Audit des flux réseaux

11 réponses
Avatar
C. Mourad Jaber
Bonjour,

Je constate une forte augmentation de trafic (x5) sur un des serveurs que je gère (debian
Lenny)...

J'ai procédé à des vérifications sur les services actifs et les logs, et rien ne semble
illustrer cette augmentation (pas plus de sollicitation de spam, pas plus de tentative
d'accès ssh)...

Est-il possible d'auditer l'ensemble des flux réseaux, pendant 24h, par exemple pour
pouvoir savoir à quel moment et quel service est sollicité dans ce contexte ?

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E81FAF7.4070702@nativobject.net

10 réponses

1 2
Avatar
Jean-Yves F. Barbier
On Tue, 27 Sep 2011 18:33:59 +0200, "C. Mourad Jaber"
wrote:

Je constate une forte augmentation de trafic (x5) sur un des serveurs que je
gère (debian Lenny)...

J'ai procédé à des vérifications sur les services act ifs et les logs, et
rien ne semble illustrer cette augmentation (pas plus de sollicitation de
spam, pas plus de tentative d'accès ssh)...



Ca serait bien de préciser ce que tu sers (HTTP, video/audio, DB,
pastrami, ...).

Est-il possible d'auditer l'ensemble des flux réseaux, pendant 24h, par
exemple pour pouvoir savoir à quel moment et quel service est sollic ité dans
ce contexte ?



Normalement l'augmentation de trafic devrait se remarquer en analysant
sommairement /var/log/daemon.log &| ceux du/des svr HTTP; sinon il va fallo ir
augmenter le niveau de log de tous les services ET attendre, le temps d'avo ir
une Nlle référence (niveau normal) avec cette augmentation du log ging.

Si le svr est en prise avec le web, tu peux aussi ajouter du logging dans le
setup du FW.

--
Beam me up, Scotty!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Ken-Patrick Lehrmann
Le 27/09/2011 18:33, C. Mourad Jaber a écrit :
Bonjour,



Bonjour,

Est-il possible d'auditer l'ensemble des flux réseaux, pendant 24h, par
exemple pour pouvoir savoir à quel moment et quel service est sollicité
dans ce contexte ?



Je connais ntop pour faire ça.

++
Ken-Patrick

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Daniel Huhardeaux
Le 27/09/2011 18:33, C. Mourad Jaber a écrit :
Bonjour,



Bonsoir


Je constate une forte augmentation de trafic (x5) sur un des serveurs
que je gère (debian Lenny)...

J'ai procédé à des vérifications sur les services actifs et les logs,
et rien ne semble illustrer cette augmentation (pas plus de
sollicitation de spam, pas plus de tentative d'accès ssh)...

Est-il possible d'auditer l'ensemble des flux réseaux, pendant 24h,
par exemple pour pouvoir savoir à quel moment et quel service est
sollicité dans ce contexte ?



aptitude install ntop

--
Daniel Huhardeaux
+ SKYPE,GTALK
+ tootaiNET

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Gary
Bonjour,
Il vous reste la possibilité d'utiliser ntop :)


--
Gary BLUM -- Société Cyber-Rezo SAS
Gérant & Administrateur Systèmes/Réseaux
URL: http://www.cyber-rezo.net


-----Message d'origine-----
De : Jean-Yves F. Barbier [mailto:]
Envoyé : mardi 27 septembre 2011 19:12
À :
Objet : Re: Audit des flux réseaux

On Tue, 27 Sep 2011 18:33:59 +0200, "C. Mourad Jaber"

wrote:

> Je constate une forte augmentation de trafic (x5) sur un des serveurs q ue
je
> gère (debian Lenny)...
>
> J'ai procédé à des vérifications sur les services actifs et les logs, et
> rien ne semble illustrer cette augmentation (pas plus de sollicitation de
> spam, pas plus de tentative d'accès ssh)...

Ca serait bien de préciser ce que tu sers (HTTP, video/audio, DB,
pastrami, ...).

> Est-il possible d'auditer l'ensemble des flux réseaux, pendant 24h, p ar
> exemple pour pouvoir savoir à quel moment et quel service est sollici té
dans
> ce contexte ?

Normalement l'augmentation de trafic devrait se remarquer en analysant
sommairement /var/log/daemon.log &| ceux du/des svr HTTP; sinon il va
falloir
augmenter le niveau de log de tous les services ET attendre, le temps d'a voir
une Nlle référence (niveau normal) avec cette augmentation du logging .

Si le svr est en prise avec le web, tu peux aussi ajouter du logging dans le
setup du FW.

--
Beam me up, Scotty!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Yves F. Barbier
On Tue, 27 Sep 2011 17:22:10 +0000, Gary wrote:

Il vous reste la possibilité d'utiliser ntop :)



Je ne connaissais pas, ça a l'air pômal.

--
One difference between a man and a machine is that a machine is quiet
when well oiled.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
fra-duf-no-spam
Le 15244ième jour après Epoch,
C. Mourad Jaber écrivait:

Est-il possible d'auditer l'ensemble des flux réseaux, pendant 24h,
par exemple pour pouvoir savoir à quel moment et quel service est
sollicité dans ce contexte ?



Arrête le serveur, tu vas bien voir qui vient râler parce que " ça marche
pas" :)

Sinon, ya ntop. Gourmant il me semble, mais efficace.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
sabazyo
Bonjour,
J'aimerai savoir quelle était la différence entre l'option -X et -Y de ssh.
J'ai trouver ce document :
http://www.hsc.fr/ressources/breves/ssh-x11.html.fr

Mais je comprend pas la qu'elle de ces 2 option était plus sécurise.

Cordialement sabazyo

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
C. Mourad Jaber
Salut Jérome,

Je pense que j'ai trouvé, c'est tout bête, c'est une machine qui utilise du iscsi et
auparavant il était monitoré à part...

Pour preuve, j'ai fait une copie d'un gros fichier (+ de 2Go) et cela à déclenché pic
d'utilisation du réseau !

Merci pour vos conseils, j'ai découvert d'intéressants outils !

++

Mourad

Le 27/09/2011 19:11, a écrit :
Bonjour Mourad
Pourquoi ne pas capturer avec tcpdump tout ce qui arrive sur ton interface ?
Jerome
---- Envoyé avec BlackBerry® d'Orange ----

-----Original Message-----
From: "C. Mourad Jaber"
Date: Tue, 27 Sep 2011 18:33:59
To: debian
Reply-To:
Subject: Audit des flux réseaux

Bonjour,

Je constate une forte augmentation de trafic (x5) sur un des serveurs que je gère (debian
Lenny)...

J'ai procédé à des vérifications sur les services actifs et les logs, et rien ne semble
illustrer cette augmentation (pas plus de sollicitation de spam, pas plus de tentative
d'accès ssh)...

Est-il possible d'auditer l'ensemble des flux réseaux, pendant 24h, par exemple pour
pouvoir savoir à quel moment et quel service est sollicité dans ce contexte ?

++

Mourad




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Michel OLTRA
Bonjour,


Le mardi 27 septembre 2011, C. Mourad Jaber a écrit...


Est-il possible d'auditer l'ensemble des flux réseaux, pendant 24h,
par exemple pour pouvoir savoir à quel moment et quel service est
sollicité dans ce contexte ?



J'utilise une petite application qui s'appelle nfsen. N'existe pas en
paquet, il faut donc le compiler. Elle se base sur fprobe, qui est
empaqueté. Ça délivre les résultats dans une application ouèbe pour plus
de commodités, mais on peut avoir les résultats en ligne de commande via
nfdump.

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Stephane Bortzmeyer
On Tue, Sep 27, 2011 at 10:10:15PM +0200,
sabazyo wrote
a message of 17 lines which said:

J'aimerai savoir quelle était la différence entre l'option -X et -Y de ssh.



C'est mal de voler les fils de discussion.

http://www.bortzmeyer.org/ne-pas-voler-les-fils.html

----------------------------

On voit parfois, sur les listes de discussion, une personne commencer
un nouveau sujet en *répondant* à un message précédent. Cela se nomme
*voler un fil* et cela est une pratique gênante Pourquoi ?

Parce que les discussions par courrier électronique sont organisées en
*fils* de discussion ("threads" en anglais, parfois traduit par
« thème » ou par « conversation ») et que cette pratique revient à
mélanger deux fils, rendant ainsi plus difficile leur lecture.

Ces fils sont matérialisés, dans le message, par des en-têtes
spécifiques, décrits dans la norme, le RFC 5322. Ces en-têtes, non
affichées par défaut par la plupart des logiciels, sont :
* In-Reply-To
* References
Prenant comme valeur un *identificateur* de message ("Message ID"), ils
permettent aux logiciels de reconstruire les fils et de les afficher
proprement. Même si vous ne voyez pas ces en-têtes, les logiciels les
lisent et modifient leur comportement.

Ainsi, si un message contient l'identificateur suivant :

Message-ID:

la réponse, la suite du fil, comprendra :


In-Reply-To:
permettant ainsi aux logiciels de suivre le fil.

On peut voir cette organisation en fils avec, par exemple, des
logiciels d'archivage des listes comme Mhonarc. Voici des exemples de
pages Web montrant des fils de discussion :
* http://xmlfr.org/listes/xml-tech/2007/09/index.html
* http://fr.groups.yahoo.com/group/Unicode-Afrique/?m=0 (le nombre de
messages de chaque fil est indiqué après le sujet)

De nombreux MUA permettent d'afficher les fils. Avec le MUA mutt,
afficher les messages par fils se fait avec l'option set sort=threads
dans le fichier de configuration (on peut aussi changer l'affichage
dynamiquement avec la commande sort-mailbox, habituellement appelée par
la touche o).

De même, beaucoup de MUA permettent d'ignorer complètement un fil. Si
vous volez un fil existant, vos message seront donc également ignorés.

Donc, pour résumer, si vous voulez commencer un nouveau sujet, ne volez
*pas* un fil de discussion existant. Créez un nouveau message.

Merci aux auteurs de l'excellent texte
<http://linux.sgms-centre.com/misc/netiquette.fr.php> sur la
nétiquette, qui comprend une section sur ce sujet.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
1 2