:Apresentao:

O Iptraf um soft de monitoramento de trfego TCP/IP/UDP/ICMP que tem como

principal funo ficar "escutando" os pacotes que esto trafegando pela rede e
interfaces locais, e apresentar estatsticas sobre quantidade de pacotes
recebidos/enviados pelas interfaces (eth0,eth1,PPPoe...) informaes sobre
conexes ativas , em quais portas elas esto trabalhando, velocidade de
transferncia etc.Em poucas palavras , se bem explorado o iptraf pode dizer tudo
sobre o que est acontecendo em sua rede a nvel de trfego de dados. Suporta
anlises em tipos diferentes de mdias de comunicao como FDDI, ISDN, SLIP,
PPP etc.

: Obtendo o soft e + informaes :

No explicarei como instalar o iptraf, posso garantir que bem simples e no site
encontrars toda a documentao necessria para o feito.Os pacotes esto no
formato tar.gz, sugiro que baixe o binrio ao invs do source pelo simples fato de
que o binrio ja est prontinho pra funcionar, voc poupar tempo
Portanto , mos obra: http://iptraf.seul.org/
: Executando, conhecendo
Com tudo pronto execute o comando:
Citao:
[root@localhost]: iptraf
<enter>

......................

o soft :

A tela acima a inicial do programa. Aperte o enter para voc exibir o menu de
opes:
......................

Vamos a uma breve descrio das opes do menu:

:: IP Traffic Monitor ::
Opo padro para anlise individual de cada interface de rede ou todas elas ao
mesmo tempo.Observe que voc pode inclusive fazer uma anlise da sua
interface de loopback, o famoso 127.0.0.1
......................

Escolha a interface a ser analisada e pressione o <enter>:

......................

Observe que a tela mostra bastante informaes sobre todas as conexes ativas
passando pela interface, ele destaca tambm a origem e o destino da conexo
assim como velocidade e pacotes transmitidos.No exemplo acima foi escolhido
fazer uma anlise de todas as interfaces do computador.
Para ordenar a exibio das conexes por ordem de quantidade de pacotes
transmitidos ou tamanhos de pacotes de transmitidos aperte a tecla "s" e depois
aperte "p" para exibir primeiro as conexes que esto transmitindo a maior
quantidade de pacotes e "b" para exibir as que esto enviando os maiores
pacotes.Para retornar a tela anterior aperte a tecla "ESC"

:: General Interface Statistics ::

Exibe informaes gerais de trfego de dados em todas as interfaces , como

quantidade e tipo de pacote e por fim a velocidade de transferncia atual em

cada uma delas. Faz exatamente o que a opo a seguir faz, s que com menos
detalhes de informaes
......................

:: Detailed Interface Statistics ::

Exibe informaes com um nvel maior de detalhamento, tipo de pacotes,
quantidade e velocidade de transferncia atual em cada uma delas.
......................

Observe que esta opo mostra a quantidade de dados que est saindo/chegando
(Incomig e Outgoing rates) e taxa total. Dados sobre pacotes para o broadcast e

pacotes corrompidos tambm so listados nesta opo.

:: Statistical Breakdowns ::
Esta opo mostra dados sobre o tamanho dos pacotes que andam trafegando em
suas interfaces. Os dados so analisados pelo tamanho padro do MTUs
( Maximuml Transfer Unit ) valor que vai de 1 a 1500 bytes no padro ethernet,
ou seja , ele mostra a quantidade de pacotes trafegados dividindo-os por grupos
de tamanhos respectivos.
Este tipo de anlise interessante pois pode-se identificar um ataque de um
portscaner por sua caraterstica comum, o pequeno tamanho dos pacotes
enviados em grandes quantidades a portas especficas.

:: Criando Filtros para anlise refinada ::

Em algum momento ser interessante querer por exemplo fazer uma anlise dos
dados vindos de um respectivo computador, ou de determinada rede, trfegos em
determinadas portas etc. Sem o uso do filtro os dados chegam em grande
quantidade dificultando uma anlise mais lmpida do que ocorre. Os filtros
existem para facilitar isso, voc consegue obter apenas os dados que realmente
precisa.
No menu principal selecione a opo "Filters" e em seguida na opo " TCP..."
como mostrado abaixo:
......................

Em seguida selecione a opo "Define new filter..."

......................

Agora escoha um nome que melhor defina ao de sua regra, neste exemplo
chamaremos a regra de cliente1.
......................

Vamos criar um filtro que far a anlise de dados entre dois computadores que
usam seu servidor como gateway: So eles 10.0.0.10 e 10.0.0.20
......................

Preencha os dados com hostname ou endereo ip dos dois computadores a serem

analisados nos campos " First e Second". A mscara 255.255.255.255 define que
ser analisado apenas um endereo IP especfico em cada campo, isso por que se
quisessemos poderamos anlisar os dados vindos de toda uma rede. Aperte o
<enter> quando terminar, assim a regra estar criada.
Volte a tela anterior apertando o "ESC" e selecione a opo "Apply filter..." , voc
ver uma tela semelhante a abaixo:
......................

Selecione o filtro criado e aperte <enter>. Feito isso aperte a tecla "x" at
retornar ao menu principal.Apartir desse momento o filtro est aplicado e em
qualquer modo que escolher ser mostrado apenas os dados selecionados pelo

filtro que criamos, ou seja , a comunicao existente entre os computadores

10.0.0.10 e 10.0.0.20.
Filtro para analisar a comunicao de toda uma rede:
......................

.
Repare que n ltimo octeto do endereo ip foi colocado o nmero "0" ao invs
de algum outro nmero, isso por que queremos analisar todo o trfego vindo da
rede 10.0.0.0. Para isso voc deve configurar a mscara como 255.255.255.0.
Filtro para analisar a comunicao em determinada porta (ex: 25) :
......................

.
Repare que para criar um filtro para determinada porta, voc deve preencher
tanto o campo de endereamento quanto a mscara como 0.0.0.0 , isso por que
queremos que o filtro esteja atuando somente para pacotes que vo para a porta
25, qualquer pacote direcionado a esta porta ser "pescado" pelo iptraf. Claro
que devemos preencher o campo "Port" com o valor 25.
Vale lembrar que quando voc cria ou edita alguma regra voc precisa aplica-la
novamente como foi descrito anteriormente.

: Finalizando... :
Amigos , sei que faltaram vrias informaes mas vale lembrar que irei atualizar
este tutorial a medida do possvel. A inteno foi ajudar de maneira rpida e
objetiva aqueles que precisam de ferramentas como esta no seu dia a dia.Eu
queria coloca-lo logo no ar pois dessa maneira me vejo obrigado a atualiza-lo
sempre que alguma nova informao for encontrada. Na prxima atualizao
explicarei as opes gerais do IPtraf que fica na opo "Configure"