Seguimos con esta serie dedicada a Argus – Auditing Network Activity, que iniciamos con la parte I (Argus. Auditando el tráfico de red. Parte I) dedicada a entender un poco su filosofía, uso básico y las herramientas ra y rasort.
También vimos en la parte 2 (Argus. Auditando el tráfico de red. Parte 2 )el uso de racluster para la agrupación de datos según unos criterios establecidos y generando unos reportes estádisticos muy potentes y flexibles.
En esta ocasión vamos a estudiar la generación de gráficas con ragraph.
¿ Qué es ragraph ?.
Se trata de una herramienta de Argus, un script de perl, que se encarga de la generación de gráficas a partir de los datos aportados por otras herramientas de la suite o datos en formato argus almacenados en ficheros.
Para su uso es preciso tener instalado:
- Perl
- RDDtool
Generación de gráficas con ragraph.
Ragraph soporta, para la generación de gráficas, la siguientes métricas:
- bytes,
- packet,
- average
- duration,
- loss,
- jitter,
- load,
- rate.
Y podemos asociar estas métricas con inforamación de direcciones IP (saddr y daddr), puertos y número de puertos, protocolos, etc.
Ragraph genera un archivo, por defecto, png. Para salvar un archivo usamos -w.
Y como en todas la herramientas, podemos usar las opciones de ra. Hemos visto algunas y en otros capítulos profundizaremos.
Además tenemos una serie de opciones para formatear o modificar la apriencia de nuestras gráficas. Lo iremos viendo en los ejemplos.
Y como siempre, los ejemplos prácticos serán los que nos habran la mente y veamos como funciona.
Ejemplo 1.
Queremos generar una gráfica con una métrica por bytes a partir de un determinado fichero de datos argus.
Lo más simple para este caso sería:
ragraph bytes -M 5s -r XPLICO.arg -title «Bytes totales» -width 560 -height 350 -w ejemplo1.png
- bytes métrica para generar datos ede bytes/segundo
- -M 5s para el eje x cada 5 segundos.
- -r leemos el archivo de datos
- -title ponemos un título a la gráfica
- -w salvamos la gráfica
- -width -height establecemos dimensiones de la gráfica
Este sería el ejemplo más sencillo.
Ejemplo 2.
Vamos ahora a generar un gráfica de bytes/segundo atendiendo a los puertos udp destino usados. Indicamos entonces las métrica bytes y dport y establecemos un filtro para solo udp.
ragraph bytes dport -M5s -r XPLICO.arg -title «Bytes totales / puertos udp» -height 350 -width 560 -w ejemplo2.png – udp
Vemos, con colores los puertos usados.
Ejemplo 3.
Generamos una gráfica para bytes totales tanto destino como origen.
ragraph dbytes sbytes -M5s -r XPLICO.arg -title «Bytes totales origen destino» -height 350 -width 560 -w ejemplo3.png
Ejemplo 4.
Generamos una gráfica igual que la anterior pero añadimos IP origen solo para nuestra red interna. Establecemos un filtro y añadimos a la métrica saddr. Además solo queremos las 5 IPs que más tráfico generan.
ragraph dbytes sbytes saddr -N 5 -M5s -r XPLICO.arg -title «Bytes totales segun IP origen» -height 350 -width 560 -w ejemplo4_1.png – src net 192.168.1.0/24
Ejemplo 5.
En este caso generaremos una gráfica para retransmisones y pérdidas de paquetes tanto para origen como destino.
ragraph sloss dloss -N 5 -M10s -r 050608.arg -title «Retransmisones / perdida paquetes» -height 350 -width 560 -w ejemplo5.png
Ejemplo 6.
Vamos a ver las tráfico relativos a DNS (udp puerto 53). La métrica según bytes y IP de origen.con la opción -fill eliminamos el releno de las barras.
ragraph bytes saddr -M1s -fill -r gateway.arg -w ejemplo6.png – udp and port 53
Ejemplo 7.
Bytes por protocolo pero solo para udp.
ragraph bytes proto -M20s -fill -r 050608.arg -title «Bytes por protocolo» -w ejemplo7.png – udp
Ejemplo 8.
Para medidas de rendimiento Jitter, IP origen y bytes origen/ destino.
ragraph saddr dbytes sbytes jitter -M1s -fill -r skipe.arg -title «Jitter» -w ejemplo8.png – src net 192.168.1.0/24
==============
Bueno, y hasta aquí por hoy. Después de estos dias de fiesta seguiré con la serie dedicada a Argus. Felices fiestas y hasta la próxima.
Seguridad y Redes 
Pingback: Argus. Auditando el tráfico de red. Parte 6. Argus y Geolocalización con GeoIP. | Seguridad y Redes
Excelente aporte! Muchas Gracias!!