VoIP and Hacking | Consulenza Documentazione

Chi è che consuma la maggior parte della banda Internet nella mia rete?
Nel modo in cui si svolge il web browsing works, la maggior parte del traffico di solito avviene in ingresso da Internet (testo, immagini, sound, video), a fronte di una quantità di traffico in uscita molto modesta (richieste HTTP Get ed altri comandi). Se si considera un utente che scarica grossi files (film piratati, immagini, porno, iso images), potrebbe inviare una unica piccola richiesta durante 20 minuti causando tuttavia il trasferimento di 650MB di dati in ingresso.
Pertanto, la banda cui saremo interessati in questo contesto è la banda che ciascun host nella rete locale consuma in ricezione.
Per ottenere l’informazione desiderata, si può procedere come segue:

1. Selezionare l’opzione di menu All Protocols -> Traffic.
2. Nell’elenco a discesa a sinistra, Hosts, selezionare Local Only
3. Nell’elenco a discesa a destra, Data, selezionare Received Only
4. Cliccare sulla VLAN cui si è interessati oppure su ALL per osservare il traffico per tutte le VLANs.
5. Cliccare sulla intestazione della colonna Data per un ordinamento per dati e percentuale.

Ribaltando questo concetto, se un host della rete locale sta inviando più traffico di quanto ne riceva, allora quell’ host sta offrendo servizi “server”  di qualche tipo. Potrebbe trattarsi di un web server, un host P2P cha sta condividendo dei dati mentre altri ne stanno effettuando il download, un FTP server ecc.
Un’altra pagina che può fornire rilevanti informazioni specifiche per il protocollo IP (ntop supporta IPX, AppleTalk ed altri protocolli) è la opzione di menu IP:Traffic Directions:Local to Remote, che esprime in una tabella, per ciascun host locale, la quantità di traffico inviato e/o ricevuto da remoto. Assicuriamoci sempre di effettuare l’ordinamento in base alla colonna Data.

Quali Websites ottengono la maggior parte del traffico da parte della mia azienda?
Seguendo ancora la logica vista in precedenza, i websites più popolari sono quelli che ricevono il maggior ammontare di dati da parte degli utenti locali.
Come esempio, si supponga che ognuno, arrivando in ufficio, si colleghi a Google per consultare la propria email. Di conseguenza gli indirizzi IP che si riferiscono al servizio Gmail riceverà molte richieste. Per generare un elenco di tali websites, si può procedere come segue:

1. Selezionare l’opzione di menu All Protocols -> Traffic.
2. Nell’elenco a discesa a sinistra, Hosts, selezionare Remote Only
3. Nell’elenco a discesa a destra, Data, selezionare Received Only
4. Cliccare sulla VLAN cui si è interessati oppure su ALL per osservare il traffico per tutte le VLANs.
5. Cliccare sulla intestazione della colonna Data per un ordinamento per dati e percentuale.

Quale traffico proveniente da Websites consuma la maggior parte della mia banda?
Si potrebbe necessitare di tale informazione allo scopo di implementare il caching sul proxy server o per bloccare l’accesso a noti divoratori di banda come i siti di download. Ciò cui siamo interessati è quanti dati l’host remoto abbia inviato alla nostra rete.

1. Selezionare l’opzione di menu All Protocols -> Traffic.
2. Nell’elenco a discesa a sinistra, Hosts, selezionare Remote Only
3. Nell’elenco a discesa a destra, Data, selezionare Sent Only
4. Cliccare sulla VLAN cui si è interessati oppure su ALL per osservare il traffico per tutte le VLANs.
5. Cliccare sulla intestazione della colonna Data per un ordinamento per dati e percentuale.

I dati sul traffico remoto possono anche essere ottenuti specificamente per il protocollo IP scegliendo IP -> Traffic Directions -> Remote to Local e quindi effettuare l’ordinamento per Data Sent o Data Received.

Quali applicazioni vengono usate?
In questo contesto “applicazioni” si riferisce ad applicazioni di rete, essenzialmente identificate dalle porte che utilizzano. DNS ad esempio è una applicazione il cui componente server è sempre in ascolto sulla porta 53 UDP. Sebbene la maggior parte dei programmi peer-to-peer per default usa uno specifico range di porte, essi possono anche usare le porte di altri protocolli noti, come http (80), per cui ntop fa riferimento alle informazioni contenute negli header per rilevare i programmi p2p.
Le seguenti pagine di ntop pages forniscono tale informazione:

• Global TCP/UDP Protocol Distribution, accessibile dalla pagina Summary -> Traffic, mostra i grafici relativi alle più note applicazioni rilevate dal momento in cui ntop è stato avviato.

• Accumulated and Historical Views in fondo alla pagina Summary -> Traffic offre pure un grafico del consumo di banda per intervallo di tempo relativo a ciascuna applicazione (protocollo).

• La pagina TCP/UDP: Local Protocol Usage accessibile dalla opzione di menu IP -> Local -> Ports Used elenca le applicazioni servite ed usate dagli hosts locali. Per ciascuna applicazione vengono elencati i nomi o gli indirizzi IP dei clients locali così come dei server locali.

In che ora del giorno la rete viene maggiormente utilizzata?
Per rispondere a questa domanda, basta dare una occhiata alla pagina Summary -> Network Load. Nello specifico al grafico Last Day.

Effettuare un inventario della rete
Nel caso si volesse individuare quali devices eseguano quali servizi di rete, chi siano DHCP, DNS, Web servers, quali hosts siano routers etc., la pagina cui fare riferimento è Local Hosts Characterization, accessibile  IP -> Local -> Hosts Characterization.

Esportazione dei dati di traffico
Potrebbe essere desiderabile scaricare i dati correnti che ntop ha nelle sue strutture di memoria in modo da potervi applicare altri tools di analisi. Per fare ciò, occorre cliccare Utils -> Data Dump per ottenere la schermata seguente. Si può effettuare un dump dei dati relativi a hosts, subnets, host matrix anche per interfaccia. Inoltre il dump dei dati è ottenibile in differenti formati selezionabili dall’elenco a discesa.

Send post as PDF to