Üzemeltetés

Digitális õrszem – IPTraf Az IPTraf egy nagyon kényelmesen és egyszerûen használható hálózat-elemzõ program, amely segítséget nyújt a hálózatba kötött gépek adatforgalmának közvetlen, vagy közvetett figyelésére.

Az IPTraf telepítése nagyon egy- A kicsomagolás után következhet szerû. A hardverkövetelménye sze- a telepítés, amely ugyanúgy zajlik, rény, ezért gyakorlatilag az összes ma mind a forrás-, mind a lefordított használatos gépen képes mûködni, program esetén, csak a háttérben amiben van legalább 16 MBájt memó- zajló folyamatok lesznek mások. ria. Szoftverkövetelményére sem lehet Lépjünk be a könyvtárba, amit panaszunk, hiszen legalább 2.2-es a tar létrehozott, majd root jogosult- kernelt követel magának, de termé- ságokkal (ha nem root néven lép- szetesen mûködik a 2.4-es és a 2.6-os nénk, be, akkor használjuk a su sorozattal is. A fordításhoz sincs szük- parancsot) adjuk ki a ./Setup pa- ség különleges alkalmazás telepítésé- rancsot. Ez a parancsfájl felismeri, 1. ábra Az IPTraf indulása re, arra ügyeljünk, hogy az ncurses hogy bináris, vagy forrás állomány- a fejlesztõi eszközökkel együtt telepít- ból dolgozunk és ez utóbbi esetben ve legyen. automatikusan lefordítja a progra- üzenetet kapunk, amikor megpróbál- A programot legegyszerûbben az mot. A telepítés tulajdonképpen juk elindítani a programot, akkor va-  ftp://iptraf.seul.org/pub/iptraf a létrejött parancsok megfelelõ lószínûleg az adatbázis más útvonalon címrõl tölthetjük le tar.gz formátum- helyre másolását jelenti. Arra fi- található. Ilyen esetben keressük meg, © Kiskapu Kft. Minden jog fenntartva ban. A fájlnévben szerepel a verzió- gyeljünk, hogy a fordítás rendeben hogy melyik könyvtárban van, majd szám, ami a cikk írásakor a 2.7.0. lefusson, hiszen a parancsfájl nem adjuk ki a Az FTP helyen megtalálhatjuk ír ki semmilyen hibaüzenetet. Ezért a már lefordított bináris fájlt is, menjünk vissza a terminál ablakban TERMINFO=/usr/lib/terminfo amely az iptraf-2.7.0.bin.i386.tar.gz és ellenõrizzük, hogy nincs hibát nevet viseli. A letöltés biztosan tartalmazó sor. A telepítés alapértel- majd az nem vesz igénybe hosszú idõt, hi- mezett könyvtára a /usr/local/bin. szen alig több, mint 350 kB a mérete Persze ez eltérhet, ha nem a fent export TERMINFO a fájloknak. Sok terjesztésben említett módon telepítjük, hanem is megtalálható már, ezért azt is leel- a Linux terjesztésünk csomagját parancsokat. Persze az elérési útvona- lenõrizhetjük, hiszen ilyen esetben használjuk. A SuSE Linux alatt lat ne felejtsük el átírni. Ahhoz, hogy a telepítés sokkal egyszerûbb lesz. például a /usr/sbin könyvtárba ne kelljen minden újraindítás után Miután letöltöttük, ki kell csomagolni kerül a futtatható fájl. begépelni ezeket a parancsokat, berak- egy ideiglenes könyvtárba, amihez Miután végeztünk a telepítéssel, máris hatjuk õket a ~/.profile fájlba, ami használjuk a elindíthatjuk a programot, amihez minden bejelentkezésünkkor fog egyszerûen rendszergazdaként adjuk futni. Használhatjuk a rendszer tar -xzvf iptraf-2.7.0.tar.gz ki az iptraf parancsot. Meg kell /etc/profile fájlját is, ugyanis ez min- jelennie a az IPTraf köszöntõ képer- den operációs rendszer betöltõdéskor illetve a már lefordított fájl nyõjének amibõl bármilyen billentyû le fog futni. Ha bonyolultnak találjuk esetében a lenyomásával átléphetünk a fõmenü- ezt a mûveletsorozatot, akkor hoz- be (1. ábra). zunk létre a könyvtárra egy linket az tar -xzvf iptraf- Az IPTraf programnak szüksége alábbi paranccsal: 2.7.0.bin.i386.tar.gz van a terminfo adatbázisra, amit a /usr/share/terminfo útvonalon keres. ln -s /usr/lib/terminfo parancsot. Ha Error opening terminal hiba- /usr/share/terminfo

www.linuxvilag.hu 2006. február 49 Üzemeltetés

2. ábra Az IP forgalom figyelése 3. ábra Általános csatoló statisztika

© Kiskapu Kft. Minden jog fenntartva Persze ne felejtsük el átírni Az alsó ablakban a kapcsolatban hasz- jelen üzemmódjának indítása óta for- a megfelelõ könyvtárneveket. nált csomagok adatai láthatók, a mére- galmazott csomagok számát (Total), A program indulása után a menübõl ten túl a forrás- és célcím, valamint a használt IP címeket (IP), a nem IP tudjuk kiválasztani, hogy az öt a hálózati csatoló neve szerepel. Az S csomagokat (NonIP), a hibás IP csoma- üzemmód közül melyiket szeretnénk billentyûvel a sorba rendezés szem- gok számát (BadIP), valamint az éppen használni. Az üzemmódok a követ- pontját választhatjuk ki, mégpedig aktuális adatátviteli sebességet. Ezt az kezõk: két lehetõségbõl, a csomagok számá- üzemmódot mutatja be a 3. ábra. ból, illetve a csomagok méretébõl. IP forgalom figyelése Az IPTraf jelen verziója már helyesen Részletes csatoló statisztika (IP traffic monitor) kezeli és jeleníti meg azoknak a forga- (Detailed interface statistics) Ebben az üzemmódban a kiválasztott lomirányítóknak a forgalmát, amelyek Ez az elõzõ üzemmód bõvítése, amit csatolón folyó TCP adatforgalmat hálózati címfordítást (Network Address már csak egy csatolóra választhatunk vehetjük szemügyre. Az ablak két Translation, NAT) és IP cím elrejtést ki. A megjelenõ ablakban egy két- részbõl áll, a felsõ részben láthatjuk (IP Masquerading) végeznek. Ilyen dimenziós táblázatban tanulmányoz- a TCP kapcsolatok legfontosabb ada- vizsgálatakor minden csomagot két- hatjuk, a csomagok számát (Total tait: a forrás és a cél címét, valamint szer látunk, a bejövõ csomagok között Packets), méretét (Total Bytes), a bejö- a szolgáltatás portszámát, a csoma- éppúgy, mint a kimenõk között. võ csomagok számát (Incoming gok számát (Packets), méretét Packets) és méretét (Incoming Bytes), (Bytes), a kapcsolatnál használt álla- Általános csatolóstatisztika valamint a kimenõ csomagok számát potjelzõ biteket (Flags), valamint (General interface statistics) (Outgoing Packets) és méretét hogy a kapcsolat melyik csatolón Ebben az üzemmódban a számítógé- (Outgoing Bytes). Mindezeket az ada- keresztül jött létre. Az állapotjelzõ pükbe telepített csatolók összefoglaló tokat megmutatja a program az összes bitek meghatározzák, hogy az adatait látjuk. A táblázatban olvashat- csomagra, az IP csomagokra, a TCP, éppen feldolgozott keretek milyen juk a csatoló nevét (Iface), a program UDP és ICMP keretekre, valamint állapotban vannak. a más IP és hibás IP kapcso- Ezt az üzemmódot vehetjük latokra vonatkoztatva. szemügyre a 2. ábrán. A cí- A táblázat alatt sebesség mek mindig két részbõl, egy adatokhoz is hozzájutha- célból és egy forrásból áll- tunk, hiszen a program nak, amelyek között az megadja a teljes, a bejövõ és összetartozást egy kapocs a kimenõ, valamint az adat mutatja. A listában fel-le szórt csomagok számát és kurzormozgató billentyûk- méretét, ráadásul még azok- kel lépkedhetünk, így az nak az IP csomagoknak ablaknak az a tartalma is a számát is, amelyek IP el- elérhetõ, amely nem fér el lenõrzõ összege érvénytelen a képernyõn. Az M billen- volt. Ezekbõl az adatokból tyû lenyomásával a kapcso- már egy csatoló mûködésére lat csomag- és az ablakmé- következtetni tudunk. Ha retét is ellenõrizhetjük. Fon- sok a hibás ellenõrzõ össze- tos, hogy melyik ablakrész ges csomag, akkor az utalhat az aktív, ezek között a W 4. ábra Részletes csatoló statisztika hálózati hibára. Az ablak fel- billentyûvel válthatunk. építését mutatja az 4. ábra.

50 Linuxvilág Üzemeltetés

5. ábra TCP/UDP statisztikai üzemmód 6. ábra Helyi hálózat forgalmának figyelése

Statisztikai üzemmódban a program a csomagokat az szerint Ha nagy a forgalom a hálózatunkban, © Kiskapu Kft. Minden jog fenntartva (Statistical breakdowns) fogja sorba rendezni. Az ablak felépí- szükség lehet a hosszú listát valami- Mint a nevében is benne van, statiszti- tését az 5. ábrán vehetjük szemügyre. lyen szempont szerint rövidíteni, kákat kapunk a képernyõre. A menü- vagyis szûrni. Erre szolgál a Filters pontnak két további almenüje van, Helyi hálózati felügyelet menüpont, amely alatt szûrési feltéte- amivel kiválaszthatjuk, hogy a statisz- (LAN station monitor) leket adhatunk meg, törölhetünk szû- tika csomagméretre, vagy TCP/UDP Ebben az üzemmódban a hálózat for- rõt, illetve alkalmazhatjuk azt valame- portra vonatkozzon-e. Az elõbbi eset- galmát tudjuk felügyelni. Ez akkor lyik üzemmódban megkapott listára. ben egy olyan táblázatot kapunk, hasznos, ha például lelassul a hálóza- Ha a menüt kiválasztjuk, akkor a vá- amelyben csomagméret határok van- tunk, akkor ebben az üzemmódban laszthatunk a TCP (TCP...), az UDP, nak felsorolva és mindegyik után lát- kideríthetjük, hogy melyik számító- a más IP (Other IP...), az ARP, a RARP ható, hogy hány darab csomag volt gép bonyolít nagy forgalmat, ami és a nem IP (Non-IP...) lehetõségek a felügyeleti idõszakban abban a tarto- esetleg okozhatja a lassulást. közül. Az almenü jobboldalán látható, mányban. A csomagméretbe nem tar- Az egyéb okokból kialakuló lassulást hogy milyen szûrési feltételek vannak tozik bele az adatkapcsolati fejrész, más, az eddig ismertetett üzemmó- beállítva a különbözõ, elõbb felsorolt és a maximális méretet az MTU dokban kereshetjük meg. Két dolog- területeken. A TCP... pont alatt új (Maximum Tranfer Unit, maximális ra kell felhívnom a figyelmet. Az szûrési feltételt tudunk felvenni adatátviteli egység) határozza meg. egyik, hogy a számítógép, amelyen (Define custom TCP filter...), érvénye- A TCP/UDP statisztikában egy táblá- elindítottuk az IPTraf-ot, is szerepel- síteni tudjuk a szûrõt (Apply custom zatban felsorolja a program a portokat ni a fog a listában. Ha ez a számító- TCP filter...), szerkeszthetjük a szû- (protokoll/portszám), valamint az eze- gép egy forgalomirányító, akkor va- rõinket (Edit custom TCP filter...), ken keresztülment csomagok számát lószínûleg ennek lesz a legnagyobb valamint törölhetjük is azokat és méretét, valamint, hogy ezek közül a forgalma, hiszen a teljes hálózati (Delete custom filter...). mennyi volt bejövõ és mennyi volt ki- adatkapcsolat rajta keresztül zajlik. A szûrõ létrehozásnál, tartozzon bár- menõ csomag. Ha nem tudjuk, hogy Ha a listát sorban szeretnénk látni, melyik protokollhoz is, kell adnunk melyik port milyen szolgáltatáshoz használjuk az S billentyût, ahol kivá- egy nevet a szabálynak, majd meg tartozik, segítségünkre lehet laszthatjuk, hogy milyen szempont kell adnunk a forrás (First) és a cél a /etc/services fájl, amit a szerint szeretnénk ezt megtenni. IP címét (Second), a hálózati maszkot A másik, amit megemlítenék, hogy (Wildcar mask), valamint a portot. less /etc/services a kártyák fizikai, vagyis Nem árt tudnunk, hogy a forrás- címe látható a listában. Ebbõl még és célcím szerepkörök felcserélõd- paranccsal írathatunk ki a képernyõre, nem tudjuk, hogy melyik gépben ta- hetnek, a kétirányú kapcsolat követ- vagy esetleg a listát szûrhetjük is lálható a hálózati kártya, ezért ehhez keztében, valamint, hogy konkrét a grep paranccsal, amihez például használhatjuk a forgalomirányítón gépek címéhez a hálózati maszk a 80-as számot tartalmazó sorokhoz az /sbin/arp parancsot, amely kiírja, 255.255.255.255. Ha valamelyik cí- az alábbi formában használhatjuk hogy melyik IP címhez milyen met nem szeretnénk megadni, akkor Ethernet cím párosul, valamint azt is, használjunk ott 0.0.0.0 IP címet és less /etc/services | grep 80 hogy ez melyik hálózati csatolón a hálózati maszk is 0.0.0.0 legyen. keresztül érhetõ el. Ennek az üzem- Az is meghatározhatjuk, hogy azo- A listát sokféleképpen sorba rendez- módnak a segítségével már nem kat a csomagokat lássuk, amelyek hetjük, amit az S billentyû lenyomásá- tudnak a nagy hálózati forgalmat megfelelnek a szûrési feltételnek val tudunk eldönteni. Itt gyakorlatilag generáló számítógépek megbújni. (Include, I), vagy azokat, amelyek minden oszlopot kiválaszthatunk és Ezt az üzemmódot mutatja be a 6. ábra. nem (Exclude, E). A mezõk között

www.linuxvilag.hu 2006. február 51 Üzemeltetés

A Force promiscuous (válogatás nélkü- li csomagvizsgálat) bekapcsolásával a kártyát ebbe az üzemmódba kap- csolhatjuk. Ahhoz, hogy megértsük, mit is jelent ez, egy kicsit a hálózati csatolók és a hálózatok mûködésébe is be kell tekintenünk. Alapesetben a hálózati csatoló csak azokat a kere- teket veszi, amelyekben az õ Ethernet címe (MAC cím) szerepel, mint cél- cím. Pontosabban a bemeneti átmene- ti tárba minden keret beírásra kerül, de a felsõbb rétegek felé már csak azokat küldi el, amely ténylegesen a mi számítógépünknek szól. Ha a kártyát átállítjuk promiscuous üzemmódba, akkor minden keretet © Kiskapu Kft. Minden jog fenntartva továbbítani fog a felsõbb rétegek felé. Ezzel gyakorlatilag akár a szegmens teljes hálózati forgalmát le lehet hall- gatni. Ha egy szerveren futtatjuk 7. ábra Új TCP szûrõ definiálása a programot, akkor alapvetõen min- den forgalom rajta keresztül zajlik, viszont ha nem, akkor is rendkívül a tabulátorral mozoghatunk, míg Gateway Routing Protocol, bel- hasznos lehet ennek a módnak az Enter billentyûvel elfogadhatjuk sõ forgalomirányító átjáró proto- a használata. Azt is meg kell említe- a beállításokat, a CTRL+X kombiná- koll),aGRE (General Routing nem, hogy nem minden hálózati cióval pedig kiléphetünk. A 7. ábrán Encapsulation, általános zárt forga- kártya képes ennek az üzemmódnak egy minta látható, ahol azt vizs- lomirányítás) és más IP protokoll a kezelésére. gáljuk, hogy a 192.168.2.0/ (Oth IP) közül. Ha mindegyiket A Color (szín) magért beszél, ha 255.255.255.0 hálózatban milyen szeretnénk vizsgálni, megtehetjük engedélyezzük, akkor a program web-re irányuló forgalom van. az Y billentyûvel. színesben fut, egyéb esetben pedig Az UDP... menü alatt hasonló lehetõ- Az ARP (Address Resolution Protocol, szürke árnyalatosan. ségeink vannak, azonban itt még címfeloldó protokoll) és a RARP A naplózás (Logging) bekapcsolásával két további pontot is kiválasztha- (Reverse Address Resolution Protocol, az a forgalom, amit a program a kép- tunk, az egyikkel az összes UDP inverz címfeloldó protokoll) üzeneteit ernyõn mutat, egy fájlban is tárolásra csomagot engedélyezhetjük is megjeleníthetjük (Visible), vagy kerül. A naplófájlnak a nevét és az (Show all UDP packets), míg a má- éppen elrejthetjük (Not visible) elérési útvonalát a hálózatfigyelés sikkal az összes nem UDP csomagot a különbözõ üzemmódokban. elõtt minden üzemmódnál megkérde- jeleníthetjük meg a képernyõn A két lehetõség közül az Enter zi tõlünk a program. A /var/log/iptraf (Show no UDP packets). billentyûvel válthatunk. könyvtár szolgál ezeknek az állomá- Érdekes lehet az Other IP... pont, A nem IP csomagok (Non-IP) látható- nyoknak a tárolására. ugyanis itt azokat a csomagokat ságát is tilthatjuk (Non visible), vagy Azt is beállíthatjuk, hogy az átvi- szûrhetjük, amelyek nem az aktív engedélyezhetjük (Visible). A prog- teli sebességnél kbit/s vagy kBájt adatátvitelben vesznek részt, ha- ram beállításait finomhangolhatjuk mértékegység közül melyiket nem egyéb adatvezérlési szerepük a Config menüpontban. Kissé összetett szeretnénk használni. Erre szolgál van, mint például az irányító pro- ablakot kapunk, ha kiválasztjuk ezt az aktivitás mód (Activity mode) tokollokban használt csomagok. a menüpontot. menüpont. Éppen ezért a szûrõ meghatározásá- A Reverse DNS lookup (inverz DNS Amennyiben szeretnénk a hálózati nál azt is megadhatjuk, hogy milyen névfeloldás) bekapcsolt állapotában forgalom figyelésénél a forrásgép fizi- protokoll látszódjon. Választhatunk az IPTraf megpróbálja a tartomány- kai (MAC) címét is látni, akkor állítsuk az ICMP (Internet Control Message neveket és az IP címeket feloldani. át ezt a Source MAC addrs in traffic Protocol, internet üzenettovábbító Ehhez persze DNS szerverre van monitor menüpontban. protkoll), az IGMP (Internet Group szükség, illetve a /etc/hosts fájlban A Timers menüpont alatt idõzítési Management Protocol, internet cso- megfelelõ módon be kell jegyezni beállításokat végezhetünk el. A TCP port menedzselõ protokoll), az OSPF a számítógépeinket. timeout... (TCP idõtúllépés) pont alatt (, nyílt legrö- A TCP/UDP service names (TCP/UDP percekben tudjuk megadni azt az videbb út elõször protokoll), az IGP szolgáltatás nevek) bekapcsolásával idõt, aminek letelte után a a kap- (Interior Gateway Protocol, belsõ a portok helyett a szolgáltatás nevét csolatot megszakadtnak tekintjük. átjáró protokoll), az IGRP (Interior láthatjuk a képernyõn. Alapértelmezés szerint ez 15 perc.

52 Linuxvilág Üzemeltetés

A Log Interval... (naplózási idõtarto- Az IPTraf rendelkezik egy nagyon paranccsal kaphatunk információt. mány) menüben felülbírálhatjuk az hasznos lehetõséggel, amely fõleg rend- Mit láthattuk, az IPTraf program- a 60 perces értéket, amíg az IPTraf szeres használat mellett hálálja meg nak nagyon sok lehetõsége van a különbözõ üzemmódok adatait el- magát. Amint már láttuk a hálózatban és megfelelõ tudással nagyon sok helyezi egy fájlba a megadott helyre. adatokat cserélõ gépeket a fizikai cím mindent el tud árulni a számító- Természetes azt is beállíthatjuk, alapján azonosítja és jeleníti meg. géphálózatunkról és az abban folyó hogy milyen gyakorisággal frissüljön Ahogy már említettem az ARP táblát adatforgalomról. A rendszergazdák- (Screen update interval...) a különbö- kiírathatjuk, amibõl megtudhatjuk az nak egy nagyon hasznos eszköz, zõ üzemmódokban összeállított lista. IP címet és ezzel együtt már beazono- akár automatizálva a teljes forgalom Itt másodpercekben adhatjuk meg az síthatjuk a számítógépet. Az Ethernet/ felderíthetõ. Arra azonban ügye- idõt. A TCP closed/idle persistence... PLIP host descriptions... menüpontban lünk, ha a naplózást bekapcsoltuk, menüpontban azt tudjuk meghatá- lehetõségünk van a fizikai címhez le- akkor elég tetemes mennyiségû rozni, hogy az IPTraf mennyi idõ írást párosítani, amivel az ARP tábla adatot képes eltárolni, ami pedig elteltével távolítsa el a TCP ablakból alapján történõ címfeloldást megtaka- akár pár nap alatt is betölthet egy a megszakadt, lezárt vagy forgalom- ríthatjuk magunknak. Ha ezt elvégez- /var partíciót. Ennek a kezelésére mentes kapcsolatokat. zük, akkor a forgalom felügyeletnél is megvannak a módszerek, Az Additional ports... menüpont alatt a MAC cím mellett a gép leírása is de azt már nem ennek a cikknek meg tudjuk adni annak olvasható lesz. Ezt a funkciót a gyûrû a feladata bemutatni. © Kiskapu Kft. Minden jog fenntartva a porttartománynak az elejét és topológiájú hálózatokban is használhat- a végét, amelyet vizsgáltatni szeret- juk, ebben az esetben az FDDI/Token Markó Imre nénk az IPTraf programmal. Alapér- Ring host descriptions... menüpontban ([email protected]) telmezés szerint az IPTraf csak a jól adjuk meg a címek leírását. ismert szolgáltatások portjait vizsgálja, Az IPTraf nem csak a menürend- Hardvermérnök és mér- amelyek portszáma 1024 alatti. szerén keresztül kezelhetõ, hanem nöktanár végzettsége Ha szeretnénk a magasabb portokat a fenti üzemmódokba parancssori van. Saját cégében forgalmát is megjeleníteni, akkor itt kapcsolókkal beléptethetõ, amivel Linux rendszerek tervezésével megadhatjuk ezt. Ha már nincs szük- akár automatizálni is lehet a futását. és üzemeltetésével foglalkozik. ségünk a kiegészítõ porttartományra, A kapcsolókról az Ezen kívül egy fõiskolán oktat, akkor azt törölni a Delete port/range... elsõsorban hardveres tantárgyakat. menüponttal lehet. iptraf --help

www.linuxvilag.hu 2006. február 53