Flujos de tráfico en tiempo real: Etherape

Con video, Redes de Datos / / Deja un comentario / Por
Spread the love

Antes de continuar, voy a mencionar un poco de la información que ví en el artículo «Real time network topology and traffic flow with Etherape» de Jack Wallen publicado en TechRepublic en Diciembre de 2010. En el artículo reseñado, hablan algunas generalidades del programa, por ejemplo, éste es software libre pero hay versiones oficiales sólo para sistemas tipo Unix (distribuciones de Linux, Unix e incluso OS X) y exige lo siguiente para funcionar correctamente:

  • libpcap
  • GTK+
  • Libglade 2
  • GNOME
  • Standard resolver library (el nombre depende del SO)
La aplicación se instala fácilmente en cualquier versión moderna de Linux, en mi caso, lo instalé en menos de 5 minutos en un Ubuntu 10.10, tal vez más importante es que la aplicación debe correr con privilegios de administrador (root), porque si no saca el mensaje: no suitable devide found Esta aplicación es bastante fácil de usar y aunque es muy simple en concepto, puede llegar a ser vital en la detección de algún problema. Les dejo un video que encontré que ilustra justo lo que acabo de describir. Una posible desventaja es que no guarda la captura, pero como ví en el foro del artículo: sí lee vaciados de Wireshark y Tcpdump, de hecho (habría que probar) el autor del comentario indica que cree que el programa podría leer una captura mientras se hace y así dejar rastro de lo que está mostrando (ejecutando ambas aplicaciones simultáneamente).
¿Cómo usarlo?
Aunque la instalación y uso del programa no tiene mucha ciencia (excepto que debe ser ejecutado con permisos de administrador), los resultados sí pueden ser un poco inconsistentes si no se prepara la red. Como es sabido para los que trabajamos en redes, la actual arquitectura de redes conmutadas (basadas en switches) hace que un PC ordinario sólo vea su tráfico directo y los broadcasts, por lo que el tráfico reflejado por etherape no es correcto. Para poder observar el tráfico mediante etherape hay varias alternativas, a primera es instalar la aplicación en una estación por la que tenga que pasar todo el tráfico, por ejemplo un proxy o un PC que haga las veces de enrutador/gateway. Con ésto el tráfico observado debe completo y consistente, no sólo broadcasts y tráfico directo. Por otro lado, para interceptar tráfico sin una estación en la mitad se puede preparar la red mediante alguna tecnología de monitoreo de puertos, en 3Com la tecnología se llama Roving y en Cisco se llama SPAN (Switched por analyzer). Ambas tecnologías toman el tráfico de algún puerto o vlan y lo reenvían a otro puerto, adicionalmente a su envío normal, es decir, copian las tramas a un puerto particular. Éste mecanismo está diseñado para suplir la necesidad de monitorizar tráfico que usualmente no se puede observar. Conclusiones
A la hora de analizar tráfico, cualquier ayuda visual es importante, sobre todo si es en tiempo real porque muchas situaciones sólo se presentan durante un periodo de tiempo en particular y a veces no es suficiente tener bitácoras (logs) porque no permiten detectar el problema a tiempo. Ésta herramienta, no profesional, puede resaltar rápidamente ráfagas de tráfico y si son constantes será evidente que hay un problema en la red en el momento en que ocurra. Probablemtente no sea óptimo para grandes redes pero habría que probarlo, por lo pronto, me parece muy interesante para un segmento de menos de 50 nodos y preferiblemente preparando la red para poder monitorizar el tráfico completo sin incurrir en la necesidad de una estación intermediaria (más latencia y posibles vulnerabilidades).]]>

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.