La supervision réseau, c'est quelque chose qui se répand de plus en plus au sein des pme et adminstrations, notamment avec nagios, oreon, mrtg... Donc ça, niveau logiciel libre, pas de problèmes : on a de quoi faire.
Mais je suis surpris de ne pas encore avoir trouvé de solution libre logiciel permettant l'analyse protocolaire de flux réseau.
Pour ceux qui ne comprendraient pas ce que je veux dire, je parle d'une sonde, placée sur un élément actif, en général un ou plusieurs commutateur(s) (ou switch(es)), capable de faire du miroitage de port (port mirroring), càd selon la définition de wikipedia, que "le commutateur [peut envoyer] une copie de tous les paquets à une connexion réseau de surveillance."
Ce(s) commutateur(s) sont stratégiquement choisis par le fait qu'il(s) supporte(nt) la quantité de flux la plus significative par rapport au flux total du réseau lan/wan, c'est à dire en général des switch de coeur, des switches séparant des sites distants du wan etc (voir par exemple ce shéma : http://www.01net.com/images/91456.jpg ). L'avantage de ce système, et là ou il complète fortement des outils comme nagios, c'est qu'il permet d'avoir une vision complète de ce qui circule sur le réseau, par où ça circule, en quelle proportion, ainsi que de trouver l'origine de panne (est-ce une panne réseau, y a-t-il des engorgements réseau, un serveur ou un switch est il down, y a t il des paquets non désirés qui circulent à travers le réseau, y a t il des pertes de paquets etc).
Je connais des logiciels proprios, dont Observer, qui font de l'analyse de flux et de la recherche d'incident etc. ( http://www.01net.com/editorial/323733/reseau/sondes-explorer(...) un peu vieux, mais toujours d'actualité, je pense). Observer est une application qui s'installe sur un windows xp quelconque, installé sur un poste dédié sur lequel on installe une ou plusieurs cartes réseaus spécifiques pour la capture de flux "miroités". Ça doit donc être faisable de faire le même genre de produit en libre.
Je me demande si d'une manière générale l'analyse de flux réseau est entrée dans les moeurs : y recourrez vous ? Si oui, qu'utilisez-vous ? Avez vous trouvé un équivalent libre à Observer.
# Et avec iptables ?
Posté par Snarky . Évalué à 4.
[^] # Re: Et avec iptables ?
Posté par Chapellon Alexandre . Évalué à 6.
Sinon il y a ntop qui fait ce genre de truc mais seras forcément moins modulable.
On peut aussi parler de bandwithd qui fait exactement ce genre de truc (j'en profite pour signaler qu'il existe sous la forme d'un plugin intégrable à l'excellente gateway libre basée sur FreeBSD pfSense!!!!)
Bref j'en oubli certainement.....
Quelqu'un trouvait que l'analyse protocolaire n'était pas bie ntraitée par la communauté?
[^] # Re: Et avec iptables ?
Posté par Big Pete . Évalué à 10.
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.
[^] # Re: Et avec iptables ?
Posté par pasBill pasGates . Évalué à 10.
Ok, je -->[]
[^] # Re: Et avec iptables ?
Posté par Sytoka Modon (site web personnel) . Évalué à -1.
[^] # Re: Et avec iptables ?
Posté par FReEDoM (site web personnel) . Évalué à 2.
[^] # Re: Et avec iptables ?
Posté par FReEDoM (site web personnel) . Évalué à 3.
PS: en vrac des outils d'analyses unitaires => iperf, iptraf, wireshark, mgen...
# ntop
Posté par Prosper . Évalué à 7.
http://www.ntop.org/overview.html
[^] # Re: ntop
Posté par Az' (site web personnel) . Évalué à 4.
ça permet entre autre chose de retrouver qui fait du download pendant que le net rame pour les autres :p
[^] # Re: ntop
Posté par Matthieu . Évalué à 4.
[^] # Re: ntop
Posté par Az' (site web personnel) . Évalué à 2.
Le traffic est assez faible: un millier de hosts enregistrés sur ntop, pour un parc de 300 machines. cela donne une charge ntop de moins de 10% et le network load de ntop:
Actual 3.6 Mbps 1763.0 Pkts/sec
Last Minute 3.5 Mbps 1733.2 Pkts/sec
Last 5 Minutes 3.2 Mbps 1709.8 Pkts/sec
Peak 12.4 Mbps 2411.4 Pkts/sec
[^] # Re: ntop
Posté par vjm . Évalué à 4.
[^] # Re: ntop
Posté par Pierre Tramonson . Évalué à 9.
[^] # Re: ntop
Posté par vjm . Évalué à 4.
En plus en collecteur Netflow, NTop est incapable de démultiplexer des flux Netflow qui arriveraient tous sur un port. Résultat, un port par device Netflow qui exporte... Sur des réseaux un peu sérieux (plusieurs centaines de switchs, quelques dizaines de routeurs, etc.) c'est vraiment une plaie. Ca veut dire qu'avec NTop en collecteur Netflow, il ne vaut mieux visualiser que le coeur de réseau ou la sortie du réseau.
Il vaut probablement mieux essayer de combiner des solutions indépendantes genre softflowd en collecteur et flow-viewer en visualisation. Ou peut-être faire cracher à un collecteur Netflow du rrd visualisable à la demande (Netflow et Cacti peut-être). A tester (ça marche aussi sur du sflow).
Sinon j'ai vu et entendu beaucoup de bien de Argus pour faire du monitoring vraiment détaillé : http://www.qosient.com/argus/
# netflow
Posté par Yves Agostini (site web personnel) . Évalué à 3.
et softwlod pour collecter les flux sur les serveurs qui nat :
http://www.mindrot.org/projects/softflowd/
ce qui donne environ 25G de données / mois
et nagios pour la disponibilté
# IDS
Posté par Grumbl . Évalué à 2.
[^] # Re: IDS
Posté par Nils Ratusznik (site web personnel, Mastodon) . Évalué à 3.
Avec ntop tu peux voir qui (enfin, l'adresse IP) récupère l'ISO. Et accessoirement, aller lui demander de relancer son téléchargement quand tout le monde sera parti manger ;)
# Analyse de débit avec "Bing"
Posté par rexy74 . Évalué à 3.
Dans le même ordre d'idée, "mtr" (et son interface graphique "xmtr" ) utilise la même méthode pour déterminer les goulots d'étranglement au sein d'une chaîne de liaison.
site pour "bing" : http://fgouget.free.fr
site pour "mtr" : http://www.bitwizard.nl/mtr/
PS : Je peux fournir un support de cours relatif à l'exploitation de ces deux outils logiciels.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.