TÀI LIỆU HƯỜNG DẪN CÀI ĐẶT VÀ SỬ DỤNG IPTRAF

 

 

 

IPTRAF là một tiện ích dùng để monitor mạng, thường được cài lên trên server gateway Nat và có nhiệm vụ capture packet trên mạng, đi ngang qua gateway và xuất ra các mẫu thông tin trong thời gian thực, thông tin được xuất ra bao gồm:

            + Đếm tổng số byte IP, TCP UDP, UDP, Non-IP

            + Địa chỉ và port của source và destination

            + Đếm số Byte và số gói tin TCP

            + Trạng thái TCP Flag

            + Thông tin nguồn và đích của gói tin UDP

            + Dịch vụ TCP và UDP trong trạng thái tĩnh

            + Đếm số gói tin đi qua Interface

I/ Cài đặt

- Download bản iptraf  version 2.7.0, các tham số mà hệ thống yêu cầu dưới đây được áp dụng cho phiên bản này

-         Iptraf chạy trên hệ thống linux với các thông số yêu cầu trước khi cài đặt:

o       Linux kernel 2.2.0 or cao hơn

o       Thư viện lập trình GNU C Library 2.1(glibc 2.1) or cao hơn

o       Trình biện dịch gcc 2.7.2.3 or cao hơn

o       Ncurses 4.2 or cao hơn( Thư viện lập trình)

 

Các câu lệnh kiểm tra cấu hình hệ thống trước khi cài đặt:

            Linux kernel : uname –a

            Thư viện lập trình GNU C Library: rpm –qa |grep glib

            Trình biên dịch gcc: rpm –qa|grep gcc

            Kiểm tra Ncurses : rpm –qa|grep ncurses, gồm 2 gói:

ncurses-devel-x.x-x.x

ncurses-x.x-x.x

                        Kiểm tra đường dẩn database terminfo: /usr/share/terminfo

-         Có thể download IpTraf bản mới nhất tại địa chỉ sau: ftp://iptraf.seul.org/pub/iptraf/.

-         Các bước cài đặt:

o       Sau khi download , gói phần mềm có đuôi là .tar.gz. giải nén vào thư mục hiện thời với câu lệnh sau: tar zxvf iptraf-x.y.z.tar.gz

o       Đến thư mục iptraf-x.y.z.tar.gz: cd iptraf-x.y.z

o       Biên dịch và cài đặt software, chạy script setup trong thu mục iptraf-x.y.z.tar.gz bằng câu lệnh sau: ./setup

-         Các bước cài đặt trên sẽ tạo các file thực thi iptraf nằm trong thư mục usr/local/bin

-         Khởi động chương trình : nhập câu lệnh sau : iptraf

 

*Nếu khi khởi động chương trình xuất hiện thông báo lỗi :Error opening terminal.

 Do Khi khởi động iptraf, chương trình tham chiếu đến database terminfo với đường dẩn sau:  /usr/share/terminfo, thong báo lỗi trên xuất hiện khi đường dẫn này đã bị thay đổi và cần phải cập nhập lại đường dẫn này bằng cách cập nhật lại biến môi trường:

        - Đặt 2 câu lệnh “TERMINFO=/usr/lib/terminfo(thư mục database terminfo), export TERMINFO” vào File /etc/profile

II/ Các config chính

Tại command line nhập iptraf , xuất hiện menu sau

- Chọn Configure, xuật hiện Configure menu

 

 

Set on tại các mục sau: Reverse DNS lookup (phân giải ip thành tên miền)

                                     TCP/UDP service name(phân giải port service thành tên)

                                     Color

                                     Logging

                                    Activity mode Kbyte/s

 

 

Sau khi tạo filter, phải apply filter, filter mới có hiệu lực.

 

III/ Các chức năng monitor chính

Có 2 chế độ giám sát thời gian thực

            IP Traffic Monitor: ở chế độ này để có thể giám sát được phải khởi động chương trình, nếu tắt màn hình chính thì không thể giám sát đươc cũng như về việc logging, nhưng thông tin rõ ràng , dể hiểu

            Background Operation : ở chế độ này, chương trình chạy nền bên dưới hệ thống và log lại , theo mặc định là /var/log/iptraf/ip_traffic-1.log, ta có thể giám sát real time bằng cách xem file log này

Chức năng IP Traffic Monitor : Tại Menu chính của chương trình, chọn dòng IP traffic monitor để giám sát giao thông mạng, tiếp theo Chọn interface cần giám sát: ALL, eth0, eth1 … để capture vác gói tin đi qua trên interface mà ta chọn lựa hoặc sẽ bắt gói tin trên tất cả interface (ALL).

Để thông tin hiện thị rõ ràng dể hiểu, thông tin xem ip nào đã đi những địa chỉ nào, ta nên chọn interface Gateway Lan (eth0 : 10.1.1.1)

 

Cửa sổ bên trên (Upper window) mô tả giao thông tcp đi qua trên interface, các thông tin hiển thị bao gồm :

o        Source address and port

o        Packet count

o        Byte count

o        Source MAC address(invisible)

o        Packet Size(invisible)

o        Window Size(invisible)

o        TCP flag statuses

o        Interface

Nhấn phím M để xem các thông tin bị invisible

Cửa sổ bên dưới(Bottom window) : mô tả giao các giao thông khác:UDP, ICMP OSPF, ARP, RARP …

 

Background operation

Background operation là chức năng cho phép chương trình chạy nền bên dưới của hệ thống và lưu lại vào file log , ta có thể xem file log trong thời gian thực để giám sát giao thông mạng thời gian thực

Nhập câu lệnh theo cú pháp sau :iptraf –i “interface giám sát” –B

ví dụ : Để giám sát interface eth1(Lan interface): iptraf –i eth1 –B

                        Để giám sát tất cả interface: iptraf –i all –B

            Monitor log : tail /var/log/iptraf/ten-file_log  -f

-         Xử lý và thống kê logging

Dùng chương trình phân tích logging Sawmill Enterprise 7.2.8. Sau khi download về, giải nén, trỏ đến thư mục vừa được giải nén và thực thi file ./sawmill.

Giao tiếp thông qua port 8987: http://x.x.x.x:8987

Sau khi truy cập , config một vài tham số như: update file log để chương trình xử lý, tạo user quản trị, bẻ khóa phần mềm…

Để dữ liệu phân tích vừa sát với thực tế, vừa không làm chậm hệ thống, ta setup chương trình để tự động update database 30 phút một lần.