URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 83625
[ Назад ]

Исходное сообщение
"Как найти источник повышенного трафика?"

Отправлено dor , 12-Янв-09 09:25 
Как найти источник повышенного трафика в локальной сети, подключённой к роутеру с nat? Причём сделать это с наименьшими затратами по времени?

Содержание

Сообщения в этом обсуждении
"Как найти источник повышенного трафика?"
Отправлено dot22 , 12-Янв-09 10:21 
>Как найти источник повышенного трафика в локальной сети, подключённой к роутеру с
>nat? Причём сделать это с наименьшими затратами по времени?

Использовать программу iftop ("iftop -i <имя внутреннего интерфейса роутера>)
В псевдографике показывает входящий\исходящий (нужно поиграцца с горячими клавишами - справка по "H" или "?") для каждого ip, получающего интернет через роутер (как суммарный, так и по портам)


"Как найти источник повышенного трафика?"
Отправлено daevy , 12-Янв-09 10:34 
советую также trafshow



"Как найти источник повышенного трафика?"
Отправлено sonkilla , 12-Янв-09 10:35 
Либо прорисовать через mtrg все ip тогда у Вас будет и доказательство когда и на сколько кто грузил канал.

"Как найти источник повышенного трафика?"
Отправлено Oleg_Rus , 13-Янв-09 10:36 
>Либо прорисовать через mtrg все ip тогда у Вас будет и доказательство
>когда и на сколько кто грузил канал.

offtop
прошу прощения, а каким образом можно через mrtg отрисовывть каждого пользователя nat'a (с учетом того, что пользователи - это виндовые клиенты БЕЗ поддержки snmp)??? Разве так можно?


"Как найти источник повышенного трафика?"
Отправлено sonkilla , 13-Янв-09 15:32 
>>Либо прорисовать через mtrg все ip тогда у Вас будет и доказательство
>>когда и на сколько кто грузил канал.
>
>offtop
>прошу прощения, а каким образом можно через mrtg отрисовывть каждого пользователя nat'a
>(с учетом того, что пользователи - это виндовые клиенты БЕЗ поддержки
>snmp)??? Разве так можно?

все очень просто используеться связка pmacct+mrtg+пару мелких скриптов на беше.SNMP в данном случает ненужен.Если интересует могу выложить конфиги как у меня работает.На все про все уходет меньше 15 минут.


"Как найти источник повышенного трафика?"
Отправлено dor , 13-Янв-09 15:48 
>[оверквотинг удален]
>>>когда и на сколько кто грузил канал.
>>
>>offtop
>>прошу прощения, а каким образом можно через mrtg отрисовывть каждого пользователя nat'a
>>(с учетом того, что пользователи - это виндовые клиенты БЕЗ поддержки
>>snmp)??? Разве так можно?
>
>все очень просто используеться связка pmacct+mrtg+пару мелких скриптов на беше.SNMP в данном
>случает ненужен.Если интересует могу выложить конфиги как у меня работает.На все
>про все уходет меньше 15 минут.

Выложите, пожалуйста, конфиги и скрипты, будет интересно заценить..


"Как найти источник повышенного трафика?"
Отправлено sonkilla , 13-Янв-09 16:19 
>[оверквотинг удален]
>>>offtop
>>>прошу прощения, а каким образом можно через mrtg отрисовывть каждого пользователя nat'a
>>>(с учетом того, что пользователи - это виндовые клиенты БЕЗ поддержки
>>>snmp)??? Разве так можно?
>>
>>все очень просто используеться связка pmacct+mrtg+пару мелких скриптов на беше.SNMP в данном
>>случает ненужен.Если интересует могу выложить конфиги как у меня работает.На все
>>про все уходет меньше 15 минут.
>
>Выложите, пожалуйста, конфиги и скрипты, будет интересно заценить..

для начала ставим pmacct (в нете много ссылок на сырцы его) далее в директории с mrtg(или еще куда) создаем файлик и даем ему права на исполнение пусть он будет называться forward в него пишем

!/bin/sh
host=$1
unset IN
unset OUT

OUT=`/usr/local/bin/pmacct -c src_host -p /tmp/pmacct_out.pipe -N $host`
IN=`/usr/local/bin/pmacct -c dst_host -p /tmp/pmacct_in.pipe -N $host`

echo $IN
echo $OUT
echo 0

далее настраиваем сам pmacctd

вот конфиг его тоже в директории mrtg

cat pma.conf
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!pmacct configuration example!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
daemonize: true
interface: eth0
plugins: memory[in], memory[out]

aggregate[out]: src_host
aggregate[in]: dst_host
aggregate_filter[out]: src net 192.168.0.0/24
aggregate_filter[in]: dst net 192.168.0.0/24
imt_path[out]: /tmp/pmacct_out.pipe
imt_path[in]: /tmp/pmacct_in.pipe
!
! plugin_pipe_size: 1024000
! plugin_buffer_size: 1024
networks_file: /etc/mrtg/networks.txt

далее создадим конфиг сетей
cat networks.txt (хатя он в принцыпе ненужен так как в конфиге pmacctd указана подсеть)
192.168.0.0/24


тереь настраиваем mrtg в его конфиге пишем для каждого айпи примерно следующие
Target[x]: `/etc/mrtg/forward 192.168.0.1`
Title[x]: x 192.168.0.1
PageTop[x]: <h1>x 192.168.0.1</h1>
и так далее для каждого юзера вместе x впишите данные пользователя
Теперь запустим в консоли  /usr/local/sbin/pmacctd -f /etc/mrtg/pma.conf а также запишем эту строчку в rc.local для втаматического запуска при загрузке
вроде все теперь перезупускаем mrtg лучше всего в мртг конфиге указать чтоб он запускался демоном также через cban либо через баш скрипты прорисовать графики по каждому интерфейсу типа Интеренет и локалка я делаю так
cat mrtgstat.eth0
#!/bin/bash
OUTPUT=`ifconfig eth0| grep bytes | awk {'print $2'}`
INPUT=`ifconfig eth0| grep bytes | awk {'print $6'}`
DATE=`date +%s`
NAME='eth0'
echo $INPUT
echo $OUTPUT
echo $DATE
echo $NAME
И так для каждого интерфейса
также замените подсеи на свои в маем примере подсеть 0 .для тестирования попробуйте запустить скрипт ./forward ip (где ip один из адресов той подсети что слушает pmacctd) в ответ должно быть что то вроде этого
./forward 192.168.0.1
1006621911
4275531062
0
0

P.S Вроде все если что интересует спрашивайте помогу чем смогу данная связка работает отлично на 14 серверах и глюков замечено небыло