Como monitorear el trafico de internet

Forums: 

Hola a todos, le comento lo que me sucede:

tengo un servidor linux pàra el acceso a internet y el correo electronico, el problema que tengo es que desde el sabado anterior mi trafico hacia y desde el internet se a incrementado, lo curioso es que se incremento en horas en las que anteriormente no habia trafico, por ejemplo desde las 20h00 hasta las 7h00, antes no tenia trafico, ahora es constante el trafico de entrada y salida. Lo que necesito es alguna herramienta que me permita determinar a que maquina se dirige el trafico que entra y de donde sale el trafico que se va para el internet. Pudiera ser un virus pero necesitaria siquiera el IP de la maquina para poder hacer algo o tal vez pudiera ser alguna intrusion

Por favor si me pueden dar alguna luz con respecto a este tema se los agredecere

Atte
Jaime

Primero revisa

Imagen de magozolutions

Primero revisa tus archivos de logs los puedes encontrar en tail /var/log/messages ahi te indica lo que hace tu server y quien ha ingresado como root, etc Luego revisate los puertos que tienes abiertos, los puedes hacer con nmap IP_Linux ó nmap localhost; IP_Linux es tu IP con who /var/log/wtmp ves las conexiones a tu sistema en el mes Carlos Guerrero Valarezo.

Imagen de RazaMetaL

http://www.ntop.org/ntop.html

[quote]
ntop is a network traffic probe that shows the network usage, similar to what the popular top Unix command does. ntop is based on libpcap and it has been written in a portable way in order to virtually run on every Unix platform and on Win32 as well.

ntop users can use a a web browser (e.g. netscape) to navigate through ntop (that acts as a web server) traffic information and get a dump of the network status. In the latter case, ntop can be seen as a simple RMON-like agent with an embedded web interface. The use of:

* a web interface
* limited configuration and administration via the web interface
* reduced CPU and memory usage (they vary according to network size and traffic)

make ntop easy to use and suitable for monitoring various kind of networks. [/quote]

-------------------------

Antes de preguntar visita esta dirección :evil:

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Duro y puro

Imagen de pepo

HOla...

Suena muy grave sobre todo porque se tratan de horas en donde es posible un ataque, yo te recomiendo sin duda que uses Nagios y Snort, otra herramienta (que en realidad no he tratado y he oido que es muy buena) es Tripwire

Te toca hacerlo rápido ya que si se trata de un ataque puede tener daños graves.

Linux User Registered #232544
Jabber : pepo@jabberes.org
ICQ : 337889406
GnuPG-key : www.keyserver.net

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
GnuPG-key : www.keyserver.net

Re: Como monitorear el trafico de internet

Imagen de diegox

Hola, este parece el caso tipico cuando alguien en tu red interna tiene programas p2p para bajarse musica, videos, etc, lo que puedes hacer para ver quien esta generando o bjandose trafico es utilizar el iptraf, en el menu de iptraf ubicate en la parte de LAN STATION MONITOR, ahi te pide que escojas la interface, escojes la interna, entonces ahi te aparecen las MAC address de las interface que el linux esta escuchando, entonces tienes que verle en la parte que dice InRate te dice la velocidad en la que las maquinas estaba bajandose algo, y en el OutRate te indica la maquina que envia mas trafico, con esto te puedes fijar cual es la que esta saturando, para saber cual ip corresponde a la MAC address le pones arp en el terminal, ojala te sirva, la opcion del ntop tambien es muy buena....

Jnettop es otra buena

Imagen de RazaMetaL

Jnettop es otra buena herramienta:

http://jnettop.kubs.info/

-------------------------

Antes de preguntar visita esta dirección :evil:

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Herramienta de Monitoreo

Imagen de claudiotm

Para detectar cúal es el usuario que está consumiendo el AB, simplemente puedes instalar el iptop. Este software observa el tráfico que genera cada host y el porcentaje de ancho de banda usado por cada uno de ellos, mediante un listado exhaustivo de cada maquina tanto de entrada como de salida. Facil de instalar y ejecutar. te puedes descargar desde http://dag.wieers.com/packages/iftop/ es un rpm. disponibles para Red Hat enterprise, Fedora.

 

Espero te sirva

C.T.

Iptraf :)

Imagen de damage

Tanto IPTRAF como Jnettop son buena herramientas el comando en iptraf es el siguiente
iptraf -l eth1 o en su defecto eth0, depende donde tengas puesta tu Lan, claro que en iptraf te van a dar el resultado en MAC Address, en el cual tu vez tanto la bajada como la subida, si no conoces de quien es el MAC que consume BW, tipea en el terminal "ip neig", esto te detalla que usuarios estan con conectividad te da tanto la IP como el MAC, si necesitas despues de esto màs detalle de lo que sucede en tu red como dice Razametal NTOP es una buena opciòn

yo uso ethereal

Imagen de JCMilleniuM

Lo más posible es que tengas un usuario que es pilas y como sabe q nadie usa el internet a esas horas de la noche ponga su cliente de p2p en uso para aprovechar al máximo el ancho de banda. Lo que te recomendaría es que dejes corriendo ethereal en tu router por la noche para que en la mañana tengas las estadisticas del pc que usa más la interface de salida al Internet. No he probado otras herramientas pero voy a tratar con ntop para ver que tiene de nuevo. Lo que más me interesaría a mi ya q que me imagino que tu servidor no tiene X es alguna herramienta que me permita ver el tráfico de la red por medio de una interface por WEB, yo te recomendaría si es que el problema es un cliente de p2p bloquear los puertos q usa el cliente de p2p con iptables ya que es posible que en un futuro ese u otro usuario vuelva a instalar un cliente de p2p y baje el rendimiento de la conexión, por lo menos el usuario que usa el cliente de p2p es conciente de que no es bueno dejarlo corriendo en la mañana que es cuando la gente usa el internet para otras cosas.

JCMilleniuM

www.freeserviciosenred.com

--
Ing. Juan Carlos Moreno A.

Re: Como monitorear el trafico de internet

[quote=jae]Hola a todos, le comento lo que me sucede:

tengo un servidor linux pàra el acceso a internet y el correo electronico, el problema que tengo es que desde el sabado anterior mi trafico hacia y desde el internet se a incrementado, lo curioso es que se incremento en horas en las que anteriormente no habia trafico, por ejemplo desde las 20h00 hasta las 7h00, antes no tenia trafico, ahora es constante el trafico de entrada y salida. Lo que necesito es alguna herramienta que me permita determinar a que maquina se dirige el trafico que entra y de donde sale el trafico que se va para el internet. Pudiera ser un virus pero necesitaria siquiera el IP de la maquina para poder hacer algo o tal vez pudiera ser alguna intrusion

Por favor si me pueden dar alguna luz con respecto a este tema se los agredecere

Atte
Jaime[/quote]
Muchas gracias a todos, sus comentarios y sugerencias fueron muy utililes
saludos

tengo un servidor linux

tengo un servidor linux pàra el acceso a internet, el problema que tengo es que no puedo ver trafico hacia y desde el internet, ahora mi internet esta lento pero es por causa de unos de mis usuarios que esta saturando mi red interna. necesito alguna herramienta que me permita determinar a que usuario esta consumiendo mas. tambien puedo decir que es virus que esta causando eso, quisiera saber cual es el intruso que por causa de el estoy con la a punto de explotar por lo menos quisiera su Ip para desconectarle de la red.
Por favor demen un golpe de ayuda se los agredeceré de todo corazon

liscar

Hola a todos quisiera que me ayudaran bloquear el msn. de los usuarios
por Ejemplo tengo varias redes que salen por un solo proxy y una de las redes quiero que no chateen AUXILIOOOO

Páginas