Cela consiste à mesurer l’utilisation des activités majeures du trafic. Il est possible d’obtenir des statistiques individuelles pour chaque machine d’un sous réseau ainsi que pour le sous réseau dans sa globalité, grâce à une simple observation du réseau (mode promiscuous).

Tous les paquets capturés (ou "sniffés") sont détaillés pour obtenir la paire émetteur / destinataire.

2.2 La surveillance du trafic

Cela représente la capacité à identifier les situations lors desquelles le trafic réseau n’est pas conforme aux

Politiques et règles imposées par l’administrateur. Par exemple une station dépasse un seuil imposé,

car par exemple le système d’exploitation, les interfaces réseau ou les applications logicielles sont mal configurés.

3 MRTG : Multi Router Traffic Grapher

Site web : http://people.ee.ethz.ch/~oetiker/webtools/mrtg/

3.1 Qu’est-ce qu’MRTG?

Le Multi Router Traffic Grapher (MRTG, Traceur de graphiques sur le Trafic Multi Routeur) est un outil de métrologie réseau, qui permet de surveiller la charge sur les liens du réseau. MRTG est codé en Perl et C, ce qui lui permet de fonctionner sous Unix et Windows NT.

Il peut générer des pages HTML contenant des images PNG qui fournissent une representation visuelle en temps réel du trafic.

MRTG se base sur les paquets SNMP (Simple Network Management Protocol) émis sur le réseau. Il est

aussi très performant pour l’analyse des routeurs.

3.2 Fonctionnalités

Avec MRTG il est possible de surveiller :

– Les débits ADSL

– Le volume échangé sur la connexion ADSL

– Le traffic sur le réseau local

– Les temps de latence

– Les requêtes DNS

– Le nombre de connexion, visites

– Le CPU, la mémoire et les processus

– Une analyse complète des requêtes et des réponses d’Apache

FIG. 3 – Analyse du débit ADSL

Les différentes informations obtenues en "sniffant" le réseau (mode promiscuous pour la carte réseau) sont

regroupées et synthétisées sous formes de graphiques. On peut uns si analyser les goulets d’étranglement du réseau (bande passante, serveur, protocole, service, etc.) et y apporter des solutions.

Moi je l’ai installé sur une distribution SME (serveur Web). Il faut utiliser la commande « cfgmager public172.16.32.16 > /etc/mrtg/switch.cfg » pour crée un dossier graphe dans etc/mrtg

Chemin des scripts, puis modifier la page de l’index pour ajouter notre graphe.

Pour aide voir : http://sme.swerts-knudsen.dk/index.html?frame=http%3A//sme.swerts-knudsen.dk/howtos/howto_6.htm%23Manual%2520MRTG%2520installation.

4 NTOP

Site web : http://www.ntop.org/

4.1 Introduction

Ntop délivre une quantité impressionnante d'informations sur le trafic de votre réseau. Un bon emplacement consiste à le placer avant votre routeur de sortie sur internet. Vous pouvez ainsi observer pratiquement toutes les caractéristiques du trafic (entrant et sortant). Pour cela, une interface web est proposée (ntop peut se lancer également en mode ligne). Attention, Ntop peut poser des problèmes de sécurité lorsqu'il est lancé avec l'interface web. Il y a eu deux avis du CERT-Renater concernant les distributions RedHat et Debian .(Pour mois RedHat avec ntop3).

4.2 Qu’est-ce qu’NTOP?

Ntop est un outil multiplateformes (Unix, Linux, Windows) d’analyse du réseau. Il permet d’observer

l’utilisation du réseau comme le fait la commande "top" sous linux pour les processus.

Ntop est un analyseur de paquets hybride, car il n’est pas un pur analyseur Ethernet (couche 2) ni un pur analyseur TCP/IP (couche 3).

Ntop se divise en deux composants :

– le premier, dit "ntop classique", comprend un serveur WEB;

– le second, dit "intop" pour ntop interactif, est un "network shell" basé sur le moteur ntop.

Ntop se comportant comme un serveur Web, les utilisateurs peuvent accéder à ses fonctionnalités via

un navigateur Internet (Opéra, Netscape,. . . ) et ainsi avoir une idée de la charge du réseau, et l’état du réseau.

Habituellement il écoute sur le port 3000 ; les statistiques seront donc accessibles à l’adresse http:

//hostname|ip:3000/ ou en https.

Cette interface Web, qui permet la configuration et la visualisation des statistiques en temps réel, est simple d’emploi et convient parfaitement au monitoring des réseaux.

Intop procure au sniffer de packet, qui est le noyau ntop, une interface puissante et flexible.

Ntop ne peut être considéré comme un simple navigateur Web, en considération de l’ensemble des fonctionnalité qu’il met à disposition de l’utilisateur. Le moteur de ntop capture les paquets en premier lieu, analyse le trafic et gère le stockage des informations. Intop assure au final l’affichage des utilisations du réseau.

4.3 Fonctionnement

Ntop fonctionne dans un terminal ou bien en tant que démon (mode nécessaire pour l'interface web). Il est constitué de huit ou neuf processus (suivant les options) dont au moins un est constamment présent dans les processus actifs. Chacun prend la même quantité de mémoire, mais attention, ce chiffre augmente avec la quantité de trafic observé. Il est de 5% au lancement, et au bout d'un certain temps (dépendant de l'ampleur du trafic), il dépasse les 20%. Et certaines fois deux ou trois processus tournent pendant quelques instants en même temps. Vous devez donc penser soit à le réinitialiser assez souvent, soit à lui dédier une machine.

4.4 Fonctionnalités de ntop

– Tri et affichage du trafic réseau par protocole

– Tri et affichage du trafic réseau en fonction de nombreux critères

– Affichage de statistiques sur le trafic

– Stockage persistant des statistiques trafic au format RRD

– Identification des utilisateurs de "poste de travail" (par exemple par les adresses mails)

– Identification passive de l’OS de l’hôte

– Affiche la répartition du trafic IP sur les différents protocoles

– Analyse du trafic IP et tri en fonction de la source / destination

– Affichage de la matrice de sous réseau du trafic IP (qui parle à qui ?)

– Rapport d’utilisation du protocole IP trié par type de protocole

– Collecte les flots générés par les routeurs et switchs

– Statistiques sur les domaines internet, les VLAN (Virtual LAN)

– Décodeurs pour certains protocoles P2P

– Génération de graphiques

– Différenciation multicast / broadcast / unicast

– Produce RMON-like network traffic statistics

– Statistiques de traffic réseau similaire à RMON (sondes de mesure utilisant le protocole SNMP)

4.5 Interfaces et médias supportés par ntop :

– Loopback (trafic de la machine locale vers elle-même)

– Ethernet (y compris Wifi)

– Token ring

– FDDI

– PPP / PPPOE (PPP Over Ethernet) : connexions par modem RTC ou ADSL

L’utilisation mémoire dépend de la configuration de ntop, du nombre d’hotes, du nombre de session TCP

active. En général la charge s’étend de quelques Mo pour un petit LAN à 100 Mo pour un WAN. L’utilisation CPU dépend de la configuration de ntop et des conditions des échanges.

Sur un poste standard, sur un grand réseau LAN, elle est inférieure à 10%. Un avantage est que l’interface Web est peu gourmande en CPU et en mémoire vive.

Protocoles supportés :

– IP, IPX

– TCP/UDP (FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11)

– Netbios

– OSI

– DLC (ex. : HDLC)

– AppleTalk, DecNet. . .

4.6 Options intéressantes

– -d : Ntop sera lancé en tant que daemon, c’est à dire démarré en tâche de fond ;

– -S : Cette option indique à ntop qu’il doit sauver les informations concernant le trafic lorsqu’il s’arrête.

Les valeurs possibles sont : 0 = ne stocker aucun hôte, 1 = stocker tous les hôtes, 2 = ne stocker que les

hôtes locaux. Ainsi ntop ne perd pas les statistiques du trafic au fur et à mesure des sessions ;

– -p <protocols list> : renseigne sur les protocoles à intercepter ;

– -i : interface interceptant le trafic ;

– -w ip:3000 : adresse du serveur web, pour rendre consultable les résultats sur le web ;

4.7 Vue du logiciel

4.7.1 Information machine

À tout endroit dans les pages web, en cliquant sur un nom de machine, vous accéderez aux informations qui lui sont propres : son adresse IP, la dernière fois qu'un paquet en rapport avec lui a été vu, son domaine, sa Mac adresse, le vendeur, l'OS, le total des données échangées en bits, le trafic local et externe et le routeur par défaut (figure 4)...

FIG. 4

informations sur un hôte

puis les protocoles qu'il a utilisé (la figure 5 concerne un routeur)...

FIG. 5

protocoles employés par l'hôte

et enfin trois tableaux : les dernières adresses contactées, les ports concernés et un historique des sessions IP (TCP et UDP) (figure 6).

FIG. 6

informations sur un hôte, suite.

4.7.2 Data Rcvd et Data Sent

Vous observerez ici le trafic reçu et envoyé par chaque machine (pas seulement celles de votre réseau). Il vous est présenté à chaque fois en trois tableaux.

Le premier tableau vous donne, pour chaque adresse transitant sur le réseau, les protocoles qu'elle utilise (figure 7). Le deuxième ne prend en compte que le trafic IP. Vous savez ainsi pour une machine, le sevice employé : HTTP, FTP, Telnet... Le volume du trafic est donnée en Kb et en pourcentage. Le dernier tableau montre pour chaque adresse le volume instantané du trafic, la moyenne et le maximum atteint (en bits et en paquets par seconde).

FIG. 7

ntop -> Data Sent

4.7.3 Statistiques

Sur ces pages sont regroupées les caractéristiques globales du trafic.

Le trafic multicast : Chaque machine qui envoie ou reçoit du trafic multicast est répertoriée dans un tableau avec la quantité (en bits et paquets) de données correspondantes (figure 8).

FIG. 8

ntop -> stats -> multicast

Le trafic : C'est ici que l'on trouve certains des signes vitaux du réseau : charge totale, broadcast, multicast. Il manque les collisions et les erreurs. Mais il s'agit quand même d'un véritable diagnostic de l'état du trafic :

quelques informations sur l'interface d'écoute, le nom de domaine, le temps écoulé depuis le démarrage de ntop (figure 9).

FIG. 9

ntop -> stats -> traffic

les informations sur le nombre de paquets capturés, le taux de multicast, de broadcast, avec un camembert. En un clin d'œil, vous savez si votre réseau se porte bien (figure 10).

FIG. 10

ntop -> stats -> traffic

la taille des paquets circulant sur le réseau peut être aussi un bon critère pour la sécurité, un pourcentage élevé de petits paquets peut signifier que votre réseau est victime d'un scan (figure 11) :

FIG. 11

ntop -> stats -> traffic

vient ensuite le trafic en bits, et la comparaison entre le trafic IP et non IP (figure 12) :

FIG. 12

ntop -> stats -> traffic

le flux en bits et par paquets. Il est donné à l'instant même, sur une période d'une minute, sur les cinq dernières minutes et vous avez également le maximum (figure 13) :

FIG. 13

ntop -> stats -> traffic

deux tableaux-histogrammes avec sur l'un, les informations des protocoles du niveau réseau, et sur l'autre des protocoles encapsulés par IP (figure 14). Vous savez ainsi le type et le pourcentage des données transitant sur le réseau.

FIG. 14

ntop -> stats -> traffic

Hosts : un tableau de tous les hôtes “circulant sur le réseau”, avec leur adresse IP, le domaine, leur MAC adresse, un deuxième nom quand il est trouvé (numéro Apple ou nom microsoft), et une barre représentant la bande passante (figure 15).

FIG. 15

ntop -> stats -> hosts

Throughput : trois graphiques représentant le trafic sur l'interface (lors de la dernière heure, la journée et le mois. Ces graphiques ne sont pas très précis, et sont éphémères (figure 16). Mais vous pouvez cliquer dessus et atteindre une nouvelle page. Celle-ci classe pour chaque minute (de la dernière heure) les trois machines qui ont reçu ou envoyé le plus de trafic (figure 17).

FIG. 16

ntop -> stats -> Throughput

FIG. 17

ntop -> stats -> Throughput Statistics Matrix

Domaine : un tableau donnant les noms de domaine rencontrés sur le réseau et la quantité de données pour chacun suivant les protocoles TCP, UDP, ICMP, IGMP et OSPF (figure 18).

FIG. 18

ntop -> stats -> Domain

quelques plugins tel que Wapplugin, remoteInterface, nfsWatch, LastSeen, icmpWatch, arpWatch. Attention, certains d'entre eux plantent souvent ntop. Et pour les avoir, il faut lancer ntop depuis le répertoire d'installation (figure 19).

FIG. 19

ntop -> stats -> Plugins

4.7.4 IP Trafics

Cette section et la suivante décortiquent le trafic sur IP. Celle-ci donne des informations sur le trafic venant de l'extérieur, sortant du réseau et le trafic local.

R->L : Remote to Local. Cette page présente les machines ayant communiqué avec votre réseau. Vous saurez l'adresse IP et la quantité de bits échangés pour chacune, ainsi que le trafic global (figure 20).

FIG. 20

ntop -> stats -> R to L

L->R : Local to Remote. Les mêmes informations vues de l'intérieur du réseau (figure 21).

FIG. 21

ntop -> stats -> L to R

L<->L : Local to Local. Le trafic interne global de votre réseau et suivant chaque poste. Le tableau est du même type qu'à la figure 20.

Matrix : c'est une matrice 2D où sont présents tous vos postes. On peut observer ici le trafic entre chaque ordinateur (figure 22). Sur celle-ci, on voit nettement que kaki est un serveur : toutes les machines communiquent avec lui.

FIG. 22

ntop -> stats -> Matrix

4.7.5 IP Protocoles

Sur les pages Web suivantes, les informations présentées concerne le trafic IP suivant les protocoles de la couche application.

Distribution : Cette page regroupe la classification des protocoles par histogramme. Cette information est donnée pour les flux entrant, sortant, et local (figure 23). Un camembert est aussi présent, indiquant d'un coup d'œil la part du trafic venant de l'extérieur par rapport au trafic local.

FIG. 23

ntop -> IP Protocol -> Distribution

Usage : Un tableau où l'on trouve les ports (donc les protocoles) qui sont ou ont été utilisés avec les machines concernées (clientes et serveurs, figure 24).

FIG. 24

ntop -> IP Protocol -> Usage

Session : Ce tableau répertorie toutes les sessions TCP actives. Vous avez le nom du client et du serveur, ainsi que les numéro de ports concernés de chaque côté, la quantité de données qui transite pendant la connexion, ainsi que la durée de celle-ci (figure 25).

FIG. 25

ntop -> IP Protocol -> Session

Routers : Un petit tableau récapitulant quelles sont les postes internes qui communiquent avec le(s) routeur(s).

4.7.6 Admin

Dans cette section se trouvent les commandes d'administration de ntop accessibles par le web. La page Switch NIC vous permet de changer l'interface d'écoute. Reset Stats permet de remettre à zéro toutes les statistiques. Vous pouvez également arrêter Ntop à partir du web, ajouter des utilisateurs, ainsi que des urls.

5 Conclusion

Ntop est un logiciel complet et stable. Il lui manque peut-être deux fonctionnalités pour être un analyseur professionnel : une sauvegarde des données et la visualisation des trames. On a parfois l'impression en parcourant les pages que l'information est redondante. Mais ce n'est qu'une impression. Tout tableau ou graphe n'est pas là par hasard. Ils sont tous utiles. En fait, tout dépend de l'information que l'on recherche

Merci à Cyrille B