Posiadając serwer, nie ważne, czy jest to router dla sieci lokalnej, czy serwer z typowymi usługami hostingowymi, powinniśmy mieć możliwość sprawdzenia w dowolnym momencie aktualnego stanu wykorzystania interfejsów sieciowych. Praca na serwerze na którym kończy się łącze (saturacja) nie jest komfortowa, a jeszcze bardziej mniej komfortowo powinniśmy się czuć jeśli nie jesteśmy w stanie sprawdzić co jest tego przyczyną.
Możliwości jest bardzo dużo, prawdopodobnie tyle co administratorów, zaczynając od czytania liczników na interfejsach i przesyłania po SNMP, po tworzenie reguł iptables i zliczania bajtów z nich ;-p ale my nie będziemy tworzyć własnych narzędzi tylko skorzystamy już z gotowych. Na pokładzie mamy 4 zabawki:
1. bmw-ng - http://www.gropp.org/?id=projects&sub=bwm-ng
2. bmon - http://freshmeat.net/projects/bmon/
3. iftop - http://www.ex-parrot.com/pdw/iftop/
4. iptraf - http://iptraf.seul.org/
Każdy z monitorów działa w trybie konsolowym, czyli wykresy będziemy oglądać jako znaki ASCII ;-) Starałem się je wymienić w kolejności od najmniejszych (najmniejsze możliwości) do największych, ale to kwestia gustu, więc można się z tym nie zgadzać.
bwm-ng
Jak widać, program jest bardzo prosty, ale pokazuje podstawowe informacje takie jak wykorzystanie każdego z łącz, pozwala na zmianę interwału odczytywania liczników interfejsów, oraz na zmianę jednostki (kbit, Mbit). Doskonały jeśli chcemy jedynie sprawdzić, czy zostało nam trochę łącza, czy już nie. Potrafi wygenerować raport w postaci CSV oraz HTML.
bmon
Trochę bardziej zaawansowane narzędzie, potrafi rysować prosty wykres w ASCII, pokazuje ilość błędów na interfejsie, rozpoznaje ruch multicastowy.
Z dostępnych opcji mamy praktycznie jedną, zmianę interwału rysowania wykresu, (sekunda, minuta, godzina, dzień). Fajne narzędzie, jeśli chcemy monitorować ruch na serwerze przez określony czas.
iftop
To pierwsze trochę bardziej zaawansowane narzędzie, dzięki niemu możemy złapać komputer w naszej sieci który generuje duży ruch, iftop wyświetla dane z wyszczególnieniem hosta źródłowego oraz docelowego.
Na zrzucie widać, jak host ubudev.lan ma nawiązane połączenie z hostem noc.gts.pl i pobiera z niego dane z prędkością ~9Mbit/s, wyniki są prezentowane w kolejności (2 sekundy, 10 sekund, 40 sekund temu). iftop pozwala na wyszczególnienie hostów/portów do monitorowania, zarówno po IP jak i po MACu, przykładowe filtry iftop -f "filtr" np. -f "port 22" albo -f "host localhost and port 22".
iptraf
to już chyba klasyka na wielu maszynach, szybko i sprawnie możemy zobaczyć wykorzystanie interfejsów, dodatkowo iptraf pokazuje ilość pakietów, tak więc w przypadku np. ataku SYN flood, (o ile uda nam się dobić do serwera), może nam pomóc określić źródło.
IPTraf pozwala nam również ustalić zakres monitorowanych portów, IP, protokołu (ARP, IP, RARP, NON-IP), pokazywać adresy MAC, no i jest niebieski ;-) Doskonałe narzędzie i szybko przypada do gustu.
Miłego łapania seederów ;-)