Capturer son trafic internet (pour analyse) sans perdre de paquets

[vivien]

Conseils pour l'analyse avec Wireshark / TcpDump
Mode d'emploi pour Windows / Linux / MacOS

Également disponible dans la catégorie Optimisation des débits :

• Tester son débit : Mode d'emploi pour Windows 2000 / XP  / 2003 / Vista
• Tester son débit : Mode d'emploi pour Linux Ubuntu / Debian
• Tester son débit : Mode d'emploi pour MacOS X / autre unix
• Tester son débit : Mode d'emploi avec un live CD (linux sans rien installer) pour PC et Mac
• Optimiser Windows 2000 / XP pour avoir de meilleurs débits
• Optimiser MacOS X pour avoir de meilleurs débits
• Quel canal Wi-FI choisir pour optimiser son débit ?
• Capturer son trafic internet (pour analyse) sans perdre de paquets
• Mettre en place un serveur IPERF

Autres catégories disponible :

• Optimisation des débits
• Tuto divers
• Problèmes ADSL

Vous vous êtes peut etre intéressé à analyser votre trafic ?
En ADSL, l'utilisation de Wireshark (nouveau nom pour Ethereal) ne pose pas de problème particulier si votre PC est puissant.

En fibre optique avec des débits de 50 Mb/s ou 100 Mb/s Wireshark n'arrive pas à capturer tous les paquets.

Comment voir que l'on ne capture pas tous les paquets ?
Après avoir terminé la capture, vous avez "Drop : 0" qui s'affiche en abs de la fenetre wireshark.

Si c'est 0, c'est bon, aucun paquet na été ignoré. Si vous avez "Drop : 5473", vous avez 5473 paquets qui ne sont pas présents 

Quelques suggestions :

• Décocher la case "Update list of packets in real time" dans la fenetre d'option de capture
• Ne pas mettre de filtre lors de la capture (ne pas utiliser les "read filters" ni les "capture filters")
• Arrêter les programmes inutiles afin de libérer de la puissance CPU et de la RAM qui pourra "cacher" les écriturres disque
• Pour les PC avec 2 disques dur, utiliser un disque pour le transfert http / ftp et un pour Wireshark (changer l'emplacement du fichier temporaire)
• Windows uniquement : augmenter la tailler du buffer "Buffer size" dans la fenêtre d'option de capture
• Si vous avez plusieurs carte réseau, tester avec un autre, elle ne consomme pas toute autant de CPU pour un même trafic

Si malgré ces conseils vous perdez encore des paquets, il reste encore 3 solutions :

- Réduire la taille des paquet capturé au strict minimum pour votre usage. Par exemple en n'enregistrant que les 100 premiers octets de chaque paquet contre plus de 1500 habituellement, vous limitez fortement les écriture sur le disque qui sont critique pour la perte de paquets lors de la capture.

- Si vous avez beaucoup de RAM, vous pouvez créer un RAMdisk ou vous demanderez à wireshark d'écrire son fichier. Un RAMdisk est un disque de quelques centaines de Mo qui va puiser l'espace en RAM (c'est donc d'accès immédiat avec un débit de plusieurs Go par seconde). Attention, la mémoire réservée au Ramdisk n´est plus utilisable comme mémoire vive centrale par votre systéme d'exploitation. Faite donc attention a laisser au moins 512 Mo à Windows XP / linux sans quoi il va swaper et la c'est la catastrophe pour la capture. (pour vista laissez 1 Go au système est un minimum)
Mode d'emploi pour crée un ramdisque : pour Windows / pour linux / Pour MacOS


- Utiliser un outil spécialisé dans la capture (Wireshark n'est pas optimiser la capture, pour ne pas avoir de perte, il est conseillé de passer par un outil qui fait de la capture uniquement, source : http://wiki.wireshark.org/Performance). Une fois la capture réalisée vous pourez l'ouvrir avec Wireshark pour apliquer vos filtres et analyser la trace. Ces outils sont WinDump sous windows et TcpDump sous linux.

[vivien]

Mode d'emploi TcpDump

Pour installer TcpDump sous Debian / Ubuntu :
sudo aptitude install tcpdump

Attention, pour utiliser TcpDump, il faut être root. Sous Ubuntu, il suffit de mettre sudo devant le nom de la commande. (sudo tcpdump ....)


Voici les lignes de commande que j'utilise pour TcpDump :

Pour capturer la totalité des paquets (-s 0 = illimité) :
# tcpdump -i eth0 -n -s 0 -w fichier.cap

Pour ne capturer que les 100 premiers octets de chaque paquets :
# tcpdump -i eth0 -n -s 100 -w fichier.cap

Pour capturer la totalité des paquets qui viennent de l'IP 192.168.1.1 et du port 5001 :
# tcpdump -i eth0 -n -s 0 -w fichier.cap host 192.168.1.1 and port 5001

Pour ne capturer que les 100 premiers octets de chaque paquets qui viennent de l'IP 192.168.1.1 et du port 5001 :
# tcpdump -i eth0 -n -s 100 -w fichier.cap host 192.168.1.1 and port 5001

• eth0 représente l'interface Ethernet sur laquelle je capture le trafic
• fichier.cap le chemin/nom du fichier crée
• -n = Ne pas convertir les adresses (comme l'IP, le port, ect...) vers des noms.
  

[vivien]

Mode d'emploi pour faire un RamDisk sous linux

Sous Debian / Ubuntu :

Pour créer un RamDisk dans /tmp/ramdisk, une fois (au prochain redémarrage, il n'y aura pas de ramdisk), vous devez taper les commande suivantes :

• sudo mkdir /tmp/ramdisk0    (créer un point de montage)
• sudo mke2fs /dev/ram0    (créer / formater un système de fichiers)
• sudo mount /dev/ram0 /tmp/ramdisk0    (monter le ramdisk)
• sudo chmod ugoa+rwx /tmp/ramdisk0    (Donner tous les droits d'exécutions pour que root ne soit pas le seul autorisé a écrire)

Pour qu'a chaque démarrage, le RamDisk soit crée (souvenez-vous que les informations étant en ram, tout est pderdu si le PC est éteint), ces informations doivent être incorporé au fichier /etc/rc.local

sudo nano -w /etc/rc.local

Placez les lignes suivantes devant le exit 0 :

Code:

mkdir /tmp/ramdisk0
mke2fs /dev/ram0
mount /dev/ram0 /tmp/ramdisk0
chmod ugoa+rwx /tmp/ramdisk0
exit 0

Pour modifier la taille max du RamDisk (par default le ramdisk est limité à 64 Mo) à 500 Mo sous linux, on doit modifier le fichier de menu ( /boot/grug/menu.lst ) de grub, l'utilitaire qui permet de démarrer linux :

sudo nano -w /boot/grub/menu.lst

Il faut rajoutez à la fin de la ligne ramdisk_size=500000 :

Vous avez une ligne du type :

Code:

kernel          /boot/vmlinuz-2.6.22-14-generic root=UUID=247a6bba-fe61-4f09-b6ee-1aa973cd3996 ro quiet splash locale=fr_FR

ou

Code:

kernel          /boot/vmlinuz-2.6.24-16-generic root=UUID=8111005e-9c1a-479d-b482-a6cee206795b ro quiet splash

Il faut donc le modifier comme ceci :

Code:

kernel          /boot/vmlinuz-2.6.22-14-generic root=UUID=247a6bba-fe61-4f09-b6ee-1aa973cd3996 ro quiet splash locale=fr_FR ramdisk_size=500000

ou

Code:

kernel          /boot/vmlinuz-2.6.24-16-generic root=UUID=8111005e-9c1a-479d-b482-a6cee206795b ro quiet splash ramdisk_size=500000

Information importante : Sous linux un RamDisk ne prend de la place en RAM qu'a hauteur des fichiers copiés dessus. Si vous avez 1 Go de RAM, la création de ce RamDisk de taille maximum de 500 Mo ne prendras pas de place en RAM tant que vous n'y metterez pas de fichiers. Par contre il sera impossible d'écrire plus de 500 Mo, comme si c'était une clef USB de 500 Mo.

PS : J'ai des problèmes a monter des ramdisk de taille > 500 Mo (PC avec 2 go de ram). Le formatage se passe bien mais impossible de monter la partition :

Code:

# mount -t ext2 /dev/ram1 /tmp/ramdisk0
mount: wrong fs type, bad option, bad superblock on /dev/ram1, missing codepage or helper program, or other error

Par contre aucun problème pour utiliser plusieurs de 500 Mo simultanément.