1. Linux Sunucularda Bandwitch Monitoring Araçları
Bu dökümanda network kullanımında komut satırı araçlarının terminalde kullanılması ve bu
araçlarda hakkında bilgi edinilmesi amaçlanmıştır. Dağıtım olarak Linux Centos 6.5 minimal
iso tercih edilmiş; Oracle Virtual Box uygulaması ile sanal makina image’ ikullanılmıştır. Putty
programı ile terminale bağlanılmış komutlar ssh protokolü üzerinden çalıştırılmıştır.
Sanal makinamızda çalışan dağtımızın ip adresini öğrenip ssh protokolü ile putty ile
bağlanacağız. Önce ifconfig ile ip adresimizi görelim.
Daha sonra ip adresimizi putty programını çalıştırıp şekildeki gibi linux dağıtımımıza bağlantı
kurabiliriz.
2. Bağlantı yapıldıktan sonra şekildeki gibi bizden login olmamızı isteyecektir. Başlangıçta root
kullanıcı ve belirlediğimiz komutla login olmamız faydalı olacaktır. root kullanıcı linux
sistemlerde en yetkin kullanıcı olduğu için komutları kullanmamız izinler açısından herhangi
bir sıkıntı oluşturmayacaktır.
3. Dağıtmımızın internete çıkıp çıkmamağını öğrenmek için ping google.com sorgu atıyoruz ve
ekranda göründüğü gibi icmp echo cevapları dönüyor yani makinamız internete çıkıyor.
4. Linux komut satırı araçları ve diğer network security monotoring araçları çoğu gelen ve giden
ağ trafiğinin dinlenmesi, hackerların veya attackerların dışarıdan yaptıkları saldırıların
anlaşılması, tcp/ip paket analizi açısından önemlidir. Linux makinalarda bazı kullanışlı
komutlar bandwicth kullanımımızı detaylı olarak anlamaya yarar. Farklı mekanizmalara sahip
olan komut satırı araçları özel bir ağ trafik raporu çıkarmamıza imkan tanırlar. pcap
kütüphanesini kullanarak bütün trafiği bile yakalayabilmektedirler. Ve bu trafik boyutunu
hesaplayabilmektedirler.
Komutların ve komut satırı araçlarının kullanım alanlarına göre aşağıdaki gibi sıralanmıştır.
Herbiri yapılacağı test ortamına göre farklılık gösterebilmektedir.
** Tüm bandwidhtnload,
bmon,slurm,bwmng,
cbm,speedometer,netload
** Tüm bandwidht (output ile birlikte) vnstat,
ifstat,dstat,collectl
** Bandwidht her process için nethogs
** Bandwidht her soket bağlantısı için iftop,iptraf,tcptrack,pkstat,netwacht,trafshow
** nload
nload basit bir komut satırı aracı olup gelen ve giden ağ trafiğinin denetlenmesi adına
önemlidir. Ek olarak paketleri göstermek için bir grafik çizerek daha iyi anlamıza imkan
tanımaktadır. Kullanımı basittir. Farklı opsiyonları desteklememektedir. bandwicht kullanımı
ile ilgili özel processlerin monitoring edilmesi için bu aracı kullanabilirsiniz.
5. Ayrıca Centos Epel repolarından yüklendiğini unutmayınız.
** iftop
Nload tan farklı olarak iftop komutu örnek bir veri şeması ile soket bağlantılarının gösterimine
de imkan tanır. Network adaptörü dinlenerek, pcap kütüphanesi ile trafiğin yakalanmasına
imkan tanır. Toplam bandwicht kullanımı hesaplar. Bandwicht kullanılmasını hesaplamasına
rağmen process isimlerini ve süreçlerini göstermemektedir. pcap kütüphanesi sayesinde
trafiğin filtrelenmesi, bandwicht kullanılmı şeçili hostlara göre yapılmasına imkan tanımaktadır.
6. iftop komutununun yüklenmesi için yine epel reoplarının dağıtımınızda olması gerekmektedir.
Sanal makina ve ana bilgisayarımız olduğun için sadece ikisinin ip adreslerini görebiliyoruz.
Başka sanal makina imageniz varsa internet çıktığını buradanda görebilirsiniz. Vmware sanal
makinamızda kurulu olan Ubuntu’yu çalıştırdığımızdaki örnek ekran alıntısı.
7. ** iptraf
iptraf interaktif ve renkli ip Lan monitoring aracı. Bağlantıları göebilmemize olanak
tanımaktadır. Hosttaki bağlantılar bunlar. Bunun yanı sıra data flow oluşturmaktadır.
konsoldan iptraf komutunu veriyoruz.
8. Devam etmek için herhangi bir tuşa basıyoruz. Ve karşımıza monitoring yapmak istediğimiz
araçlar gelmektedir. İstediğiniz seçeneği seçebilirsiniz. Biz örnek olması açısından ip traffic
monitor seçeneğini seçiyoruz. Siz de kurduğunuz zaman diğer seçenekleri test ediniz.
9. Farklı arayüzleri komut satırından görebilirdik. Ama bir tane eth0 arayüzümüz var. All
interfaces seçeneği ile devam ederek gidiyoruz.
10. Artık tüm arayüzlerin monitoring işlemi başlamıştır. Şekildeki gibi ekran çıktısını sizde
denediğiniz zaman almalısınız.
11. ** nethogs
nethogs aracı küçük bir “net top” aracı olarak; önemli processleri, en öenmli top komutu
çıktılarını kısaltarak listelemektedir. Centos Desktop ya da farklı bir desktop kullanıyorsanız
aşağıdaki gibi bir çıktı alabilirsiniz. Sunucu tarafında pek kullanışlı değildir.
Centos 6.5 teki örnek ekran alıntımız.
12. ** Bmon
Bmon(Bandwicht monitor) olarak adlandırılan bu araç nload benzeri bir araçtır. Bütün
arayüzlerdeki network trafiğini ve oturum bildilerini “packet level “ detaylarını görmemize
yarar.
** vnstat
vnstat network trafik monitor aracı olmakla birlikte diğer araçlardan biraz farklıdır. Background
serviste çalışan ve data transfer,, boyutunu gösteren komut satırı aracıdır. yum install vnstat
komutu ile öncelikle Centos 6.5 indirmeniz gerekmektedir. Daha sonra service vnstat status
komut ile çalışıp çalışmadığını öğrenmeniz gerekmektedir.
13. Daha sonra çalıştığını öğrendikten sonra {vnstat l
i
eth0 } komutu ile dinlenecek ağ trafiği
komutu girilmelidir.
Belirli bir süre ağ trafiği dinlendikten sonra aşağıdaki gibi ekran çıktısını görebiliriz.
Trafik istatistikleri şekildeki gibidir. max, ort, min ve bytes bilgileri
** Bwmng
Bwmng
(Bandwidth Monitor Next Generation) yeni nesil monitoring aracı olup gerçek zamanlı
monitoring yapılmasına imkan tanımaktadır. Verilerin transferini, bütün netwrok arayüzlerini
denetleyebilme gibi yeteneklere sahip bir araçtır.
14. ** Trafshow
trafshow komutu netwacth ve pkstat araçlarına benzer; aktif bağlantıları görmemizi sağlar.
Bağlantıların protokolleri, veri transfer hızlarını,gösterir. Sadece tcp bağlantılarının monitoring
yapılmasını sağlar. Ayrıca dış bağlantıları pcap kütüphanesini kullanarak filtreler.
Öncelikle komut satırından trafshow i
eth0 tcp komutu ile dinleme yapalım.
Daha sonra aktif bağlantıları aşağıdaki gibi görebiliriz.
15. ** dstat
dstat python ile yazılmış çok yönlü bir araç olmakla birlikte, farklı sistemlerin monitor
istatistiklerini görmemizi sağlamaktadır. Bu örnek network bant genişliğini bildirmek için dstat
nasıl kullanılacağını göstermektedir.
** collectl
collectl aracı dstat benzer bir şekilde bir araç olmakla birlikte, çeşitli sistem kaynaklarıdan
istatistikleri toplamaktadır. Örneği cpu, memory, network gibi.
Aşağıda basit bir network/bandwicht kullanım istatistiği bulunmaktadır.
16. Linux sistemlerde ister bandwicht olsun, ister network security monitoring araçları olsun ya da
basit komut satırı araçları olsun kullanıldığı yer önemlidir. Forensic, Monitoring, Malware
analizi, saldırı tespit ve önleme sistemleri gibi güvenlik sınır bileşenlerinin önemli olduğu
noktalarda önem arz etmektedir. Bu yazımız Linux Komut Satırı 101 niteliğinde olup araçları
farklı komutlar ile test edebilirsiniz. Basit ama kullanışlı olmakla birlikte kullanmanız önemlidir.
Enterprise tarafında farklı güvenlik çözümleri için özelleşmiş monitoring araçlarıda
bulunmaktadır.
Referanslar:
http://www.binarytides.com/linuxcommandsmonitornetwork/
http://www.tecmint.com/commandlinetoolstomonitorlinuxperformance/
http://sagan.quadrantsec.com/