![[LinuxFocus-icon]](../../common/images/logolftop_319x45.gif){kind=small} |
|
|
 |
|
![[Photo of the Author]](../../common/images2/MarioMKnopf.jpg)
Mario M. Knopf (homepage) Yazar hakkýnda: Mario Linux ile meþgul olmaktan hoþlanýr. Özellikle að ve güvenlik konularýyla ilgilenir. Türkçe'ye çeviri: Ceyhun Elmas <ceyhun.elmas(at)linuxfocus.org> Ýçerik: |
darkstat - bir að trafik analisti![[Illustration]](../../common/images2/article346/darkstat.jpg)
Özet:
Bu yazý bir að trafik analiz programý "darkstat" 'ý anlatýyor ve programýn yüklenmesi ve kullanýmýyla ilgili bilgiler veriyor.
|
"darkstat" [1] bir að izleme aracýdýr. Bu program ile að tarfik analizi yapabilir ve çýkan istatistiki verileri bir html dosyasýna aktarabilirsiniz. Bu þekilde sonuçlarý bir web tarayýcý program (browser) üzerinden inceleyebilirsiniz. Bu aþamada programýn yazarý Emil Mikulic, uzun zamandýr "ntop" [2] kullanýyor. Fakat bu programýn henüz eksikleri var ve bellek kullanýmý oldukça kötü. Bu nedenle "darkstat"'ý geliþtirmeye karar veriyor. Adreslenmiþ istatistikler konaklar arasýndaki iletiþimi , trafiðin kaynaklarýný ve çözümlenmiþ iletiþim protokllerine alternetif olarak da port numaralarýný kullanýyor. Program ile Ýleri düzeyde diagram ve zaman aralýklarýyla toplanmýþ analiz edilmiþ paketler elde etmek olanaklý.
Programý [3] altýnda bulabilirsiniz. Bir diðer yol da yansý yöreleri kullanmanýz : [4] ve [5]. Eðer Debian için arýyorsanýz [6]'ya bakýn.
"darkstat" da diðer að izleme araçlarý gibi "libpcap"- [7] dosyasýna gerek duyar. Bu paketlerin yakalanmasýnda að aygýtlarý tarafýndan analiz edilmesinde kullanýlan bir kitaplýktýr. "darkstat" yüklemek için bu kitaplýða gerek duyuyoruz. library.
Sonra bilinen üçlü sýryla derleyin : "./configure && make && make install". Burada önemli olan bu son komutun root yetkileriyle verilmesi.
"darkstat" açýlýþta bazý parametreler sorar. Bununla birlikte herhangi bir seçenek belirlemeden de baþlanabilir. Programýn çalýþabilmesi için root olarak ya da "sudo"-yetkileriyle baþlatýlmalýdýr [8]:
neo5k@proteus> sudo /usr/local/sbin/darkstat Eminiz ki baðlý olduðunuz sistem yöneticisinden iki konuda þu önemli uyarýyý almýþsýnýzdýr : #1) Diðer kullanýcýlarýn haklarýna saygý. #2) Bir komut vermeden önce birkez daha düþünmek. Password:
kullanýcý adý ve þifre girdikten sonra , "darkstat" bir takým mesajlar vererek açýlýr:
darkstat v2.6 using libpcap v2.4 (i686-pc-linux-gnu) Firing up threads... Sniffing on device eth0, local IP is 192.168.1.1 DNS: Thread is awake. WWW: Thread is awake and awaiting connections. WWW: You are using the English language version. GRAPH: Starting at 8 secs, 51 mins, 22hrs, 30 days. Can't load db from darkstat.db, starting from scratch. ACCT: Capturing traffic... Point your browser at http://localhost:666/ to see the stats.
Bu þekilde açýldýktan sonra açýlýþ parametrelerine göz atabiliriz .
Baþta söylediðimiz gibi "darkstat" açýlýþda bazý seçenekler sunar :
"-i" seçeneðiyle izlecek aygýtý girebilirsiniz.
darkstat -i eth1
Ayrý bir deðer vermezseniz "darkstat" 666 portunu kullanýr. Bunu "-p" komutuyla deðiþtirebilirsiniz:
darkstat -p 8080
Belli bir portu bir arayüze baðlamak için "-b" seçeneði kullanýlabilir. Örnkte lokal adres kullanýlýyor :
darkstat -b 127.0.0.1
DNS-çözme "-n" parametresi ile saðlanýr. Dýþarýya açýk bir hatta bulunmayan kullanýcalar için bu faydalý olabilir.
darkstat -n
"-P" ile "darkstat" 'ý "promiscuous mode" arayüzü içine konulmasýný saðlayabilirsiniz. Bununla birlikte bu durum tavsiye edilmez çünkü "darkstat" yalnýzca izlenen að aygýtlarýnýn MAC'larýna adreslenmiþ paketleri yakalar ve analiz eder. Diðer tüm paketler geri çevrilir.
darkstat -P
"-l" parametresi yerel að'da SNAT'i etkin kýlmaktadýr. SNAT kaynak að adresinin dönüþtürülmesi anlamýna gelmekte ve router'in, istemcinin yerel IP'sini kendi diþarýya açýk veya dýþarýda bilinen (tanýnan) IP'si ile deðiþtirmesi anlamýna gelmektedir. Böylece, að paketlerini sanki kendisi gonderiyormuþ gibi davranmaktadýr.
darkstat -l 192.168.1.0/255.255.255.0
"-e parametresi ile belli periyotlarla toplanmýþ ve program çalýþtýrýdýðý andan itibaren analiz edilmiþ paketlerle ilgili açýklamalar ayrýca sizin uygulayacaðýnýz filitrelerle daha geliþmiþ diyagramlar elde edebilirisiniz.
darkstat -e "port not 22"
2.5 sürümü ile "darkstat" açýlýþ terminalinden ayýrabilirisiniz böylelikle bir daemon gibi çalýþýr.
darkstat --detach
"-d" ile veritabaný sizin beirlediðiniz dizine oluþturulur.
darkstat -d /directory
"-v" parametresi "verbose mode" içindir :
darkstat -v
Eðer "darkstat"'ýn sürümüyle ilgileniyorsanýz bu parametreyi deneyin : "-h".
darkstat -h
"darkstat"'ý baþlattýktan sonra "http://localhost:666/" adresine baktýðýnýzda bazý istatistikleri ve grafikleri göreceksiniz :
"hosts" kýsýmýnda iletiþimdeki tüm konaklarý görebilirsiniz. Bu makineler oluþturduklarý að trafiðine ya da IP adreslerine göre sýralanýrlar bu sayede hangi makinanýn en fazla trafiðe yol açtýðýný kolayca belirleyebilirsiniz. Burada sorumlu olan sistem yöneticisi kolayca problemi belirleyebilir aþaðýdaki resimde IP adresi "192.168.1.203" olan bir konak görünüyor.
Illustration 2: darkstat hosts
3. resimde istemci ve sunak arasýndaki uygulamalar tarafýndan kullanýlan port numaralarýný görebilirsiniz. Aþaðýdaki port numaralarýndan ilgili uygulamarý kolayca tanýyabilirisiniz : : 21 (FTP), 22 (SSH), 139 (Samba), 631 (CUPS), 666 (darkstat), 3128 (Squid). Bununla birlikte "dhcpd" ve "dnsmasq" görünür deðildir çünkü bu servisler "UDP" kullanýr. 1024'den daha büyük olan diðer portlar istemci uygulamalar tarafýndan kullanýlýr. Proxy sunucusu "squid" ayrý tutulur çünkü benimsenmiþ deðer olarak 3128 kullanýr. Tüm portlarý IANA [9] üzerinden listeleyebilirisiniz ya da , "/etc/services" dosyasýna bakabilirsiniz.
Illustration 3: darkstat ports
Aþaðýdaki resimde dosya iletim iþlemi için kullanýlan "ICMP", "TCP" ve "UDP" protokollerini görüyorsunuz. Eðer protokollere ilgi duyuyorsanýz bu RFC'ler faydalý olacaktýr [10], [11] ve [12].
Illustration 4: darkstat protocols
Son resimde toplanmýþ olan zaman aralýklarý ve grafikler görüyorsunuz :
Illustration 5: darkstat graphs
Burada "darkstat" 2.6 sürümü ele alýndý. Bu sürüm ne yazýkki "pthreads"'e baðýmlý. Bu yüzden diðer ortamlarda problemler olabiliyor (ör. NetBSD) Bu nedenle program yazarý Emil Mikulic bu sürümü daha fazla geliþtirmemeye karar verdi ve sürüm 3.x üzerine çalýþmaya baþladý.
Yeni sürümde paketlerin çoklu arayüzlerden yakalanmasý, yapýlandýrma dosyasý oluþturma, diagramlarýn geliþtirilmesi, (RRDtool ile [13]), deðiþtirilebilinir CSS-file, admin login ve veritabanýnýn web arayüzüne göre düzenlenmesi gibi özellikler yer alýyor.
"darkstat" özellikle sunucu tabanlý sistemlerdeki að trafik analizi için hýzlý ve kullanýþlý bir programdýr. Genelde problemsiz olarak çalýþýr. Yeni sürümüde bir çok yeni özellik geliþtiriliyor.
[1] http://purl.org/net/darkstat [Home of darkstat]
[2] http://www.ntop.org/ [Home of ntop]
[3] http://dmr.ath.cx/net/darkstat/darkstat-2.6.tar.gz
[Download]
[4] http://yallara.cs.rmit.edu.au/~emikulic/_/darkstat-2.6.tar.gz
[Download Mirror #1]
[5] http://neo5k.de/downloads/files/darkstat-2.6.tar.gz
[Download Mirror #2]
[6] http://ftp.debian.org/debian/pool/main/d/darkstat/
[Debian Packages]
[7] http://www.tcpdump.org/ [Home of libpcap]
[8] http://www.courtesan.com/sudo/ [Home of sudo]
[9] http://www.iana.org/assignments/port-numbers
[IANA Port-Numbers]
[10] ftp://ftp.rfc-editor.org/in-notes/rfc792.txt
[RFC 792 - ICMP]
[11] ftp://ftp.rfc-editor.org/in-notes/rfc793.txt
[RFC 793 - TCP]
[12] ftp://ftp.rfc-editor.org/in-notes/rfc768.txt
[RFC 768 - UDP]
[13] http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/
[Home of RRDtool]
|
|
Görselyöre sayfalarýnýn bakýmý, LinuxFocus Editörleri tarafýndan yapýlmaktadýr
© Mario M. Knopf "some rights reserved" see linuxfocus.org/license/ http://www.LinuxFocus.org |
Çeviri bilgisi:
|
2004-10-14, generated by lfparser version 2.48