Netwerkverkeer onderzoeken met iptraf
iptraf
Een typisch hulpmiddel om netwerkverkeer te onderzoeken is iptraf; je kan de hoeveelheid verkeer onderzoeken, en de afkomst of bestemming. De iptraf software moet geïnstalleerd zijn op de server die de internetverbinding doorgeeft (de gateway), je kan ze gebruiken vanop afstand door in te loggen met ssh, secure shell.
Iptraf kan gebruikt worden als commando om resultaten naar een log te schrijven, of als opstartend programma dat de resultaten live op het scherm weergeeft. Daaruit kan je knippen en plakken als je in een terminal werkt op je desktop.
- Lan station monitor: toont eth HW address met BytesIn en PktsOut, BytesOut; geeft weer hoeveel netwerkverkeer er is op welke hardware. Hardware address is een soort serienummer van de netwerkkaart, bv
00145168e8a6
- IP Traffic monitor (bv All interfaces) geeft de connecties weer: lokaal ip adres en extern ip adres, telkens met het poortnummer. Het extern kan je verder onderzoeken door het in een browser te plakken als het een website is, of door een opzoeking in een whois database als Arin
Filters
Als er te veel verkeer is en je wil je beperken tot bv 1 toestel waarvan je het IP adres kent, kan je een filter instellen.
Menu Filters … IP, Define new filter, geef naam.
Dan krijg je de lijst met filterdefinities in deze filter. Toevoegen met “I”, invullen en bewaren.
Algemeen:
Alle ip adresen: 0.0.0.0
wildcard: 0.0.0.0Deel netwerk:
ip adres: 192.168.1.0
wildcard 255.255.255.0Bepaalde host:
ip adres: 192.168.1.25
wildcard: 255.255.255.255 (nl geen)met destination:
0.0.0.0
0.0.0.0
0 to 0
all IP: Y
Include
Match opposite: N
Dan de filter aktief maken:
“Apply filter” en kiezen.
Daarna terug naar hoofdmenu en “IP traffic monitor”.
Ook niet vergeten af te zetten (Detach filter) in filter menu.
Zowel ip-adressen als hardware adressen kunnen vervalst worden.