir aber vorstellen, um vielleicht Reports daraus zu erstellen.

 

[worel]

Darkstat sieht schon mal ganz gut aus! Werde ich ausprobieren.

Ich weiß nicht welches Tool bzw. Screenshot es war, aber irgendein Programm konnte zum Beispiel bei http oder ftp Traffic anzeigen, welche Datei gerade per get oä. transportiert wird.

Naja, der Nachteil ist dass man halt durch ein mehr an Output auch mehr Pakete von der Leitung abgreifen muss...

@pit234a: Das wäre in meinem Szenario kein Problem, da ich ja "nur" den Traffic welcher von intern ins Internet über den einzigen Gateway/Router/Firewall geht will. Derzeit läuft das alles, wie gewöhnlich für kleinere/mittlere Umgebungen, über einen Switchport. D.h. die Strecke zwischen internem Interface des Gateways zum internen Netz.
Da mach ich einfach ein Portmirroring und häng dann die entsprechende lauschende Box auf den gespiegelten Port dran. Sollte jeder managed Switch können.