Surveiller son trafic réseau avec Ntop
Ntop est un utilitaire pour Unix et Windows. Il permet d’analyser en temps réel le trafic transitant par l'interface réseau que l'on choisit. Les informations récoltées sont visibles sur une page web de manière très ergonomique. On peut y retrouver par exemple les sites visités, les protocoles utilisés (il y en a beaucoup), la quantité de données transférées sur chaque protocoles.... Par contre il ne garde aucune trace des informations et il utilise le Round Robin pour supprimer au fur et à mesure les anciennes données. Il y a aussi des petits plugins pour ajouter des fonctionnalités, par exemple un affichage adapté à un navigateur mobile.
Pour l'installer :
sudo apt-get install ntop
Lancement du daemon NtopPour lancer Ntop, il faut saisir la commande suivante:
sudo ntop -w 3000 -W 3443
On lance Ntop et on lui demande de créer un serveur Web sur le port 3000 (HTTP) pour afficher les résultats.Si vous avez plusieurs interfaces réseaux sur votre machine, vous pouvez utiliser l’option ‘-i interface‘ pour fixer l’interface à surveiller par Ntop.Pour changer le port utilisé par Ntop pour afficher son interface web: ‘-w port HTTP‘ ou ‘-W port HTTPS‘.
Il suffit ensuite d'aller sur http://monIP-ou-domaine:3000 ou https://monIP-ou-domaine:3443. A ce moment là on obtient de magnifiques graphes et statistiques sur beaucoup de protocoles comme Http, FTP, DNS, eDonkey, WinMX, SSH...
De plus, dans l'interface de configuration, on peut configurer Ntop pour se lancer en tant que daemon au démarrage du système :
Un problème de cet utilitaire est qu'on ne peut pas l'utiliser directement sur le port 80 ou dans un Virtual Host d'Apache. Cependant, voici une solution. Commençons pas activer les modules Apache2 :
a2enmod proxy a2enmod proxy_http
Ensuite, il faut modifier les fichiers de configuration d'Apache2 en rajoutant un VirtualHost :
<VirtualHost *:80> ServerAdmin adressemailadmin@domaine.fr ServerName ntop.domaine.fr ProxyRequests Off <Proxy *> Order deny,allow Allow from all </Proxy> ProxyPass / http://localhost:3000/ ProxyPassReverse / http://localhost:3000/ CustomLog /var/log/apache2/access.log combined </VirtualHost>
Vous pouvez ensuite modifier votre VirtualHost pour sécuriser tout ça en activant HTTPS ou en mettant un mot de passe.