Descubra o tráfego de rede por IP

Temos um servidor central que funciona como um gateway da Internet. Este servidor está conectado à Internet e, usando o iptables, encaminhamos o tráfego e compartilhamos a conexão com a Internet entre todos os computadores da rede. Isso funciona muito bem.

No entanto, às vezes a internet fica muito lenta. Provavelmente, um dos usuários está baixando vídeos ou outros arquivos grandes. Eu quero identificar o culpado. Estou pensando em instalar uma ferramenta que possa monitorar o tráfego de rede que passa pelo servidor, por IP. De preferência em tempo real, bem como um total acumulado (novamente por IP). Alguma ferramenta recomendada para isso? De preferência algo nos repositórios do Ubuntu.

Vou ter que ser barato e copiar minha resposta desta pergunta .

O ntop é provavelmente a melhor solução para fazer isso. Ele foi projetado para ser executado a longo prazo e capturar exatamente o que você está procurando.
Ele pode mostrar para quais clientes estão recebendo / enviando mais tráfego, para onde estão recebendo / enviando, para quais protocolos e portas estão sendo usadas etc.
Em seguida, ele usa uma GUI da web para navegar e exibir essas informações.

O ntop é uma ferramenta bastante conhecida, então eu ficaria muito surpreso se não estiver no repositório de pacotes do Ubuntu.

O ntop pode fornecer exatamente o que você está pedindo. Ele coleta dados sobre todo o tráfego que flui pela sua rede (e pode coletar dados de outras redes se eles tiverem um dispositivo configurado para enviar dados do netfow ao seu sistema).

Ele mostrará todos os hosts da rede, com quanta largura de banda eles usaram. Isso permitirá que você faça uma busca detalhada em cada host e veja que tipo de tráfego eles estão gerando e para / de quem. Isso permitirá que você veja as conexões TCP estabelecidas no momento. Você pode se perder por dias analisando os dados que eles podem fornecer.

O programa pode ser um pouco complicado, dependendo de como você tem as opções configuradas.

Você pode verificar os contadores existentes no iptables para ver se algo parece fora de linha,

Também é possível adicionar regras de contabilidade às tabelas de ip, usadas apenas para gerar contagens de tráfego. Uma ferramenta como o Shorewall facilita isso e possui documentação específica sobre regras de contabilidade

Houve pesquisas mostrando que os grandes buffers nos roteadores podem causar problemas de desempenho. Convém tentar moldar o tráfego para um pouco menos que a capacidade da rede. Shorewall oferece algumas abordagens para modelagem de tráfego. Isso também pode ser usado para priorizar certos tipos de tráfego.

Se você identificar um usuário cujo uso da largura de banda é excessivo, você tem algumas opções:

• Discuta o problema com eles e lembre-os de sua política de uso;
• Bloquear o acesso ao serviço e / ou site que está usando a largura de banda;
• Limitar o tráfego para o serviço e / ou site que está usando a largura de banda; e / ou
• Limite o tráfego para o usuário em questão.

Para ver o uso em tempo real por IP (em vez disso, por IP e porta):

sudo apt install tcptrack
sudo tcptrack -i eth0

Para ver o uso em tempo real pelo endereço MAC, uma boa ferramenta baseada em ncurses é iptraf-ng:

sudo apt install iptraf-ng
sudo iptraf-ng

(E então, selecione "LAN station monitor → eth0".)

Para ver o volume diário agregado de dados por IP, o meu favorito é ipfm. Instale com:

sudo apt install ipfm

Em seguida, configure de /etc/ipfm.confacordo com man ipfm.confe comece com sudo ipfm.