Torino ITA)
+39 01119115797
info@netpic.it

Mikrotik: analisi del traffico in tempo reale

Mikrotik: analisi del traffico in tempo reale

   Howto    Marzo 12, 2021  |  0

Perché è importante conoscere gli strumenti per l’analisi del traffico di rete?

Come è noto RouterOS ha diversi strumenti di analisi del traffico, dalla Firewall Connections fino alle funzioni di Torch per isolare il traffico tra host e fare troubleshooting su eventuali problemi.
Conoscere in anticipo l’uso degli strumenti per intercettare possibili problemi è un dovere di ogni buon amministratore di sistema. Spesso è difficile capirlo anche conoscendo a fondo l’uso degli strumenti, ecco perchè dobbiamo farci trovare pronti con le soluzioni pronte in mano.

Quando si usa RouterOS in ambienti complessi è molto utile avere strumenti di analisi in tempo reale del traffico di rete. Ecco che la funzionalità di IP Accounting del nostro dispositivo ci offre un’arma formidabile. Serve ovviamente un software che faccia da collettore per le statistiche sul traffico di rete e poterlo fare da un client remoto aumenta la versatilità della soluzione.
Uno strumento molto utile a tale scopo è Attix5 un programma che installato e configurato come servizio sotto Windows, ci permette di visualizzare i dati di traffico della nostra RouterBoard in tempo reale.

Vediamo come fare.

Configurazione del nostro dispositivo Mikrotik

Sulla RouterBoard sono necessari alcuni semplici passaggi:
1. Creare uno user in sola lettura (read) per la connessione di attix (sniffer/lanostrapassword)
[System]>>[User]>>[Add User]
2. Attivare  l’accounting sul dispositivo.
[IP]>>[Accounting]>>[Traffic Accounting]
[IP]>>[Accounting]>>[Traffic Accounting]>> [Web Access]
A questo punto, prima di procedere oltre, verifichiamo di poter leggere i dati in ingresso, accedendo via web all’indirizzo:
http://IP_RouterBoard/accounting/ip.cgi
Funziona. Adesso possiamo passare alla configurazione di Attix sul nostro client.

Procediamo con la configurazione Attix su Windows

Per prima cosa scarichiamo il programma:
1. Download
2. Estraiamo i sorgenti scaricati (file zip)
Il programma è composto da due parti:
  • Sniffer Service: gira sul client e raccoglie automaticamente i dati dalla Router Board
  • Sniffer Viewer: mostra i dati di traffico in tempo reale in formato grafico sul nostro client
3. Configurare i file.ini nel modo seguente.


Configurazione del servizio Sniffer Service sul nostro client

Editiamo il file SnifferService.ini con un normale editor testuale e inseriamo i parametri per poter “leggere” i dati dalla nostra RouterBoard.

C:\Downloads\SnifferService-2014-06-26\Service> notepad.exe .\SnifferService.ini
[Settings]
#Required settings are uncommented
Network=192.168.17.0
Mask=255.255.255.0
#Mikrotik Server
Mikrotik=192.168.17.254
MikrotikSSHUser=sniffer
MikrotikSSHPassword=lanostrapassword
#This is combined with the Mikrotik IP address to create the accounting URL:
AccountingPath=/accounting/ip.cgi
#Alternative service port to listen on
#ServicePort=80
0
#Specify a different service name (for multiple services on one machine)
ServiceName=Sniffer
ServiceDisplayName=Sniffer
Una volta salvato il file possiamo installare il servizio:
C:\Downloads\SnifferService-2014-06-26\Service>  .\SnifferService.exe /install
Attenzione!! Se non dovesse funzionare avviare il servizio da Gestione attività di Windows

 

A questo punto il Service è pronto ed avviato. Possiamo configurare (semplicemente) il viewer.

Configurazione dello Sniffer Viewer su client 

Editiamo il file Sniffer.ini con un normale editor testuale e accertiamoci che “legga” i dati dal Service che gira sul localhost.

cd E:\Downloads\SnifferViewer-2014-16-26\Viewer> notepad.exe .\Sniffer.ini
[Settings]
#Location of SnifferService. Il viewer legge i dati dal localhost su cui risiede il Service che li ottiene dalla RouterBoard
SnifferService=localhost
#This line can be used to specify a file listing the ips (not required if service is configured with SSH)
#IPSource=http://localhost/ip
#IPSource=c:\temp\ips.txt
#Incoming and outgoing max bandwith (not required, for display purposes only)
#LineCapacityInbit=1000000
#LineCapacityOutbit=512000

Per poter leggere i dati è necessario avviare il programma come Amministratore:

 

Ecco che compaiono i nostri dati di traffico.

 

Le statistiche vengono mantenute fino al clear. Quindi abbiamo il dato in tempo reale ed il dato di traffico accumulato.
Attenzione!!
  1. Al valore totale che sale ogni volta che si avvia lo SnifferService
  2. Se si va nella gestione del DNS del Mikrotik e si mettono i nomi host nella tabella Static, compariranno i nomi degli host della rete al posto dei loro IP.
Alcune note
Una volta installato il servizio si potrà controllarne il funzionamento ed effettuare eventualmente il debug consultando il file SnifferService.log:
2018/10/23 19:54:47 - Info: Service stopped
2018/10/23 19:54:49 - Info: Starting up sniffer service
2018/10/23 19:54:49 - Info: Mikrotik user: sniffer
2018/10/23 19:54:49 - Info: Mikrotik IP: 192.168.17.155
2018/10/23 19:54:49 - Info: Networks specified: 1
2018/10/23 19:54:49 - Info: Monitoring network: 192.168.17.0/255.255.255.0
2018/10/23 19:54:49 - Info: SnifferService Port: 80
2018/10/23 19:54:49 - Info: Service started
Il servizio va in binding sulla macchina locale su porta 80. Se necessario si può usare un’altra porta specificandolo nel file SnifferService.ini
Da console sulla RouterBoard:
[admin@MikroTik-Netpic] /ip accounting snapshot> take


[admin@MikroTik-Netpic] /ip accounting snapshot> print
# SRC-ADDRESS     DST-ADDRESS        PACKETS      BYTES SRC-USER                                                                   DST-USER
0 10.100.10.155   10.100.10.200            2        280
1 82.57.220.187   130.192.197.130          2        207
2 10.10.10.17     10.10.10.16              1         56
3 82.57.220.187   10.10.29.126             1         56
4 82.57.220.187   10.10.29.127             1         56
5 62.138.209.166  192.168.17.100           1         40
6 69.172.216.55   192.168.17.100           1         40
7 193.33.99.126   192.168.17.221           5        708
8 192.168.17.155  192.168.17.204           1         60
9 10.100.10.155   10.100.10.155           36       2794
10 10.10.10.15     10.10.10.14              1         56
11 82.57.220.187   10.10.29.128             1         56
In pochi minuti è possibile rendere un piccolo dispositivo come una RouterBoard Mikrotik molto più completo, in grado di rivaleggiare con soluzioni hardware e software decisamente più costose, senza contare che si mette a disposizione del cliente dati di traffico e reportistica molto utile per valutare l’utilizzo della rete da parte degli utenti.

 

Siamo a Collegno (TO)

info@netpic.it

+39 01119115797

©  2024 NETPIC IT SOLUTIONS. Realizzato con WordPress e con il tema Mesmerize