Como monitorar o tráfego de rede no Linux

O monitoramento do tráfego de rede ajuda seus sistemas de computador a funcionar de forma rápida, eficiente e segura, aplicando insights extraídos por ferramentas de monitoramento. O monitoramento de rede eficaz fornece às equipes de TI os insights necessários para evitar downtimes da rede, superar gargalos de desempenho da rede e mitigar diversas ameaças à segurança provenientes de conexões de entrada.

Neste artigo, discutiremos como monitorar o tráfego de rede em sistemas Linux. Como os servidores Linux são amplamente usados para hospedar aplicações e administrar redes, a maioria das ferramentas de monitoramento de rede são projetadas especificamente para sistemas operacionais Linux. Discutiremos as principais ferramentas de Interface de Linha de Comando (CLI) que monitoram o tráfego de rede com eficiência no Linux e mostraremos vários cenários em que elas podem ser usadas.

Importância de monitorar o tráfego de rede no Linux

A maioria das aplicações modernas são expostas a vários serviços de rede remota por meio de processos em segundo plano que coletam dados, notificações push e conexões de soquete da web. Isso significa que seus hosts são constantemente alvo de tráfego de diversas fontes. Isto é especialmente verdadeiro em relação aos sistemas Linux, que são amplamente utilizados como servidores de produção para hospedagem de aplicações e administração de redes. Portanto, compreender o tráfego de rede é um pré-requisito fundamental para que seus servidores e aplicações Linux funcionem perfeitamente.

Veja como ferramentas eficientes de monitoramento de tráfego de rede podem ajudar as equipes de TI:

• Ensure full, real-time visibility of network traffic: As ferramentas de monitoramento de rede realizam a coleta em tempo real de estatísticas de rede capazes de fornecer insights sobre o estado da sua rede. Os dados de tráfego de rede podem ser visualizados e integrados a alertas, logs e sistemas de auditoria para melhorar a eficiência de como sua equipe de TI lida com problemas de desempenho e segurança da rede.
• Detect network misconfigurations: Encontrar padrões de uso de tráfego pode ajudar a identificar configurações incorretas nos níveis de rede e de aplicação. Por exemplo, se sua aplicação estiver configurada para executar trabalhos adicionais em segundo plano com uso intenso de tráfego, esse recurso poderá ser desativado para liberar largura de banda para outras aplicações.
• Troubleshoot network issues: Um sistema eficiente de monitoramento de rede pode ajudar a identificar e corrigir problemas relacionados à rede. Isso pode incluir desconexões, portas fechadas e configurações incorretas de firewall.
• Track security anomalies: Picos de tráfego originados de hosts remotos podem indicar o início de ataques DDoS contra seus servidores. As ferramentas de monitoramento de rede podem ajudar a identificar padrões de fluxo de tráfego em seus servidores e ajudar sua equipe a responder rapidamente a anomalias.
• Facilitate capacity planning and resource distribution: O monitoramento do tráfego de rede também pode ajudar a identificar aplicações com recursos insuficientes ou com consumo excessivo de recursos. Essas informações podem ser usadas para distribuir melhor os recursos.

Como monitorar a atividade de rede no Linux

O monitoramento do tráfego de rede é um componente crucial da administração do sistema Linux. Requer uma abordagem sistemática baseada na identificação clara de objetivos, metas de desempenho e adesão aos padrões de segurança. Um sistema eficaz de monitoramento de rede em servidores Linux deve ser baseado em três camadas interconectadas: integridade geral da rede, tráfego de entrada e tráfego de saída.

Saúde geral da rede

Compreender o estado geral da sua rede, incluindo o tráfego de rede nos níveis da interface e do dispositivo, pode fornecer informações sobre o desempenho da rede e a segurança do seu sistema. Por exemplo, fechar portas não utilizadas ou restringir o acesso às portas a uma lista de IPs conhecidos pode ajudar a reduzir possíveis vetores de ataque em seus sistemas Linux.

Tráfego de entrada

O monitoramento do tráfego de entrada pode ajudar a impedir ataques de rede e manter a segurança de seus servidores (ou sistemas) Linux. Por exemplo, ferramentas de monitoramento de tráfego de rede podem ajudar a identificar conexões que enviam quantidades anormais de tráfego ao seu host. Isso pode ser útil para mitigar ataques DDoS ou encontrar malware instalado localmente.

Tráfego de saída

Outra métrica importante a ser monitorada é a utilização da largura de banda por processos individuais no seu sistema. É útil saber quais aplicações consomem mais e menos largura de banda. Com esse conhecimento, você pode interromper processos que consomem um grande volume de tráfego sem a necessidade de estar ativo e/ou redistribuir recursos de rede para aplicações com problemas.

Além da utilização da largura de banda, o monitoramento do tráfego de rede deve ser integrado à visualização de dados, à análise de dados e aos sistemas de alerta para garantir uma transição rápida da detecção até a resolução de problemas de rede.

Ferramentas de monitoramento de rede

Ferramentas para monitorar o tráfego de rede em um sistema Linux podem ajudar os administradores de sistema a atingir os objetivos listados acima. Geralmente, esses são utilitários leves de linha de comando que exibem o tráfego de entrada e saída, conexões de rede estabelecidas e estatísticas gerais da rede. Algumas ferramentas são projetadas para coletar estatísticas de tráfego de rede nos níveis de interface e dispositivo, enquanto outras permitem avaliar o tráfego de rede no nível da aplicação.

Discutiremos os recursos básicos oferecidos pelas ferramentas mais populares: NetFlow, NetHogs, nload, netstat e iftp.

NetFlow

O NetFlow permite a coleta de metadados de tráfego à medida que ele flui através de um dispositivo (ou interface). Embora seja possível visualizar dados do NetFlow por meio de um terminal, é difícil analisar todos os dados em uma CLI. Ferramentas de monitoramento de rede como o Site24x7 facilitam a coleta de metadados e a apresentação deles em um formato compreensível em um painel de monitoramento de rede. Este painel fornece visibilidade completa da sua rede com estatísticas sobre picos de tráfego, picos nos volumes de tráfego, tráfego de aplicações e interfaces e conversas que consomem muita largura de banda. Além disso, com esta ferramenta, você pode analisar fluxos baseados em diferentes tecnologias como J-Flow, sFlow, IPFIX, NetStream, AppFlow e CFlow.

NetHogs

NetHogs permite agrupar o consumo de largura de banda por um processo individual (identificador de processo). Essa funcionalidade diferencia o NetHogs da maioria das outras ferramentas de rede Linux que agrupam o tráfego por protocolo, interface ou sub-rede. O agrupamento do tráfego por processo torna o NetHogs útil para identificar as causas de picos repentinos de tráfego. Se o seu sistema Linux apresentar atividade de tráfego anormal, NetHogs pode ajudar a identificar imediatamente o processo ou processos que estão causando a atividade anormal.

nload

nload é outra ferramenta de monitoramento de rede baseada em console para Linux. Ele fornece informações sobre o tráfego de entrada e saída, o uso mínimo e máximo da rede e o volume de dados transferidos. Sua principal vantagem é a visualização do tráfego de entrada e saída diretamente no console. Porém, diferentemente do NetHogs, o nload não fornece informações sobre largura de banda da rede por PID, o que limita suas capacidades.

netstat

Outra ferramenta popular de monitoramento de rede CLI é o netstat. Ele exibe conexões de rede de entrada e saída para protocolos TCP e UDP. Os dados coletados são organizados pelo nome do protocolo, endereço local, endereço externo e estado da conexão (por exemplo, ESTABLISHED, CLOSE_WAIT e assim por diante). Além disso, o netstat fornece informações sobre tabelas de roteamento, interfaces de rede e estatísticas de protocolo de rede. Oferece opções para filtrar conexões com base em atributos. Por exemplo, o netstat pode relatar a quantidade total de bytes enviados e recebidos (-b, -i), fornecer estatísticas Ethernet (-e) incluindo pacotes, filtrar por tipo de conexão e exibir estatísticas gerais da rede.

iftop

iftop, que significa interface top, permite exibir em tempo real o uso da largura de banda da rede pela interface de rede e conexão ou host. Usando este utilitário, você pode identificar hosts remotos que tornam sua rede e largura de banda mais lentas para cada interface disponível: por exemplo, Ethernet, redes definidas por software, sem fio e muito mais.

Embora o iftop não mostre o tráfego de rede por processo como o NetHogs faz, você pode facilmente contornar essa limitação. Por exemplo, você pode anotar o número da porta do iftop e usar netstat -p para identificar o processo.

Conclusão

A melhor abordagem para monitoramento de tráfego de rede no Linux é usar uma combinação de ferramentas. Ferramentas de “rede top”, como NetHogs, são úteis para identificar gargalos de largura de banda e redistribuir recursos entre aplicativos de forma eficiente. Ferramentas gerais de rede, como iftop e netstat, ajudam a coletar dados de largura de banda nos níveis de interface e protocolo. Embora a maioria das ferramentas de monitoramento de tráfego de rede baseadas em CLI sejam suficientes para manter a velocidade, a eficiência e a segurança das redes Linux, ferramentas de rede intuitivas baseadas em UI, como o NetFlow Analyzer do Site24x7, fornecem recursos poderosos de visualização de tráfego de rede para um monitoramento de rede mais eficaz.