Analyse du réseau local

Transcription

1 Atelier des Opérations Avancées des Registres Analyse du réseau local These materials are licensed under the Creative Commons Attribution-Noncommercial 3. Unported license ( as part of the ICANN, ISOC and NSRC Registry Operations Curriculum.

2 Local Analysis Analyse Réseau Comme nous le savons Avant d'accuser le réseau, nous devons vérifier si le problème ne vient pas de nous Qu'est-ce qui peut etre fautif localement Problèmes matériel Charge excessive (CPU, mémoire, I/O) Qu'est qui est considéré normal? Utiliser fréquemment les outils d'analyse Familiarisez-vous avec les valeurs et états normaux de votre machine ( établissement des références ). Il est important de maintenir l'historique Agents SNMP et base de données

3 Linux Performance Analyses Locales Analysis Trois grandes catégories: Processus Mémoires Processus en cours d'exécution (actif) Processus en attente (inactif) Attendant leur tour bloqués Réelles Virtuelles I/O (Input/Output) Stockage Réseau

4 Indicateurs clés CPU insuffisant Nombre de processus attendant detre exécutés est souvant élévé Utilisation élévée du CPU (charge moyenne) Mémoire insuffisante Très peu de mémoire disponible Beaucoup d'activités SWAP (swap in, swap out) I/O lents Beaucoup de processus bloqués Nombre de transferts bloqués élévé

5 Analyses Locales Heureusement, sous Unix, il y a une douzaine d'outils utiles qui nous donne beaucoup d'informations sur notre machine Parmi les plus connus: vmstat top lsof netstat - dump - wireshark (ethereal) - iptraf - iperf

6 vmstat Montre des résumés périodiques d'information à propos des processus, mémoires, paging, I/O, état du CPU, etc vmstat <-options> <delay> <count> # vmstat 2 # vmstat 2 procs ory swap io system cpu---- rprocs b ory swpd free buff cache ---swap-si so -----io---bi bo --system-in cs us----cpu---sy id wa r b swpd free buff cache si so bi bo in cs us sy 73 id wa

7 top Outil de base de performance pour les environnements for Unix/Linux Montre périodiquement une liste de statistiques de performance système: Utilisation CPU Utilisation RAM et SWAP Charges moyennes (Utilisation du CPU) Information par processus

8 top suite. Information par processus (les colonnes les plus intéressantes): PID: ID du processus USER: Processus utilisateurs (propriétaires) %CPU: Percentage du CPU utilisé par le processus depuis le dernier échantillon %MEM: Percentage de mémoire physique (RAM) utilisée par le processus TIME: Temps total du CPU utilisé par le processus used depuis son démarrage

9 Charges moyennes Nombre moyen de processus qctifs dans les dernières 1, 5 and 15 minutes Une mesure pas très utile En fonction de la machine, les valeurs considérées normales peuvent varier: Les machines Multi-processeur peuvent gérer plus de processus actifs par unité de temps (Qu'une machine Mono-processeur)

10 top Quelques commandes clavier interactives pour top f : Ajout ou suppression de colonnes F : Specifier par quelle colonne trier <, > : Déplacer la colonne dans laquelle nous trions u : Specifier un utilisateur k : Specifier un processus à arreter d, s : Change l'intervalle de mise à jour de l'affichage

11 netstat Nous montre des informations: Connexions réseau Tables de routage Statistiques des interfaces (NIC) Membres de groupes Multicast

12 netstat Quelques options utiles -n: Montre adresses, ports et userids en format numérique -r: Table de routage -s: Statistiques par protocole -i: Status des interfaces -l: Sockets à l'écoute --, --udp: Specifie le protocole -A: Famille d'adresse [inet inet6 unix etc.] -p: Montre le nom de chaque processus pour chaque port -c: Montre sorties/résultats continuellement

13 netstat Exemples (suivre le long de): # netstat -anr # netstat -anr table Kernel IP routing Kernel IP routing table Destination Gateway Destination Gateway Genmask Flags Genmask U Flags UGU UG MSS Window irtt Iface MSS Iface Window irtt eth eth eth eth # netstat -o -t # netstat -o connections -t Active Internet (w/o servers) Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Proto Recv-Q Local Address Send-Q :ssh :ssh keepalive ( //) keepalive ( //) Foreign Address Foreign Address : :34155 State Timer State ESTABLISHED Timer ESTABLISHED # netstat -atv # netstat -atv Active Internet connections (servers and established) Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address Proto Recv-Q Send-Q Local Address Foreign Address *:ssh *:ssh :ssh : :ssh : [::]:ssh 6 [::]:ssh State State ESTABLISHED ESTABLISHED

14 netstat Exemples: # netstat -n -- -c # netstat -n -- -cservers) Active Internet connections (w/o Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Proto Recv-Q Send-Q Local Address 272 ::ffff: : ::ffff: :22 ::ffff: :22 ::ffff: :22 Foreign Address State Foreign Address State ::ffff: :6968 ESTABLISHED ::ffff: :6968 ESTABLISHED ESTABLISHED ::ffff: :53219 ::ffff: :53219 ESTABLISHED # netstat -lnp -- # netstat -lnp -- Active Internet connections (only servers) Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Proto Recv-Q Send-Q Local Address...:199...:199...:336...:336 Foreign Address Foreign Address...:*...:*...:*...:* State State PID/Program name PID/Program name 11645/snmpd 11645/snmpd 1997/mysqld 1997/mysqld # netstat -ic # netstat -ic table Kernel Interface Kernel Interface Iface MTU MettableRX-OK RX-ERR RX-DRP RX-OVR Iface MTU Met RX-OK RX-ERR eth RX-DRP RX-OVR loeth lo eth loeth lo eth eth lo lo eth 15 eth lo lo eth 15 eth TX-OK TX-ERR TX-DRP TX-OVR Flg TX-OK TX-ERR Flg TX-DRP TX-OVR BMRU BMRU 182 LRU 182 LRU BMRU BMRU 182 LRU 182 LRU BMRU BMRU 182 LRU 182 LRU BMRU BMRU 182 LRU 182 LRU BMRU BMRU

15 netstat suite. Exemples: # netstat listening --program # netstat listening --program Active Internet connections (only servers) Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Proto Recv-Q Send-Q Local Address *:51 *:51 localhost:mysql localhost:mysql *:www *:www t6-2.local:domain t6-2.local:domain t6-2.local:domain t6-2.local:domain t6-2.local:domain t6-2.local:domain localhost:domain localhost:domain localhost:ipp localhost:ipp localhost:smtp localhost:smtp localhost:953 localhost:953 *:https *:https 6 [::]:ftp 6 [::]:ftp 6 [::]:domain 6 [::]:domain 6 [::]:ssh 6 [::]:ssh 6 [::]:3 6 [::]:3 6 ip6-localhost:953 6 ip6-localhost:953 6 [::]:35 6 [::]:35 Foreign Address Foreign Address State State PID/Program name PID/Program name 13598/iperf 13598/iperf 5586/mysqld 5586/mysqld 7246/apache2 7246/apache2 5378/named 5378/named 5378/named 5378/named 5378/named 5378/named 5378/named 5378/named 5522/cupsd 5522/cupsd 6772/exim4 6772/exim4 5378/named 5378/named 7246/apache2 7246/apache2 7185/proftpd 7185/proftpd 5378/named 5378/named 5427/ 5427/ 17644/ntop 17644/ntop 5378/named 5378/named 17644/ntop 17644/ntop

16 netstat suite. $ sudo netstat -atup $ sudo netstat -atup Active Internet connections (servers and established) (if run as PID/Program name is included) Active Internet connections (servers and established) (if run as PID/Program name is included) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name *: /ekpd *: /ekpd localhost:mysql 2776/mysqld localhost:mysql 2776/mysqld *:www 14743/apache2 *:www 14743/apache2 d uoregon:domain 2616/named d uoregon:domain 2616/named *:ftp 348/vsftpd *:ftp 348/vsftpd localhost:domain 2616/named localhost:domain 2616/named *:ssh 2675/ *:ssh 2675/ localhost:ipp 3853/cupsd localhost:ipp 3853/cupsd localhost:smtp 3225/exim4 localhost:smtp 3225/exim4 localhost: /named localhost: /named *:https 14743/apache2 *:https 14743/apache2 6 [::]:domain 2616/named 6 [::]:domain 2616/named 6 [::]:ssh 2675/ 6 [::]:ssh 2675/ 6 ip6-localhost: /named 6 ip6-localhost: /named udp *: /avahi-daemon: udp *: /avahi-daemon: udp localhost:snmp 3368/snmpd udp localhost:snmp 3368/snmpd udp d uoregon:domain 2616/named udp d uoregon:domain 2616/named udp localhost:domain 2616/named udp localhost:domain 2616/named udp *:bootpc 13237/dhclient udp *:bootpc 13237/dhclient udp *:mdns 3828/avahi-daemon: udp *:mdns 3828/avahi-daemon: udp d uoregon.ed:ntp 3555/ntpd udp d uoregon.ed:ntp 3555/ntpd udp localhost:ntp 3555/ntpd udp localhost:ntp 3555/ntpd udp *:ntp 3555/ntpd udp *:ntp 3555/ntpd udp6 [::]:domain 2616/named udp6 [::]:domain 2616/named udp6 fe8::213:2ff:fe1f::ntp 3555/ntpd udp6 fe8::213:2ff:fe1f::ntp 3555/ntpd udp6 ip6-localhost:ntp 3555/ntpd udp6 ip6-localhost:ntp 3555/ntpd udp6 [::]:ntp 3555/ntpd udp6 [::]:ntp 3555/ntpd

17 lsof (LiSt of Open Files) lsof est particulièrement utile parce que sous Unix, tout est fichier : sockets unix, ip sockets ip, répertoires, etc. Vous permet d'associer les fichiers ouverts par: -p: PID ( ID Processus) -i : Une adresse réseau (protocole:port) -u: Un utilisateur

18 lsof Exemple: D'abord, netstat -ln determine que le port 61 est ouvert et attend une connexion () ##netstat -ln -- netstat -ln -- Active Internet connections (only servers) Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Proto Recv-Q Send-Q Local Address Foreign Address Foreign Address State State : :61...:*...:* : :611...:*...:*

19 lsof Determine quel processus a le port (61) ouvert et quelles autres ressources sont utilisées: # lsof -i :61 # lsof PID -i :61 COMMAND USER FD COMMAND 131 PID USER # lsof -p 131 # lsof -p COMMAND PID131 USER COMMAND131 PID USER TYPE DEVICE SIZE NODE NAME FD TYPE 5363 DEVICE SIZETCP NODE NAME 6u IPv4 localhost.localdomain:x11-ssh-offset () IPv u6u IPv6 7u IPv FD cwdfd cwd rtd rtd txt txt TYPE TYPE DIR DIR DIR DIR TCP[::1]:x11-ssh-offset localhost.localdomain:x11-ssh-offset () TCP () TCP [::1]:x11-ssh-offset () DEVICE SIZE NODE NAME DEVICE SIZE NODE / NAME / / /usr/sbin/ / /usr/sbin/ /usr/lib/libwrap.so /usr/lib/libwrap.so /lib/libutil-2.4.so /usr/lib/libz.so /lib/libutil-2.4.so /usr/lib/libz.so /lib/libnsl-2.4.so /usr/lib/libgssapi_krb5.so.2.2 /lib/libnsl-2.4.so /usr/lib/libgssapi_krb5.so /usr/lib/libkrb5support.so /usr/lib/libkrb5support.so /lib/libsetrans.so /lib/libcom_err.so.2.1 /lib/libsetrans.so /lib/libcom_err.so /usr/lib/libcrack.so /lib/security/pam_succeed_if.so /usr/lib/libcrack.so /lib/security/pam_succeed_if.so

20 lsof suite. Quels services réseau tournent pour moi? # lsof -i # lsof -ipid COMMAND USER FD COMMAND PID USER 5u FD firefox 4429 hervey firefox 4429 hervey > :www (ESTABLISHED 5u > :www (ESTABLISHED named 5378 bind 2u named 5378 bind 21u 2u named 5378 bind named 5378 bind 21u u 5427 cupsd u3u cupsd 5522 mysqld 5586 mysql 1u3u mysqld 5586 mysql 1u snmpd 6477 snmp 8u snmpd 6477Debian-exim snmp exim u8u exim Debian-exim ntpd 6859 ntp 16u3u ntpd 6859 ntp 16u ntpd 6859 ntp 17u ntpd 6859 ntp 17u ntpd 6859 ntp 18u ntpd 6859 ntp 19u 18u ntpd 6859 ntp ntpd 6859 ntp 19u proftpd 7185 proftpd 1u proftpd 7185 proftpd apache www-data 3u1u apache www-data apache www-data 4u3u apache www-data 4u iperf u iperf apache www-data 3u3u apache www-data apache2 www-data 4u3u apache www-data 4u TYPE DEVICE SIZE NODE NAME TYPE DEVICE SIZE TCP NODE :5689NAME IPv4 IPv TCP :5689IPv IPv IPv4 IPv IPv IPv IPv4 IPv IPv IPv IPv4 IPv IPv4 IPv IPv IPv IPv IPv IPv IPv IPv6 IPv IPv IPv IPv IPv IPv4 IPv TCP *:domain () TCPlocalhost:domain *:domain () TCP () TCP localhost:domain () TCP *:ssh () TCPlocalhost:ipp *:ssh () TCP () TCP localhost:ipp () TCP localhost:mysql () TCPlocalhost:snmp localhost:mysql () UDP UDPlocalhost:smtp localhost:snmp() TCP TCP localhost:smtp () UDP *:ntp UDP *:ntp UDP *:ntp UDP *:ntp UDP [fe8::25:56ff:fec:8]:ntp UDPip6-localhost:ntp [fe8::25:56ff:fec:8]:ntp UDP UDP ip6-localhost:ntp TCP *:ftp () TCP *:ftp() () TCP *:www TCP*:https *:www () TCP () TCP *:https () IPv IPv IPv IPv IPv4 IPv TCP *:51 () TCP*:www *:51 () TCP () TCP*:https *:www () TCP () TCP *:https ()

21 dump Montre les en-tetes des paquets recu par une interface donnée. Par option, filtrer avec les expressions. Vous permet d'envoyer des informations à un fichier pour analyses ultérieures. Demande des privilèges d' administrateur () puisque vous devez configurer des interface en mode promiscuous.

22 dump Quelques options utiles: -i : Specifier une interface (ex: -i eth) -l : Mettre la sortie standard en buffer (voir au fur et à mesure que vous capturez) -v, -vv, -vvv: Afficiche plus d'information -n : Pas de conversion adresses/noms (pas de DNS) -nn : Pas de traduction des numeros de ports -w : Ecrire les paquets dans un fichier -r : Lire les paquets d'un fichier créé avec '-w'

23 dump Expressions booléenne : Utilisant les opérateurs 'AND', 'OR', 'NOT' Les expressions consistent en une ou plusieurs primitives, qui consistent en un qualificatif et un ID (Nom ou numéro): Expression ::= [NOT] <primitive> [ AND OR NOT <primitive>...] <primitive> ::= <qualifier> <name number> <qualifier> ::= <type> <address> <protocol> <type> ::= host net port port range <address> ::= src dst <protocol> ::= ether fddi tr wlan ip ip6 arp rarp decnet udp

24 dump Exemples: Montre tout le trafic HTTP initié à partir de # dump -lnxvvv port 8 and src host # dump -lnxvvv port 8 and src host Montre tout le trafic initié de excepté SSH # dump -lnxvvv src host and not port 22 # dump -lnxvvv src host and not port 22

25 Wireshark Wireshark est un analyseur de paquets graphique basé sur libpcap, la e librairie que dump utilise pour capturer et stocker des paquets L'interface graphique a certains avantages incluant: Visualisation hiérarchique par protocole (drill-down) Suivre une conversation TCP (Follow TCP Stream) Couleurs pour distinguer les types de trafic Plein de statistiques, graphes, etc.

26 Wireshark Wireshark est le successeur de Ethereal: La combination de dump et wireshark peut etre très puissant. Par exemple: # dump -i eth1 -A -s15 -w dump.log port 21 $ sudo wireshark -r dump.log

27 Wireshark

28 iptraf Plusieurs statistiques et fonctions mesurables Par protocole/port Par taille de paquet Génère des logs Utilise le DNS pour traduire les adresses Avantages Simplicité Par Menu (utilise curses ) Configuration flexible

29 iptraf Vous pouvez le lancer periodiquement en background (-B) Il vous permet par exemple, de lancer comme tache programmée pour periodiquement analyser les logs. Générer des alarmes Sauvegarder dans une base de données A un grand nom.. Interactive Colorful IP LAN Monitor etc... Example: iptraf -i eth1

30 iptraf i eth Exemplaire de sortie de iptraf de la commande ci-dessus:

31 iperf Pour measurer le débit réseau entre deux points iperf a deux modes, serveur et client Facile à utiliser Très utile pour determiner les paramètres TCP optimum Taille de fenetre TCP (socket buffer) Taille maximale de segment MTU Voir man iperf pour plus

32 iperf En utilisant UDP, vous pouvez générer des rapports sur les paquets perdus et les instabilités (jitter) Vous pouvez lancer plusieurs sessions parallèles en utilisant les threads Supporte IPv6

33 iperf parameters Usage: iperf [-s -c host] [options] Usage: iperf [-s -c[-v --version] host] [options] iperf [-h --help] iperf [-h --help] [-v --version] Client/Server: Client/Server: -f, --format [kmkm] format to report: Kbits, Mbits, KBytes, MBytes --format# [kmkm] format to report: Mbits, KBytes, MBytes -i, -f, --interval seconds between periodickbits, bandwidth reports --interval # seconds between periodic bandwidth -l, -i, --len #[KM] length of buffer to read or write (defaultreports 8 KB) -l,--print_mss --len #[KM] length of buffer to readsegment or write (default 8 KB) -m, print TCP maximum size (MTU - TCP/IP header) --print_mss TCP maximum segment size (MTU - TCP/IP header) -p,-m, --port # serverprint port to listen on/connect to --port # use server to listen to -u,-p, --udp UDPport rather thanon/connect TCP --udp UDPwindow rather than -w,-u, --window #[KM]useTCP size TCP (socket buffer size) --window #[KM] TCP window size (socket buffer size) -B,-w, --bind <host> bind to <host>, an interface or multicast address --bind <host>forbind to <host>, an interface multicast address -C,-B, --compatibility use with older versions doesornot sent extra msgs --compatibility usemaximum with oldersegment versions does not sent extra msgs -M,-C, --mss # setfor TCP size (MTU - 4 bytes) --mss # setset TCP segment sizealgorithm (MTU - 4 bytes) -N,-M, --nodelay TCP nomaximum delay, disabling Nagle's --nodelay set TCP no delay,todisabling Nagle's Algorithm -V,-N, --IPv6Version Set the domain IPv6 -V, --IPv6Version Set the domain to IPv6 Server specific: Server specific: -s, --server run in server mode --server run in insingle serverthreaded mode UDP mode -U,-s, --single_udp run --single_udp runrun singleas threaded UDP mode -D,-U, --daemon theinserver a daemon -D, --daemon run the server as a daemon Client specific: Client specific: #[KM] for UDP, bandwidth to send at in bits/sec -b, --bandwidth -b, --bandwidth #[KM]1 Mbit/sec, for UDP, implies bandwidth (default -u) to send at in bits/sec (default implies -u) -c, --client <host> run 1 inmbit/sec, client mode, connecting to <host> --client <host> in client mode, connecting to <host> -d,-c, --dualtest Do arun bidirectional test simultaneously --dualtest Do a bidirectional test simultaneously -n,-d, --num #[KM] number of bytes to transmit (instead of -t) --num #[KM] number of bytes transmit (instead of -t) -r, -n, --tradeoff Do a bidirectional test to individually --tradeoff Do in a bidirectional individually -t,-r, --time # time seconds to test transmit for (default 1 secs) --time <name> # time in the seconds for (default 1 secs) -F,-t, --fileinput input data totobetransmit transmitted from a file --fileinput <name> data to be transmitted from a file -I, -F, --stdin input theinput datathe to be transmitted from stdin --stdin input the data tobidirectional be transmitted stdin -L,-I,--listenport # port to recieve testsfrom back on --listenport port to of recieve bidirectional tests back on -P,-L, --parallel # # number parallel client threads to run #time-to-live, number parallel (default client threads to run -T,-P, --ttl--parallel # forofmulticast 1) -T, --ttl # time-to-live, for multicast (default 1)

34 iperf - TCP $ iperf -s $ iperf -s Server listening on TCP port 51 Server listening on TCP port 51 TCP window size: 85.3 KByte (default) TCP window size: 85.3 KByte (default) [ 4] local port 51 connected with port 3961 [ 4] local port 51 connected with port 3961 [ 4] sec 68 KBytes 419 Kbits/sec [ 4] sec 68 KBytes 419 Kbits/sec # iperf -c nsrc.org # iperf -c nsrc.org Client connecting to nsrc.org, TCP port 51 Client connecting to nsrc.org, TCP port 51 TCP window size: 16. KByte (default) TCP window size: 16. KByte (default) [ 3] local port 3961 connected with port 51 [ 3] local port 3961 connected with port 51 [ 3].-1.3 sec 68 KBytes 485 Kbits/sec [ 3].-1.3 sec 68 KBytes 485 Kbits/sec

35 iperf - UDP # iperf -c host1 -u -b1m # iperf -c host1 -u -b1m Client connecting to nsdb, UDP port 51 Client connecting to nsdb, UDP port 51 Sending 147 byte datagrams Sending 147 byte datagrams UDP buffer size: 16 KByte (default) UDP buffer size: 16 KByte (default) [ ] local port 3966 connected with port 51 [ 3].-1. local port 3966 connected with port 51 [ 3] sec 114 MBytes 95.7 Mbits/sec 3]Sent.-1. sec 114 MBytes 95.7 Mbits/sec [ [ 3] datagrams 3]Server Sent datagrams [ [ 3] Report: [ 3] Server Report: [ 3].-1. sec 114 MBytes 95.7 Mbits/sec.184 ms 1/81378 (.12%) [ 3].-1. sec 114 MBytes 95.7 Mbits/sec.184 ms 1/81378 (.12%) $ iperf -s -u -i 1 $ iperf -s -u -i Server listening on UDP port 51 Server listening ondatagrams UDP port 51 Receiving 147 byte Receiving 147 byte datagrams UDP buffer size: 18 KByte (default) UDP buffer size: 18 KByte (default) [ ] local port 51 connected with port 3966 [ 3].local port Mbits/sec connected with port 3966 [ 3] sec 11.4 MBytes.184 ms / 8112 (%) 3] sec sec MBytes MBytes Mbits/sec Mbits/sec ms ms / (%) (%) [ [ 3] / [ 3] 1.2. sec 11.4 MBytes 95.7 Mbits/sec.177 ms / 8141 (%) [ 3] sec 11.4 MBytes 95.6 Mbits/sec.182 ms / 8133 (%) [ 3] sec 11.4 MBytes 95.6 Mbits/sec.182 ms / 8133 (%)... [... 3] sec 11.4 MBytes 95.7 Mbits/sec.177 ms / 8139 (%) [ 3] 8.9. sec 11.4 MBytes 95.7 Mbits/sec.177 ms / (%) (%) [ 3] sec 11.4 MBytes 95.7 Mbits/sec.18 ms / [ 3] sec 11.4 MBytes 95.7 Mbits/sec.18 ms / 8137 (%) [ 3].-1. sec 114 MBytes 95.7 Mbits/sec.184 ms 1/81378 (.12%) [ 3].-1. sec 114 MBytes 95.7 Mbits/sec.184 ms 1/81378 (.12%)

36 Bibliographie Monitoring Virtual Memory with vmstat How to use TCPDump linux command dump example simple usage of dump TCPDUMP Command man page with examples TCPDump Tutorial