ค้นหาทราฟฟิกเครือข่ายต่อ IP

เรามีเซิร์ฟเวอร์ส่วนกลางหนึ่งตัวที่ทำหน้าที่เป็นเกตเวย์อินเทอร์เน็ต เซิร์ฟเวอร์นี้เชื่อมต่อกับอินเทอร์เน็ตและใช้ iptables เราส่งต่อการรับส่งข้อมูลและแบ่งปันการเชื่อมต่ออินเทอร์เน็ตระหว่างคอมพิวเตอร์ทุกเครื่องในเครือข่าย มันใช้งานได้ดี

อย่างไรก็ตามบางครั้งอินเทอร์เน็ตก็ช้ามาก ผู้ใช้ส่วนใหญ่มีแนวโน้มดาวน์โหลดวิดีโอหรือไฟล์ขนาดใหญ่อื่น ๆ ฉันต้องการระบุผู้กระทำผิด ฉันกำลังคิดที่จะติดตั้งเครื่องมือที่สามารถตรวจสอบปริมาณการใช้งานเครือข่ายที่ผ่านเซิร์ฟเวอร์โดยใช้ IP โดยเฉพาะอย่างยิ่งในเวลาจริงเช่นเดียวกับผลรวมสะสม (อีกครั้งโดย IP) เครื่องมือใดที่แนะนำสำหรับสิ่งนี้? โดยเฉพาะอย่างยิ่งบางอย่างในที่เก็บ Ubuntu

ฉันจะต้องถูกและคัดลอกคำตอบของฉันจากคำถามนี้

ntopน่าจะเป็นทางออกที่ดีที่สุดสำหรับการทำสิ่งนี้ มันถูกออกแบบมาเพื่อทำงานในระยะยาวและจับภาพสิ่งที่คุณกำลังมองหา
มันสามารถแสดงให้คุณเห็นว่าลูกค้าคนไหนที่รับ / ส่งปริมาณการใช้งานมากที่สุดโดยที่พวกเขากำลังรับ / ส่งไปใช้โปรโตคอลและพอร์ตใดที่ใช้ ฯลฯ
จากนั้นใช้เว็บ GUI เพื่อนำทางและแสดงข้อมูลนี้

ntop เป็นเครื่องมือที่รู้จักกันดีดังนั้นฉันจะประหลาดใจอย่างมากหากไม่มีอยู่ในที่เก็บแพคเกจของ Ubuntu

ntopสามารถให้สิ่งที่คุณต้องการได้อย่างแน่นอน มันรวบรวมข้อมูลเกี่ยวกับทราฟฟิกทั้งหมดที่ไหลผ่านเครือข่ายของคุณ (และสามารถรวบรวมข้อมูลจากเครือข่ายอื่นหากมีอุปกรณ์ที่กำหนดค่าให้ส่งข้อมูล netfow ไปยังระบบของคุณ)

มันจะแสดงให้คุณเห็นทุก ๆ โฮสต์บนเครือข่ายด้วยจำนวนแบนด์วิธที่พวกเขาใช้ไป มันจะช่วยให้คุณสามารถเจาะลึกลงไปในแต่ละโฮสต์และดูว่าพวกเขากำลังสร้างการรับส่งข้อมูลประเภทใดและ / จากใคร มันจะช่วยให้คุณเห็นการเชื่อมต่อ TCP ที่จัดตั้งขึ้นในปัจจุบัน คุณอาจหลงทางไปหลายวันผ่านข้อมูลที่สามารถให้คุณได้

โปรแกรมสามารถเป็นหน่วยความจำ - หมูทั้งนี้ขึ้นอยู่กับว่าคุณมีการตั้งค่าตัวเลือก

คุณสามารถตรวจสอบตัวนับที่มีอยู่จาก iptables เพื่อดูว่ามีอะไรนอกบรรทัดหรือไม่

นอกจากนี้ยังเป็นไปได้ที่จะเพิ่มกฎการบัญชีไปยัง iptables ซึ่งใช้เพื่อสร้างจำนวนการรับส่งข้อมูล เครื่องมืออย่างเช่นชอร์วอลล์สามารถทำสิ่งนี้ได้ง่ายและมีเอกสารเฉพาะเกี่ยวกับกฎการบัญชี

มีการวิจัยแสดงให้เห็นว่าบัฟเฟอร์ขนาดใหญ่ในเราเตอร์สามารถทำให้เกิดปัญหาประสิทธิภาพการทำงาน คุณอาจต้องการลองลดปริมาณการใช้ข้อมูลให้น้อยกว่าความจุเครือข่ายเล็กน้อย Shorewall เสนอวิธีการสร้างการจราจรสองวิธี นอกจากนี้ยังสามารถใช้เพื่อจัดลำดับความสำคัญของการรับส่งข้อมูลบางประเภท

หากคุณระบุผู้ใช้ที่มีการใช้แบนด์วิดท์มากเกินไปคุณจะมีตัวเลือกสองสามอย่าง:

• หารือเกี่ยวกับปัญหากับพวกเขาและเตือนพวกเขาเกี่ยวกับนโยบายการใช้งานของคุณ;
• บล็อกการเข้าถึงบริการและ / หรือไซต์ที่ใช้แบนด์วิดท์
• จำกัด ทราฟฟิกไปยังบริการและ / หรือไซต์ที่ใช้แบนด์วิดท์ และ / หรือ
• จำกัด ทราฟฟิกสำหรับผู้ใช้ที่เป็นปัญหา

หากต้องการดูการใช้งานแบบเรียลไทม์ด้วย IP (แทนด้วย IP และพอร์ต):

sudo apt install tcptrack
sudo tcptrack -i eth0

หากต้องการดูการใช้เรียลไทม์ตามที่อยู่ MAC เครื่องมือที่ใช้ ncurses ที่ดีคือiptraf-ng:

sudo apt install iptraf-ng
sudo iptraf-ng

(จากนั้นเลือก "LAN station monitor → eth0")

หากต้องการดูปริมาณข้อมูลในชีวิตประจำวันรวมโดย IP, ipfmเป็นที่ชื่นชอบ ติดตั้งด้วย:

sudo apt install ipfm

กำหนดค่าจากนั้นใน/etc/ipfm.confตามและเริ่มต้นด้วยman ipfm.confsudo ipfm