Berechnen Bandbreite pro IP mit scapy, iftop-Stil

Ich bin mit scapy zu schnuppern ein mirror-port und generiert eine Liste der top 10 "der Sprecher", D. H. eine Liste der hosts mit den meisten Bandbreite in meinem Netzwerk. Ich bin mir bewusst von bereits vorhandenen Instrumenten wie iftop und ntop, aber ich brauche mehr Kontrolle über die Ausgabe.

Folgende Skript-Beispiele-Verkehr für 30 Sekunden und dann druckt eine Liste der top 10-talkers im format "Quell-host -> Ziel-host: Byte". Das ist großartig, aber wie kann ich berechnen Sie die Durchschnittliche bytes pro Sekunde?

Ich hatte das Gefühl, dass eine änderung sample_interval bis zu 1 Sekunde nicht für ein gutes sampling-Verkehr, so es scheint, ich muss den Durchschnitt aus. So habe ich versucht, diese am Ende des scripts:

bytes pro Sekunde = (Gesamtanzahl bytes /sample_interval)

aber die resultierenden Bytes/s scheint viel niedriger. Ich zum Beispiel erzeugt ein rsync zwischen zwei hosts, die auf eine gedrosselte rate von 1.5 MB/s, aber mit dem oben genannten Durchschnitt Berechnung, mein Skript gehalten die Berechnung der rate zwischen diesen hosts so um die 200 KB/s...viel niedriger als 1,5 MB/s als ich erwarten würde. Kann ich bestätigen mit iftop, dass 1,5 MB/s ist in der Tat die rate zwischen diesen beiden hosts.

Bin ich insgesamt bis Paketgrößen falsch mit scapy (siehe traffic_monitor_callbak-Funktion)? Oder ist das eine schlechte Lösung zusammen :)?

from scapy.all import *
from collections import defaultdict
import socket
from pprint import pprint
from operator import itemgetter

sample_interval = 30  # how long to capture traffic, in seconds

# initialize traffic dict
traffic = defaultdict(list)

# return human readable units given bytes
def human(num):
    for x in ['bytes','KB','MB','GB','TB']:
        if num < 1024.0:
            return "%3.1f %s" % (num, x)
        num /= 1024.0

# callback function to process each packet
# get total packets for each source->destination combo
def traffic_monitor_callbak(pkt):
    if IP in pkt:
        src = pkt.sprintf("%IP.src%")
        dst = pkt.sprintf("%IP.dst%")

        size = pkt.sprintf("%IP.len%")

        # initialize
        if (src, dst) not in traffic:
            traffic[(src, dst)] = 0

        else:
            traffic[(src, dst)] += int(size)

sniff(iface="eth1", prn=traffic_monitor_callbak, store=0, timeout=sample_interval)

# sort by total bytes, descending
traffic_sorted = sorted(traffic.iteritems(), key=itemgetter(1), reverse=True)    

# print top 10 talkers
for x in range(0, 10):
    src = traffic_sorted[x][0][0]
    dst = traffic_sorted[x][0][1]
    host_total = traffic_sorted[x][3]

    # get hostname from IP
    try:
        src_hostname = socket.gethostbyaddr(src)
    except:
        src_hostname = src

    try:    
        dst_hostname = socket.gethostbyaddr(dst)
    except:
        dst_hostname = dst


    print "%s: %s (%s) -> %s (%s)" % (human(host_total), src_hostname[0], src, dst_hostname[0], dst)

Ich bin mir nicht sicher, ob dies ist eine Programmier - (scapy/python) Frage oder mehr eine Allgemeine Netzwerk-Frage, also nenne ich es die ein Netzwerk-Programmierung in Frage.

InformationsquelleAutor Banjer | 2014-01-13

3

Hi,

Zuerst von all, Sie haben einen Fehler in dem code, den Sie geschrieben haben: statt host_total = traffic_sorted[x][3] du meinst wohl host_total = traffic_sorted[x][1].

Dann, Sie haben einen Fehler: Sie vergessen, sich zu teilen host_total durch die sample_interval Wert.

Als Sie auch möchten, fügen Sie Empfänger-Absender Verkehrs-und sender-zu-Empfänger, ich denke, der beste Weg wäre, um eine "geordnete" Tupel (die Ordnung selbst ist nicht wirklich wichtig hier, lexikographische Ordnung wäre gut, Sie könnten aber auch arithmetische da, um IP-Adressen sind 4 Bytes Integer) als Schlüssel für die Counter Objekt. Dies scheint zu funktionieren:
```
#! /usr/bin/env python

sample_interval = 10
interface="eth1"

from scapy.all import *
from collections import Counter


# Counter is a *much* better option for what you're doing here. See
# http://docs.python.org/2/library/collections.html#collections.Counter
traffic = Counter()
# You should probably use a cache for your IP resolutions
hosts = {}

def human(num):
    for x in ['', 'k', 'M', 'G', 'T']:
        if num < 1024.: return "%3.1f %sB" % (num, x)
        num /= 1024.
    # just in case!
    return  "%3.1f PB" % (num)

def traffic_monitor_callback(pkt):
    if IP in pkt:
        pkt = pkt[IP]
        # You don't want to use sprintf here, particularly as you're
        # converting .len after that!
        # Here is the first place where you're happy to use a Counter!
        # We use a tuple(sorted()) because a tuple is hashable (so it
        # can be used as a key in a Counter) and we want to sort the
        # addresses to count mix sender-to-receiver traffic together
        # with receiver-to-sender
        traffic.update({tuple(sorted(map(atol, (pkt.src, pkt.dst)))): pkt.len})

sniff(iface=interface, prn=traffic_monitor_callback, store=False,
      timeout=sample_interval)

# ... and now comes the second place where you're happy to use a
# Counter!
# Plus you can use value unpacking in your for statement.
for (h1, h2), total in traffic.most_common(10):
    # Let's factor out some code here
    h1, h2 = map(ltoa, (h1, h2))
    for host in (h1, h2):
        if host not in hosts:
            try:
                rhost = socket.gethostbyaddr(host)
                hosts[host] = rhost[0]
            except:
                hosts[host] = None
    # Get a nice output
    h1 = "%s (%s)" % (hosts[h1], h1) if hosts[h1] is not None else h1
    h2 = "%s (%s)" % (hosts[h2], h2) if hosts[h2] is not None else h2
    print "%s/s: %s - %s" % (human(float(total)/sample_interval), h1, h2)
```
Ist es möglich, dass Scapy ist nicht schnell genug, um den job zu erledigen. Um sicher zu sein, können Sie mit z.B. tcpdump -w ist, erfassen Sie Ihren traffic auf eine Datei sample_interval Sekunden, und führen Sie (durch die Art und Weise, einen Blick auf den Weg, um die Funktion anwenden, um die Pakete, ich denke, es ist eine gute Sache zu wissen, wenn Sie Scapy oft):
```
#! /usr/bin/env python

sample_interval = 10
filename="capture.cap"

from scapy.all import *
from collections import Counter

traffic = Counter()
hosts = {}

def human(num):
    for x in ['', 'k', 'M', 'G', 'T']:
        if num < 1024.: return "%3.1f %sB" % (num, x)
        num /= 1024.
    return  "%3.1f PB" % (num)

def traffic_monitor_callback(pkt):
    if IP in pkt:
        pkt = pkt[IP]
        traffic.update({tuple(sorted(map(atol, (pkt.src, pkt.dst)))): pkt.len})

# A trick I like: don't use rdpcap() that would waste your memory;
# iterate over a PcapReader object instead.
for p in PcapReader("capture.cap"):
    traffic_monitor_callback(p)

for (h1, h2), total in traffic.most_common(10):
    h1, h2 = map(ltoa, (h1, h2))
    for host in (h1, h2):
        if host not in hosts:
            try:
                rhost = socket.gethostbyaddr(host)
                hosts[host] = rhost[0]
            except:
                hosts[host] = None
    h1 = "%s (%s)" % (hosts[h1], h1) if hosts[h1] is not None else h1
    h2 = "%s (%s)" % (hosts[h2], h2) if hosts[h2] is not None else h2
    print "%s/s: %s - %s" % (human(float(total)/sample_interval), h1, h2)
```
- Ja, ich glaube, du hast Recht in Bezug auf sender-und Empfänger-Verkehr. Im Blick auf die iftop's-Ausgabe,, ich kann sehen, es zeigt den kombinierten Verkehr zwischen zwei hosts. Was ist eine schöne pythonic Weise zu kombinieren, die Ergebnisse am Ende, D. H. kombinieren von Tupeln? Zum Beispiel, wenn Sie Ergebnisse in der traffic dict für (host1,host2) + (host2, host1).
- Gerade aktualisiert meine Antwort. Tut dies ganz die Antwort auf Ihre Frage?
- Wow, netter code. Viel effizienter und cleverer als meine :). Ich bin immer noch neugierig, warum die endgültige Summe für die einzelnen host-pair-Mädchen ist noch so gering, auch wenn der Verkehr Richtungen kombiniert werden, beim Vergleich von side-by-side mit iftop? iftop scheint korrekt zu sein, basierend auf meiner gedrosselt rsync-tests. Vielleicht sample_interval sollte höher eingestellt werden, um sagen wir, 60 Sekunden? Ich Frage mich, wie iftop ist, Dinge zu tun hinter den kulissen..., dass vielleicht das beste Beispiel, da ich ziemlich viel zu bauen versuchen, die gleiche Sache, aber mit scapy.
- Verdammt! so ist das immer noch keine gute Antwort auf Ihre Frage! Ich aktualisiert meine Antwort, um zu überprüfen, ob Scapy ist zu langsam und findet Pakete.
- Ja, dass sieht genauer! Die Summen am Ende etwas höher, aber viel besser Aussehen. Gibt es eine Möglichkeit zu haben scapy Blick auf die Zeitstempel der letzten X Sekunden? d.h. ich werde zeigen scapy zu einem tcpdump cap-Datei, die kontinuierlich aktualisiert und scapy können Sie einfach schnappen Sie sich die letzten X Sekunden aus der Datei. Sie haben nicht zu verbringen Zeit auf, dass, wenn Sie möchten :). Auch, können Sie Bearbeiten Ihre Antwort zu zeigen, nur der Letzte code und eine Erklärung, die besagt, dass "scapy ist zu langsam" für diese Aufgabe? Dann werde ich mark als angenommen. Dies wird sehr hilfreich sein für andere. Ich Schätze alle Ihre Bemühungen.
- Ich bearbeitet meine Antwort, aber ich habe mir eine version, wo ich schnüffeln das Netzwerk (mit einigen zusätzlichen Anmerkungen) und die version wo ich das gelesen habe eine PCAP-Datei. Ist es OK für dich ? Wenn die Summe höher ist, ist es möglicherweise auch, weil mit diesem script sind Sie zählen die ganze IP-Pakete, die " Größe, wo andere tools, vielleicht zählen nur die IP-Nutzlast (oder sogar die TCP-Nutzdaten). Über das lassen Scapy Lesen aus einer Datei kontinuierlich, zwei Dinge: ich würde das subprocess Modul (und subprocess.PIPE als tcpdump -w's stdout; ich denke, dass Scapy ist zu langsam, weil es Konstrukte, die ganzen Pakete und es wird immer noch zu langsam.
- Klingt gut - ich kenn Eure Antwort als akzeptiert. Nochmals vielen Dank. Ich werde mit der "Lesen von ein tcpdump cap Datei" - Methode vorwärts. Wenn ich kann schau mal auf Briefmarken und greifen alle Pakete aus der letzten X Sekunden, ich kann mir vorstellen scapy der Langsamkeit wäre nicht ein Faktor sein, und damit wäre nicht "verlieren" alle Pakete, so sollte es korrekt sein.
- Nur eine Sache habe ich nur, wenn Sie über: versuchen Sie IP.payload_guess = [] nur nach dem Import von Scapy. Das wird verhindern, dass Scapy von Leichen IP Nutzlast und könnte etwas Zeit sparen.
InformationsquelleAutor Pierre
0

Das kann es nicht sein, aber sind Sie vielleicht die Vermischung mega*bits* pro Sekunde (Mb/s) und mega*bytes* pro Sekunde (MB/s)? Sie scheinen zu Messen, die Menge der gesendeten Daten in byte und dann die Umwandlung dieser zu MB/s, aber ich Frage mich, ob th rsync-Sie legen uo ws spec ' D in bits als 1,5 Mb/sec. Wenn also die Tatsache, dass Ihr Skript gibt Ihnen 200 kB/s ist zumindest in der richtigen ballpark bei 1,5 Mb/s...
- Ich bin mit der --bwlimit=1500 option bei rsync. man rsync sagt, das ist zu limit I/O bandwidth; KBytes per second, so dass die rund 1,5 Megabyte/s. Kann ich bestätigen mit iftop sowie (Kakteen)[cacti.net/] Diagramme, die ich bin in der Tat drängen, dass die Menge des Verkehrs. Vielen Dank für die Klarstellung, obwohl.
InformationsquelleAutor Tommy

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.