Capturer et traiter du trafic réseau
Contents
1. Le traitement du fichier par cet outil cod en perl a dur 53 minutes Ensuite le calcul des statistiques a dur environ 20 minutes La g n ration de tous les graphiques environ 6 minutes La CPU tait charg e mais pas la RAM machine quip e de 768Mo de RAM seulement Jouer avec la commande nice permet de garder un poste toujours r actif malgr les lourds calculs en t ches de fond Sur des fichiers moins volumineux il s av re que le traitement du fichier est aussi rapide sous Wireshark que sous Sonde pl La g n ration des graphiques est cependant plus rapide sous Sondes pl Ces tests ont t fait sur une machine monoprocesseur simple coeur On peut imaginer des gains substanciels sur une machine multi processeurs et ou multi coeurs partir du moment o nous avons plusieurs fichiers que nous traitons en parrall le en chargeant une instance de Sonde pl pour chacun Mais pourquoi Parce que j en avais besoin pour retraiter des captures tr s volumineuses et wireshark tenait difficilement la phase de capture et pas du tout la phase de traitement O est il disponible Il faut me le demander avec la seule contrainte que la phrase commence par s il te plait et finisse par merci Comment l utiliser Voici le manuel qui s affiche en tapant Sonde pl h MANUEL D UTILISATION help Affichage de cet aide MODES ET OPTIONS POUR CHACUN rec Non cod Utilisation en tan2. environ 60 secondes de trafic sur un lien charg 10Mb s c est un peu chercher une aiguille dans une botte de foin Wireshark nous aide un peu application de filtres d affichage pour lager petit petit le bruit coloration affichage sous 3 formes r sum de trame ordre de capture timestamp de capture adresses IP source et destinataire protocole de niveau 4 ou 7 informations compl mentaires d tail de chaque en t te sous forme d arborescence et enfin la trame sous forme hexad cimale avec une traduction approximative en code ASCII Avant de continuer 2 messages subliminaux crits pour ceux qui disent conna tre les analyseurs r seaux mais pas tant que a en fait un analyseur r seau est comme un thermom tre ce n est pas en lisant la temp rature que vous d terminerez la maladie En plus clair arr tez de croire que l analyseur r seau nous crit en gros caract res ton probl me est sur le switch 192 168 10 20 o le spanning tree est activ en version 1 alors que selon la directive N55220 89 de la Direction Informatique amp T l com tu dois le d sactiver Attends un petit moment je suis en train de te g n rer un batch pour corriger tout a M me un analyseur 15000 euros ne fait pas a un analyseur requiert videmment des comp tences pour l utiliser mais surtout pour comprendre ce qu il nous affiche C est un peu plus complexe qu un thermom tre quand m me
3. 86400 a 0 secondes par pas de 0 00694444444444444 gt Limites L outil ne connait que le trafic ethernet IT ethernet 802 3 traitement des en t tes Ethernet et LLC ethernet II et IP ethernet II et IP et TCP ethernet IT et IP et UDP ethernet IT et IP et ICMP ethernet II et ARP Pas d analyse du spanning tree ou d IPX Le premier sera trait dans l Ethernet 802 3 le second sera class dans le trafic Ethernet II sans plus de pr cision aux c t s par exemple de SCTP et DCOP Il est assez ais pour une personne parlant le Perl d tendre la liste des protocoles reconnus par l outil Secret de fabrication La stabilit de l outil r side dans la simple id e qu il vaut mieux d cortiquer et stocker le r sultat dans une base de donn es qui g re bien mieux le stockage et les manipulations de gros volumes de donn es plut t que dans un fichier ou une variable tableau Ainsi pour calculer les statistiques et ensuite en extraire les r sultats pour r aliser des graphiques ou des tableaux nous consultons la base de donn es MySQL en SQL Le stockage et la consultation peuvent tre r alis s de mani re asynchrone Performances J ai fait des tests avec gestion de plus de 2 millions de trames ethernets ce qui repr sentait un fichier de plus de 1Go Capture de trames enti res l aide de dumpcpap Wireshark ne peut m me pas ouvrir le fichier plantage apr s plusieurs minutes d agonie
4. O placer la sonde Euh mon illustration avec le thermom tre atteint ici ses limites Logiquement l o est suceptible de passer tout le trafic que nous voulons observer et si possible l o le trafic dont nous nous fichons ne passe pas Une fois que nous avons trouv la bonne planque pour espionner le r seau il reste placer la sonde Soit nous l ins rons en coupure soit si cela n est pas possible nous nous connectons au switch o nous voulons surveiller le trafic entrant sortant d un port donn et nous activons la recopie de trafic de ce port vers le port o est connect e la sonde Il est pr f rable de se mettre en coupure car plusieurs probl mes peuvent subvenir le port o est connect la sonde ne permet pas de monter un d bit aussi lev que celui g n r sur le port surveill la recopie de trafic ne recopie g n ralement que le trafic valide Si c est le cas de votre switch ne perdez pas votre temps essayer de capter des trames ethernet erronn es elles ne vous parviendront pas sur certains quipements la recopie de port ne permet pas d envoyer recevoir du trafic depuis la sonde connect e sur ce port Si votre sonde ne dispose que d une carte ethernet qui fait la fois office d interface de capture et de point d entr e pour la PMAD vous aller vous enquiquiner chaque fois que vous voudrez voir le r sultat de la capture arr ter la recopie de port et donc perdre quelques sec
5. outils dont je ne vous parlerai pas sont editcap Editer les fichiers de capture inclus dans Wireshark Mode console Sa principale fonction est de supprimer les paquets du fichier de capture quivalent appliquer un filtre de capture post riori ou pour convertir le fichier dans un autre format mergecap Concat ner plusieurs fichiers en un text2pcap Convertir un fichier de capture au format ASCII hexad cimal dans le format pcap capinfos Donner des informations g n rales sur le fichier de capture nombre de trames taille du fichier la dur e de la capture Je vous laisse aller faire un tour l adresse http www wireshark org docs wsug_html_chunked AppTools html pour avoir plus d infos sur ces diff rents outils ainsi que les arguments qu ils appr cient de voir renseign s Capture avec dumpcap Apr s cette grande appart e revenons notre capture d une journ e D j pour s assurer qu elle ne plante pas vicieusement en pleine nuit suite un nombre trop important de fen tres ouvertes nous allons utiliser dumpcap Sous GNU Linux dumpcap i eth0 w tmp tutu a duration 86400 b filesize 50000 s 68 En bon fran ais nous enregistrons le trafic passant sur l interface eth0 dans des fichiers qui commencent par tutu dans le r pertoire tmp Ils seront nomm s par l outil comme par exemple tutu_00004_20090114230857 o 00004 signifie que c est le di me fichier g n r lors d
6. Capture Interface cthl z IP address 92168 44 Fc80 2201 8K Kcb8 27 64 Link Layer header typc Ethernet Capture packets in promiscuous mode Limit cach packet to 68 bytes Capture Filter v Capture File s ir Display Options File tmp toto Bowse x Update list of packets in real time v Use multiple files 7 Next file every 50 megabytets Automatic scrolling in Live capture Next file every minutels Hide capture info dialog Ring buffer wth 2 Files P Name Resolution Stop capture after Filets Stop Capture Enable MAC name resolution after 2 packet s Enable network name resolution after megab ytels amtaa M day s Enable transport name resolution BAde Annuler Start L interface de la machine sur laquelle r aliser la capture si plusieurs cartes r seaux attention aux interfaces virtuelles comme les VPN IPSec Analysons nous tout le trafic qui passe mode promiscuit activ ou seulement le trafic destination ou source de la machine Filtre la capture int ressant pour all ger plus tard le traitement du fichier mais seulement dans le cas o d j nous savons ce que nous cherchons donc pas en premi re approche d un d pannage Est ce que nous nous int ressons aux donn es transport es ou juste aux en t tes des trames Dans le second cas inutile de capter les maximum 1500 octets d une trame ethernet si seulement les
7. Capturer et traiter du trafic r seau G Lehmann Douce et paisible introduction Parmi les ambitieux objectifs professionnels qui m taient confi s pour ce d but d ann e je devais monter une formation des coll gues concernant l utilisation des sondes Les ma tres du temps et du planning n ayant pas voulu tendre les journ es au del de 24 heures je me vois dans l obligation de ne pas devoir l animer J ai donc r sum quelques points sur lesquels j ai travaill ces derniers mois et qui pourraient tre utile Je vais me concentrer sur l outil Wireshark et les autres outils qui font parti du projet eh oui il y en a d autres Cet article parle donc de technique de m thodologie et parfois de sexe Rapidement un peu d histoire Au d but G rald Combs cr a un analyseur r seau nomm Ethereal Puis paf un jour il s appella Wireshark je vous avez dit que ce serait un historique rapide En conclusion wireshark est la continuit d Ethereal Pr sentation g n rale Ethereal permet de faire des captures de trafic en appliquant des filtres la capture mais galement l affichage On retrouve des filtres par adresse IP source destination les 2 par adresses ethernet par protocole de n importe quelle couche ect Quand on parle de capturer le trafic cela veut dire enregistrer tout ce que remonte la carte r seau brut de fonderie Etudier le comportement d un r seau en analysant 750000 trames repr sentant
8. D avant stat sans ajout nettoie la base de donn es Il n est donc pas utile de rajouter init Quelques exemples Donc pour ajouter une capture dans un base de donn es que l on initialise pr alablement Sonde pl init pcap f tmp MonFichier cap Puis on g n re les statistiques Sonde pl stat Enfin on g n re tous les graphiques Sonde pl graph gpers nom NomGraphique svg duree 86400 abscisse 20 ordonnee 100 granularite 60 bp 700000 On peut biens r cumuler les options dans n importe quel ordre Sonde pl init pcap f tmp MonFichier cap graph gpers nom NomGraphique svg duree 86400 stat abscisse 20 ordonnee 100 granularite 60 bp 700000 Pour les machines multi processeurs on peut lancer plusieurs processus en m me temps Pour lancer le traitement de 2 fichiers de capture en m me temps fichier2 cap plus r cent que fichier1 cap taper dans une premi re console Sonde pl pcap f fichier1 cap Puis dans la seconde Sonde pl pcap f fichier2 cap Ainsi la premi re commande ins re dans la base de donn es le r sultat du traitement de fichier1 cap et la seconde commande fait de m me pour fichier2 cap m me si le traitement de fichier1 cap est toujours en cours Comme ce sont 2 processus diff rents et ind pendants ils occuperont chacun une CPU diff rente exploitant ainsi au mieux les capacit s multi coeurs des nouveaux processeurs Cela n est pas limit 2 CPU Autre et dernie
9. adresses IP sources et destination nous int ressent 14 octets pour l en t te ethernet 20 pour IP Le minimum est de 68 octets Nos fichiers de captures grossiront moins vite De quand quand faisons nous la capture Wireshark ne permet pas de programmer de capture mais d autres outils sont utilisables dans des scripts permettant d effectuer un d marrage diff r Nous verrons ces outils plus tard Est ce que nous capturons le trafic dans un fichier Sauf capture de quelques minutes et en direct je le conseille fortement En effet si Wireshark plante nous ne perdrons pas les trames d j captur es et cela permet aussi Wireshark de ne pas garder tout le trafic en RAM et donc d exploser votre RAM Devons nous enregistrer le trafic dans un fichier circulaire C est utilis quand nous mettons un analyseur pour tudier un ph nom ne observable au moment o il se passe r current mais non pr visible Ainsi nous n avons que les X derni res minutes ou derni res heures au moment de l arr t de la capture et non les 10 jours sans int r t pr c dant l v nement Voulons nous plusieurs fichiers ou un seul Je conseille galement utiliser le stockage dans un fichier d utiliser plusieurs fichiers A priori notre capture va tre volumineuse donc autant d couper pour retraiter ensuite par petits bouts Viens alors la question suivante Qu est ce qui d termine le passage d un fichier l autre La taille
10. ans la base de donn es Cela permet de rajouter seulement les paquets non trait s d un fichier sans doublon ni perte de temps faire ce qui a d j t fait file lt Nom Fichier gt Chemin et nom du fichier traiter par pcap v Mode verbeux Afficher dans la console les en t tes des trames trait es vv Mode tr s verbeux Afficher dans la console les en t tes et le contenu des trames trait es stat G n rer les statistiques sur les paquets captur s et stock s dans la base de donn es Stocket le r sultat dans la base de donn es On peut indiquer la granularit du calcul impactant seulement les stats moyenn es ajout Seules les statistiques non encore g n r es sur la p riode donn e sont calcul es Les autres sont gard es G n ralement utile apr s un ajout cap stgranularite lt Nombre gt 10 par d faut Dur e en secondes Les stats qui sont moyenn es seront calcul es sur des intervalles allant de t t granularit graph G n rer les graphiques standards sur les derni res minutes bp lt Nombre gt Bande passante du lien Permet de dimensionner l chelle de l axe des ordonn es gpers G n rer les graphiques personnalis s infos concat n es mais affich es sur plusieurs heures Temps de g n ration plus long utile seulement pour une vision globale Il est n cessaire d indiquer les options suppl mentaires suivantes nom lt Nom Fichier gt Nom du f
11. e la capture et 20090211230857 la date de g n ration de ce fichier 11 f vrier 2009 23h08 et 57 secondes argh je devrais tre couch cette heure moi La dur e de capture s exprime en secondes donc 24 heures 86400 secondes La taille de chaque fichier de capture en Ko donc 50000K0 dans notre cas Enfin nous capturons seulement les 68 premiers octets Pour ceux qui sont inquiets de savoir comment calculer le d bit si l on n archive que les 68 premiers octets qu ils se rassurent il est stock dans le fichier la taille initiale du paquet avant que celui ci se fasse retailler et biens r wireshark prend en compte dans son calcul la taille originale Ouf vous avez eu peur hein Ci dessous le r sultat de dumpcap help Dumpcap 1 0 2 Capture network packets and dump them into a libpcap file See http www wireshark org for more information Usage dumpcap options Capture interface i lt interface gt name or idx of interface def first non loopback f lt capture filter gt packet filter in libpcap filter syntax s lt snaplen gt packet snapshot length def 65535 p don t capture in promiscuous mode y lt link type gt link layer type def first appropriate D print list of interfaces and exit L print list of link layer types of iface and exit S print statistics for each interface once every second M for D L and S produce machine readable output Stop conditions c lt packet count
12. e se sont pas closes on se retrouve avec 100 fen tres ouvertes chacune consommant sa part de RAM Si la capture est arriv e son terme nous pouvons les fermer la main en for ant parfois la fermeture mais il arrive que cela fasse planter wireshark avant la fin et on se rend compte le lendemain que l on n a que les 5 premi res heures de captures sur les 24 d sir es Nous verrons plus tard comment coutourner cet autre probl me re h h En fait non nous allons le voir desuite avec le paragraphe suivant La galaxie des logiciels du projet Wireshark Wireshark tout le monde conna t C est joli c est rapide mais c est limit En s aidant de la libpcap sous les Unix ou winpcap sous MS Windows nous pouvons cr er un outil de capture basique en moins de 50 lignes de code Perl environ une centaine en C Quelques centaines de lignes plus tard nous rajoutons le stockage dans plusieurs fichiers Wireshark qui fait des miliers de lignes de code int gre donc tout un tas de code ex cut son chargement mais non utile pour la capture Ce code sera utile pour les statistiques dessiner des courbes g rer les boutons et menus d roulants de l interface graphique ect C est l que 2 outils arrivent et vont nous int resser Le premier est Tshark C est Wireshark en mode console Il est disponible sous les Unix comme un outil part de Wireshark Je ne sais pas s il est disponible sous MS Windows Nous pouvons appliquer des filtre
13. gt stop after n packets def infinite a lt autostop cond gt duration NUM stop after NUM seconds filesize NUM stop this file after NUM KB files NUM stop after NUM files Output files w lt filename gt name of file to save def tempfile b lt ringbuffer opt gt duration NUM switch to next file after NUM secs filesize NUM switch to next file after NUM KB files NUM ringbuffer replace after NUM files Miscellaneous V print version information and exit h display this help and exit Example dumpcap i eth0 a duration 60 w output pcap Capture network packets from interface eth0 until 60s passed into output pcap Use Ctrl C to stop capturing at any time Analyse avec un super nouvel outil C est bien beau d avoir r ussi stocker son fichier sans que sa barrette de RAM parte en sublimation mais on n est toujours pas capable d exploiter l ensemble de la capture d un coup Soit ca vous va de travailler par petits bouts soit vous travaillez sur chaque fichier pour l all ger et ne garder que les trames qui vous int ressent pas de chance dans notre cas voulant voir tout le trafic nous devons tout garder et finalement r duire chaque fichier pour que la somme de tous soit raisonnable pour Wireshark Vous pouvez galement effectuer les traitements et les statistiques l aide de Tshark Enfin derni re solution coder votre propre outil je sens un mouvement de foule d un seul coup j ai dit quelque cho
14. ichier avec extension Le programme y rajoute automatiquement Reporting duree lt Nombre gt Dur e afficher S exprime en secondes bp lt Nombre gt Bande passante du lien Permet de dimensionner l chelle de l axe des ordonn es abscisse lt Nombre gt Taille de l abscisse en pixels ordonnee lt Nombre gt Taille de l ordonn e en pixels granularite lt Nombre gt Dur e en secondes Une valeur affich e repr sente le min moy max des valeurs prises entre t et t granularite OPTIONS abscisse lt Nombre gt Voir le mode gpers ajout Voir les modes pcap et stat bp lt Nombre gt Voir les modes graph et gpers chaine lt RegExp gt Voir le mode surv duree lt Nombre gt Voir le mode gpers file lt Nom Fichier gt Voir les modes rec surv et pcap freq lt Nombre gt Voir le mode surv granularite lt Nombre gt Voir le mode gpers interface lt Nom Interface gt Voir les modes rec et surv nom lt Nom Fichier gt Voir le mode gpers ordonnee lt Nombre gt Voir le mode gpers stgranularite lt Nombre gt Voir le mode gpers v Voir le mode pcap vv Voir le mode pcap Attention init annule l effet de ajout cap sans ajout ne fait pas de nettoyage de la BD Ex cuter 2 fois la commande sur le m me fichier va cr er des doubons Utiliser init la deuxi me fois si l on veut retraiter tout le fichier mais en nettoyant la B
15. mateurs une courbe du trafic global ou correspondant un filtre particulier Le probl me c est que nous voulions le couple IP le plus bavard sur la totalit de la journ e et non par petit bout Nous s lectionnons tous les fichiers et on fait un glisser d poser dans l interface graphique pour concat ner toutes les captures en une seule partir de laquelle seront calcul es les statisques Et l l affichage se fige le disque dur se met gratter et au bout de quelques minutes Wireshark nous insulte pour tentative d ob sit sation et nous quitte sans m me un dernier regard Eh oui si un fichier de 1Go est trop gros ce n est pas 200 fichiers de 50Mo qui vont mieux passer Nous atteignons l une premi re limite de Wireshark Wireshark plante sur MS Windows mais pas sous GNU Linux Sur ce dernier il consomme toute la RAM puis la swap jusqu figer la machine gu re mieux Nous verrons plus tard comment contourner cela sans devoir piller les barrettes RAM du magasin informatique du quartier h h Autre limite que vous avez surement constat lors de la capture c est que pour passer d un fichier l autre il ferme la fen tre de capture en cours et en ouvre une autre pour le fichier suivant Or si la machine est tr s sollicit e il n a pas toujours le temps de bien fermer la fen tre Cela n est pas g nant en soit si ce n est que l on a une fen tre ouverte en plus pour rien Or au bout de 24h si 50 des fen tres n
16. maximum 50Mo par exemple pour une gestion simplifi e ou le temps un test dure une heure puis l autre d marre en suivant et nous voulons que la trace de chaque test soit dans son propre fichier Est ce que la capture doit s arr ter automatiquement Si oui cela peut tre apr s x paquets ou lorsque nous avons captur une certaine quantit de trafic ou encore au bout d un temps donn Viennent ensuite quelques autres options secondaires que vous d couvrirez par vous m mes Ayant pris le temps de poser les choses cette fois ci on se dit que ce que l on veut vraiment c est conna tre le d bit global les couples IP les plus bavards et que la p riode d observation soit une journ e enti re Nous lan ons donc la capture interface en mode promiscuit sur l interface eth1 seuls les 68 premiers octets sont gard s stockage dans des fichiers sans le mode ring buffer nous voulons des fichiers de 50Mo maximum sans limite de nombre attention la taille disque Nous choisissons 50Mo seulement car ce qui charge Wireshark ce n est pas la taille du fichier mais le nombre de trames m me incompl tes qu il contient nous stoppons la capture au bout de 1 jour Le lendemain nous nous retrouvons avec des fichiers suffisamment petits pour les traiter au fur et mesure Dans le menu statistiques nous avons un ensemble d outil permettant d afficher entre autres les couples IP les plus consom
17. ondes ou minutes de capture pour ensuite faire la PMAD Impossible donc de voir distance ce qui est captur en temp r el Effectuer des captures avec Wireshark Vous avez install Wireshark sur votre PC MS Windows en suivant la proc dure tr s complexe que voici cliquer sur Suivant jusqu qu il n apparaisse plus cliquer alors sur Terminer Sur les unix c est diff rent mais pas compliqu non plus vu que ce logiciel est empaquet dans les distributions Puis f brile ne pouvant vous contenir vous lancez votre premi re capture sur le backbone du r seau au plus fort de la journ e Les trames d fillent tout allure les chiffres s incr mentent vous voyez le monde d filer sous vos yeux votre vue se brouille et vous finissez par vous vanouir submerg par l motion de vous sentir l me d un expert r seau Quelques minutes voir quelques heures apr s vous reprenez vos esprits et vous arr tez la capture Si votre PC n a pas explos sous la charge RAM induite par Wireshark vous vous retrouvez avec quelques centaines de milliers de trames et un fichiers de plusieurs centaines de Mo voir Go En effet vous avez lanc une capture n importe comment et vous vous retrouvez avec un fichier inexploitable car trop volumineux N ayons pas honte de le reconna tre nous sommes tous pass s par l m me les meilleurs d entres nous Eh oui car quand on lance une capture il faut programmer certains param tres
18. r cas vous avez lanc le traitement d un fichier fichier10 cap que vous avez arr t en cours de traitement Soit vous r initialisez tout et cela peut prendre du temps de tout recommencer soit vous ne traitez que ce qui manquait stocker avec l option ajout Sonde pl ajout cap f fichier10 cap Cette option est galement utilisable avec stat En synth se Je vous ai fait une petite introduction sur la d marche suivre pour r aliser une capture avec Wireshark Ensuite j ai voqu l existence d autres outils li s au projet Wireshark Enfin j ai parl des limites de Wireshark et comment les contourner en utilisant dumpcap Tshark et pourquoi pas un petit outil que j ai cod Ah oui quand je disais en introduction qu il serait question de sexe dans cet article bhen j ai menti
19. s l affichage stocker le r sultat dans un ou plusieurs fichiers et tout et tout comme Wireshark Il affiche galement en console le r sultat courant de la capture C est moins joli et color mais si nous avons uniquement acc s la sonde en telnet ou ssh c est tout de m me bien utile On peut exporter le r sultat dans un fichier texte ou postscript ou Le second outil est dumpcap Il est part dumpcap exe sous MS Windows mais inclus dans le paquet Wireshark sous Unix concernant GNU Linux Debian du moins Il est aussi en mode console permet de faire des filtres la capture de capturer seulement x octets de chaque trame minimum 68 si la trame fait plus de 68 octets de mettre tout cela dans plusieurs fichiers avec une rotation ou pas ect La seule diff rence avec Tshark c est que le r sultat est crit dans le format pcap donc non lisible par l homme sauf N o et toute sa clique qui ont fait h xad cimal en seconde langue en sortant de la matrice et que pendant la capture nous ne voyons pas grand chose d autre que le compteur de trames s incr mentant laconiquement Il existe d autres outils que je ne d taillerai pas mais qui sont utiles pour manipuler des fichiers de capture sans passer par l interface et donc sans mettre genoux le quadriprocesseurs doubles coeurs que vous id latrez De plus Wireshark n tant pas multi thread inutile d avoir des multi processeurs ou des processeurs double coeur Donc ces
20. se qui d range J ai cod un outil que je vais vous pr senter rapidement Apr s consultation des plus grands strat ges logiciels du monde j ai d cid de l appeller Sonde pl Nous lui donnons un fichier de capture en entr e capture faite par Wireshark ou par dumpcap Il met tout cela dans une base de donn es fait des stats de base comme classement des couples IP les plus bavards sur la p riode d observation d bit par seconde utilis par chaque couple IP 2 valeurs une pour chaque sens broadcast ethernet Il permet galement de faire des histogrammes format svg lisible par exemple par Firefox ou Epiphany browser trafic TCP trafic UDP et trafic ICMP trafic non IP trafic IP non TCP UDP ICMP trafic minimum moyen maximum sur une p riode choisie avec une granularit d finie minimum 10 secondes Ci dessous des exemble de trafic Min bleu Moyen jaune Max gris sur 1 heure et sur 1 jour avec des granularit s de 10 secondes me O gt de 3600 a 0 secondes par pas de 0 166666666666667 gt Sur 1 jour m me chose avec des granularit s diff rentes et des couleurs diff rentes Fermer L onglet gt de 86400 a 0 secondes par pas de 0 00694444444444444 gt D autres couleurs cette fois pour les gothiques 10 its gt de 3600 a 0 secondes par pas de 0 166666666666667 gt gt de 86400 a 0 secondes par pas de 0 125 gt gt de
21. t que sonde uniquement RECord traffic interface lt Nom Interface gt Interface r seau sur laquelle la sonde se met en coute mode promiscuit file lt Nom Fichier gt Chemin et nom du fichier dans lequel enregistrer la capture surv Surveillance du trafic pour d tecter une coupure d un flux Entre 2 apparitions de flux le trafic est enregistr dans un fichier interface lt Nom Interface gt Interface r seau sur laquelle la sonde se met en coute mode promiscuit chaine lt RegExp gt Cha ne de caract re identifiant le flux surveiller file lt Nom Fichier gt Chemin et nom des fichiers o est loggu le trafic lorsqu il y a un probl me Le programme rajoute une extension pour distinguer les enregistrements s il y a une s rie de probl mes freq lt Nombre gt D lai maximum en seconde d apparition de la cha ne de caract re Si depuis la derni re apparition il s est pass plus de temps que d fini ici alos le mode alarme est enclench le trafic depuis la derni re apparition est enregistr dans un fichier jusqu la prochaine r apparition init Suppression de tous les enregistrements des tables CAPTURE STAT et STATHEURE pcap R aliser le stockage des informations des trames du fichier indiqu par file dans la base de donn es ajout Seuls les paquets stock s dans le fichier de capture plus r cents que le plus r cent des paquets stock s dans la BD sera ins rer d
Download Pdf Manuals
Related Search