Iptraf est un programme de monitoring réseau qui vous permettra d'analyser le trafic réseau entrant et sortant de votre serveur, mais aussi d'analyser le trafic de votre réseau local.
Ce programme vous permettra de :
* Vous pouvez aussi tenter de bloquer ce type de programme en transformant votre serveur en routeur. Ensuite, il suffira d'autoriser uniquement les ports principaux (80 : HTTP, 443 : HTTPS, 21 : FTP, ...). Cette solution n'est pas sûre à 100% mais cela bloquera l'utilisation de ces programmes par la plupart des utilisateurs.
Attention : Ce programme ne fonctionnera pas si vous l'exécutez dans une machine virtuelle créée via OpenVZ (si vous avez une interface "venet", cela ne fonctionnera pas). Donc, ce programme ne fonctionnera pas sur les VPS Classic d'OVH.
Pour installer Iptraf, il suffit d'installer le paquet "iptraf".
Bash
apt-get install iptraf
Pour analyser le réseau de votre serveur, lancez iptraf :
Bash
iptraf
Ensuite, sélectionnez "IP traffic monitor".
Sélectionnez l'interface à "écouter" parmi la liste :
Nous avons laissé tourner le programme pendant quelques minutes pour vous donner un aperçu du programme :
Dans la partie supérieure, vous verrez les connexions "TCP" (mode connecté) :
Dans la partie inférieure, vous verrez les paquets "UDP" (mode déconnecté) :
Note : les lignes vont par paires. Ex : Les lignes "10.0.0.9:22" et "10.0.0.3:49197" permettent de savoir qu'il y a une connexion entre ces points réseau. Le ":" sépare l'adresse IP du port.
Dans le menu d'Iptraf (au lancement de celui-ci), allez dans "Configure".
Dans la configuration, vous pourrez :
Comme vous pouvez le voir :
- notre machine qui avait l'adresse ip 10.0.0.9, possède le nom de domaine "debian.local".
- le client "10.0.0.3" est connecté sur notre serveur SSH (port 22).
- le client "10.0.0.3" est connecté sur notre serveur FTP (port 21).
Comme vous pouvez le voir :
- il y a une machine nommée "lionel-PC" sur le réseau
- le client "10.0.0.3" est connecté à notre serveur ssh
- la machine de lionel-PC est connectée à un serveur de messagerie instantanée fonctionnant avec XMPP
- l'utilisateur de la machine "lionel-PC" est actuellement connecté au serveur de facebook sur le port 443 (protocole https)
- Etc.
Si vous activez l'option "Logging", l'historique réseau sera enregistré en temps réel dans le fichier spécifié lors du choix du type de monitoring (IP traffic monitor, lan station monitor, ...).
Note : Il est recommandé d'indiquer un nouveau chemin à chaque fois pour éviter d'écraser le fichier de log précédent.
Par défaut, les logs seront enregistrés dans le dossier "/var/log/iptraf/".
Bash
ls /var/log/iptraf/
Plain Text
iface_stats_detailed-eth0.log ip_traffic-1.log packet_size-eth0.log iface_stats_general.log lan_statistics-1.log rvnamed.log
Voici une partie du log d'IP Monitor (ip_traffic-1.log) :
Sat Jun 6 12:01:41 2015; ******** IP traffic monitor started ******** ... Sat Jun 6 12:18:36 2015; TCP; eth0; 52 bytes; from 10.0.0.3:49667 to debian.local:56526 (source MAC addr 000c29b99462); first packet (SYN) Sat Jun 6 12:18:36 2015; TCP; eth0; 52 bytes; from debian.local:56526 to 10.0.0.3:49667 (source MAC addr 000c29c363eb); first packet (SYN) Sat Jun 6 12:18:36 2015; TCP; eth0; 40 bytes; from debian.local:56526 to 10.0.0.3:49667 (source MAC addr 000c29c363eb); FIN sent; 4 packets, 3046 bytes, avg flow rate 24,00 kbits/s ... Sat Jun 6 12:18:37 2015; UDP; eth0; 201 bytes; source MAC address xxxxxxxxxxxx; from WNDR4300.local:34563 to 255.255.255.255:7423 ... Sat Jun 6 12:18:46 2015; ******** IP traffic monitor stopped ********
Si vous avez activé l'option "Source MAC addrs in traffic monitor", vous verrez les adresses MAC correspondantes aux adresses IP sources.
Comme vous pouvez le voir dans la partie inférieur, les adresses MAC sont précédées de "src HWaddr" (qui signifie : adresse matérielle ou Hardware address en anglais).
General interface statistics vous permet d'avoir les statistiques générales pour chaque interface réseau.
Detailed interface statistics vous permet d'avoir des informations détaillées concernant l'interface réseau sélectionnée.
Cette fonction vous permet de trier les paquets par leur taille.
Cette fonction vous permet de trier les paquets par port.
Ainsi, il est possible de voir le nombre de paquets transitant sur des ports spécifiques : 21 (FTP), 22 (SSH), 53 (DNS), 80 (HTTP), ...
LAN station monitor vous permet de surveiller la bande passante utilisée par les machines de votre réseau local.
Comme vous pouvez le voir, le programme affiche l'adresse MAC au lieu de l'adresse IP.
Pour connaitre les adresses IP qui correspondent à ces adresses MAC, vous pouvez utiliser la commande "nmap" :
Note : 10.0.0.1 correspond à l'adresse IP de notre routeur.
Bash
nmap -sP 10.0.0.1/24
Cette commande affichera un résultat comme ceci :
Plain Text
Starting Nmap 6.00 ( https://nmap.org ) at 2015-06-06 12:19 CEST Nmap scan report for 10.0.0.1 Host is up (0.00080s latency). MAC Address: 04:A1:51:XX:XX:XX (Unknown) Nmap scan report for 10.0.0.3 Host is up (0.0023s latency). MAC Address: 00:0C:29:B9:94:62 (VMware) Nmap scan report for 10.0.0.4 Host is up (0.000098s latency). MAC Address: 78:24:AF:XX:XX:XX (Unknown) Nmap scan report for 10.0.0.9 Host is up. Nmap done: 256 IP addresses (4 hosts up) scanned in 10.32 seconds
Pour connaitre l'adresse MAC de votre serveur, utilisez la commande "ifconfig".
Bash
ifconfig
Dans les informations affichées, vous verrez la ligne :
Plain Text
eth0 Link encap:Ethernet HWaddr 00:0c:29:c3:63:eb
Les filtres vous permettent de surveiller le trafic réseau selon :
La configuration du filtre pourra servir à inclure ou exclure ce trafic réseau de l'historique en temps réel.
Pour créer un filtre, allez dans "Filters".
Dans notre cas, nous allons utiliser un filtre "IP".
Note : Comme vous pouvez voir, pour le moment, il n'y a pas de filtre IP actif.
Sélectionnez "Define new filter".
Indiquez un nom pour ce filtre.
Pour le moment, il n'y a pas de réglages pour ce filtre.
Pour en ajouter un, appuyez sur la touche i (pour l'option Insert).
Pour ce tutoriel, nous allons récupérer uniquement le trafic :
- ayant comme adresse IP source : 10.0.0.3
- utilisant le protocole TCP ou ICMP (pour détecter les éventuelles attaques DDOS utilisant le ping)
Si vous le souhaitez, vous pouvez ajouter d'autres réglages pour ce filtre.
Ensuite, quittez cette fenêtre en appuyant sur "CTRL+X".
Sélectionnez "Apply filter".
Sélectionnez le filtre à appliquer et appuyez sur Enter.
Comme vous pouvez le voir, maintenant, le filtre IP est actif.
Dans notre cas, nous allons utiliser "IP traffic monitor".
Sur notre machine "10.0.0.3", nous avons utilisé :
- un client FTP pour nous connecter au serveur (IP : 10.0.0.9)
- la commande ping pour pinguer notre serveur. (les requêtes ICMP echo affichées en bas)
Linux 31/12/2016
Linux 12/3/2015
Linux 12/9/2015
Linux 8/9/2016
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire