Anche se non tutti fanno uso di pratiche del genere, monitorare lo stato della propria rete può rivelarsi utile in molteplici casi.
Ad esempio, se improvvisamente notate attività sospetta (ed inaspettata) di una o più applicazioni della vostra macchina, con una serie di comandi potrete rendervi conto delle applicazioni che si collegano alla rete per constatare se siete vittime di un rootkit o di un malware in generale.
O, ancora, potrebbe ritornare utile rendervi conto di quale programma usa maggiormente la banda di rete. Se siete sviluppatori e state scrivendo un’app che fa uso di Internet, inoltre, monitorare il tutto può essere molto utile ai fini di debug.
Di seguito mostreremo alcuni esempi di utilizzo tipico di quattro applicazioni da linea di comando – utili quindi anche per l’utilizzo da remoto – atte allo scopo.
Le applicazioni contrassegnate come “monitor” permetteranno di monitorare il sistema in real-time finché non verranno manualmente interrotte, quelle contrassegnate come “istantanee” restituiranno come output un’istantanea dello stato della rete.
Controllare la rete da terminale con Linux
Nethogs (Monitor)
Indubbiamente uno dei tool dall’utilizzo più semplice e particolarmente adatto agli scopi prefissi: in poche parole nethogs permette di visualizzare il traffico di rete in transito tra le applicazioni eseguite in modalità grafica.
Richiede i privilegi di root per essere utilizzato.
Tramite nethogs si possono ottenere informazioni quali il pid del processo, l’utente che lo esegue, il nome (ed eventualmente i parametri) del processo, l’interfaccia di rete e la velocità di invio e ricezione dei dati (in KB/s).
Per procedere, basterà digitare a terminale il comando
nethogs interfaccia_di_rete
(ad es. nethogs wlan0). E’ possibile uscire in qualsiasi momento dal monitor utilizzando il tasto “q”.
Nethogs potrebbe non essere installato di default sul sistema operativo: in tal caso potrete utilizzare il vostro gestore pacchetti (apt, dnf, yum, pacman, yaourt o quant’altro) per procedere al download e all’installazione.
Nel caso di Ubuntu e Debian potrete installare nethogs tramite il comando
sudo apt install nethogs
TCPDUMP (Monitor)
TCPDump è indubbiamente uno degli applicativi più completi ed utili (forse qualche volta fin troppo) per sorvegliare del traffico di rete.
Esso permette di monitorare, visualizzare, analizzare e loggare qualsiasi cosa passi attraverso la rete, permettendo all’utente di prendere visione degli indirizzi di arrivo e destinazione, delle porte d’ascolto, dell’offset dei pacchetti, della tipologia dei pacchetti in transito, dell’header (o del contenuto completo) dei pacchetti, delle applicazioni locali che li gestiscono e tanto, tanto altro ancora.
Come avrete inteso tcpdump è particolarmente utile ai fini di low-level debugging e necessita dei permessi di root per funzionare. Un utilizzo di base di tcpdump potrebbe essere
tcpdump -bi interfaccia_di_rete
Volendo è possibile redirigere l’output in un file di testo, digitando
tcpdump -bi interfaccia_di_rete > logfile.txt
Per interrompere la scansione è possibile utilizzare in qualsiasi momento la combinazione di tasti CTRL+C.
LSOF (Istantanea)
Il comando lsof (list open file) permette, nel suo utilizzo di base, di ottenere una lista dei file aperti dal sistema operativo.
Se invocato col parametro -i permette di ottenere informazioni sui processi (nomi e pid) che utilizzano la rete, sul loro stato (connessione stabilita, in chiusura, in listening), sul tipo di protocollo IP usato (ipv4/v6), sulla dimensione dei pacchetti, sulle porte locali in uso e sull’indirizzo di destinazione dei pacchetti in uscita (o l’indirizzo di arrivo dei pacchetti in entrata).
Quindi, per ottenre una lista di tutti i processi utente che interagiscono con la rete, bisognerà digitare:
lsof -i
Per ottenere una lista dei processi utente che stanno utilizzando la rete andremo a digitare
lsof -i | grep ESTABLISHED
Per ottenere una lista dei processi di tutti gli utenti (e del sistema operativo) che interagiscono con la rete dovremo eseguire gli stessi comandi da root (o utilizzando sudo).
Netstat (istantanea)
Il comando netstat, nel suo utilizzo di base, permette di visualizzare diverse statistiche su tutte le connessioni (sia internet che di sistema, tramite socket).
Se raffinato con determinati parametri sarà possibile visualizzare informazioni sull’utilizzo della rete del tutto simili a quelle mostrate da lsof, con in più le code di invio e ricezione pacchetti.
Quindi, per ottenre una lista di tutti i processi utente che interagiscono con la rete, bisognerà digitare:
netstat -tuapw --numeric-hosts --numeric-ports
Per ottenere una lista dei processi utente che stanno utilizzando la rete bisognerà digitare
netstat -tuapw --numeric-hosts --numeric-ports | grep ESTABLISHED
Chiaramente è possibile salvare in un file l’output del comando semplicemente utilizzando l’operatore di redirezione:
netstat -tuapw --numeric-hosts --numeric-ports | grep ESTABLISHED > log.txt
Per ottenere una lista dei processi di tutti gli utenti (e del sistema operativo) che interagiscono con la rete basterà eseguire gli stessi comandi da root (o utilizzando sudo).
Ciao,
Vorrei monitorare la mia rete di casa perchè spesso perdo la connessione:
Ho un abbonamento con Eolo, antenna sul tetto, convertitore sul solaio e circa 25-30 metri di cavo ethernet che portano la linea in casa collegata al router (testato con TPLINK ed ora con DLINK).
Da quando ho collegato il router della Dlink capita molto più di rado, ma comunque succede che perdo la connessione per diverso tempo, dopodichè si ripristina in automatico, mentre con Tplink capitava anche per giorni e spesso spegnendo e riaccendo il router tornava…
Vorrei capire dove esattamente perdo la connessione e pingare non è la soluzione adatta…
Esiste qualche programma specifico per questo???
Grazie
nethogs dei repo ora funziona ? ricordo di averlo dovuto compilare da qualche parte.
Mi potresti guidare tra tutti questi comandi quale dovrei usare per risolvere questa situazione?
Ogni tanto la rete adsl mi si pianta, ho alice a 7 mb, e una serie di pc collegati e non solo: al router principale ho collegato un ripetitore wi-fi tp-link poi uno di quei cosi (non ricordo il nome) che ti portano internet tramite le prese della corrente elettrica (powerline mi sembra si chiamino) e poi sempre dal router principale mi parte una scatoletta hub che mi porta la lan ad altri 5 pc. Oltre ad avere diversi dispositivi wifi collegati. Ma praticamente mai questi dispositivi vengono utilizzati insieme tanto da mangiare tutta la rete, anzi a volte mi si piantava quando non c’era nessun utente che stesse navigando o scaricando.
Sono sicuro che uno dei tanti “mangia” la banda (non credo che il problema sia il router perché quando si pianta lo spengo e lo riaccendo e il problema rimane) come faccio ad individuare quale pc o smartphone o ripetitore è?
Grazie mille!!
Ogni volta cerco di impararle ma se non si ci ha a che fare ogni giorni o quasi me le ridimentico T.T
Imparare? ma viva gli alias! =D
La parte di me stronza che dice no devi essere pronto al peggio in ogni situazione è in disaccordo. Se un giorno dovessi fare il sistemista e dovessi controllare il traffico su un server da remoto e per questioni di tempo non posso mettermi a cercare sulla rete o usare il man, questo è un problema (l’alias).
E’ tipo giocare con i cheat. E poi inventarsi cose strane tipo -tuapw (tieni un alligatore per lavoro/work) è più divertente.
Se un giorno dovessi fare il sistemista girerai con una chiavetta usb piena di script in perl che fanno tutto, script che ti sarai bellamente preparato in poltrona. Dovrai solo ricordarti di usare il più possibile roba preinstallata nelle distribuzioni server :D
Fonte: esperienza personale