ما أفضل برامج مراقبة الشبكات التي تعمل من سطر الأوامر على لينكس ؟

نشره Fahad في

 

مراقبة الشبكة تعد وظيفة مهمة جدا في تقنية المعلومات لكل الأعمال بأحجامها المختلفة و هناك أهداف مختلفة لمراقبة الشبكة فعلى سبيل المثال يعد نشاط المراقبة جزء من مخصصات الشبكة و الحماية الأمنية و اكتشاف أخطاء الأداء و إصلاحها و حساب استخدام الشبكة و ما إلى ذلك. اعتمادا على الهدف تكون مراقبة الشبكة بعدة طرق مثل تشغيل المراقبة على مستوى الرزم أو تجميع بيانات على مستوى التدفق أو زرع محققين في الشبكة أو تحليل سجلات الخادم إلخ.

في حين أن العديد من أنظمة مراقبة الشبكة المتخصصة قادرة على مراقبة 24/7/365 تستطيع أيضا الاستفادة من مراقبي سطر الأوامر في الشبكة في حالات معينة حينما يعتبر نظام مراقبة لمخصص نوعا من المبالغة أو الإفراط. إذا كنت مشرف نظام فإنه يتوقع منك أن تكون لديك خبرة عملية في مراقبة الشبكة باستخدام برامج تعمل من سطر الأوامر  و هنا قائمة بأشهر هذه البرامج المفيدة.

المراقبة على مستوى الرزم


في هذه الفئة تلتقط أدوات المراقبة الحزم الفردية على السلك و تحلل محتواها و تعرض محتوى الحزمة بعد فك شفرتها أو إحصائيات عن مستوى الحزمة. تقوم هذه الأدوات بمراقبة الشبكة من أدنى مستوى و تستطيع القيام بمراقبة دقيقة جدا ولكنها ذات تكلفة عالية على دخل وخرج الشبكة  و جهود التحليل.

١- dhcpdump: مكتشف مرور DHCP على سطر الأوامر يلتقط مرور الطلبات و الاستجابة لDHCP و يعرض رسائل بروتوكول DHCP التي تم تحليلها بصيغة بشرية مفهومة. و هو مفيد في اكتشاف أخطاء DHCP و إصلاحها.

٢- dsniff: مجموعة من أدوات اكتشاف وخداع  مبنية على سطر الأوامر و مصممة لاختبارات التدقيق و الاختراق و تستطيع اكتشاف معلومات متعددة مثل كلمات المرور و مرور NSF و رسائل البريد الإلكتروني و روابط المواقع و ما إلى ذلك.

٣- httpry:مستكشف رزمة HTTP و الذي يلتقط و يفك شفرة حزم الأوامر و الرد في HTTP و يعرضها في صيغة بشرية مقروءة.

٤- IPTraf: عارض إحصائيات الشبكة من سطر الأوامر. يعرض مستوى الحزمات و مستوى الاتصال و مستوى الواجهة و مستوى بروتوكول الحزمة في الوقت الحقيقي. و التقاط الحزم يمكن إدارته بواسطة فلاتر البروتوكول يمكن إدارة هذا البرنامج عن طريق القوائم بالكامل.


٥- mysql-sniffer: مستكشف حزم يلتقط و يفك شفرة الحزم المرتبطة باستعلامات MySQL و يعرض أكثر الاستفسارات تكررا في صيغة مقروءة.

٦- ngrep: يلتقط الحزم الحية و يقوم بمقارنتها بالتعابير الاعتيادية أو التعابير العشرية. و هو مهم في كشف أي مرور غير طبيعي أو كشف أنماط معينة من المعلومات من المرور الحي.
٧- p0f: أداة لتحليل البصمات غير نشطة و هي معتمدة على برامج كشف الحزمة أو أنظمة الهويات أو إعدادات الوكيل أو NAT أو أنواع روابط الشبكة و خصائص مختلفة مرتبطة باتصال TCP النشط.
٨- pktstat: أداة سطر الأوامر تحلل الحزم الحية لعرض مستوى استخدام الاتصال إضافة إلى معلومات وصفية للبرتوكولات (مثل HTTP و GET/POST و FTP و X11)


٩-Snort: أداة كشف التسلل والوقاية  تستطيع كشف / منع مجموعة متنوعة من الأبواب الخلفية، والإقناع  والتصيد، وهجمات برامج التجسس من حركة المرور الحية استنادا إلى تحليل بروتوكول محكوم بقواعد أو عن طريق مطابقة المحتوى.

10. TCPDUMP: كشف الحزمة  بسطر الأوامر وهي قادرة على التقاط حزم الشبكة على السلك بناء على تعبيرات التصفية، وتحليل الحزم، وتفريغ محتوى حزمة لتحليل مستوى الحزمة. يستخدم على نطاق واسع لأي نوع  من الشبكات المتعلقة باستكشاف الأخطاء وإصلاحها، وتطبيق شبكة التصحيح، أو المراقبة الأمنية.

١١- tshark: أداة كشف تعمل من سطر الأوامر تأتي مع الواجهة الرسومية لبرنامج Wireshark و تستطيع التقاط و فك شفرة الحزم الحية على السلك و إظهار محتوى الحزمة التي انفكت شفرتها بطريقة قابلة للقراءة البشرية.

مراقبة التدفق/ العمليات / الواجهات

في هذه الفئة تتم مراقبة الشبكة بتصنيف المرور الشبكي إلى تدفقات مرتبطة بالعمليات أو الواجهات و جمع إحصائيات كل تدفق أو كل عملية أو كل واجهة.مصدر المعلومات يمكن أن يكون حزمة Libpcap  أونظام نواة sysfs الافتراضي. مراقبة هذه الأدوات متدنية و لكن الإشراف على مستوى قدرة الحزمات مفقود.

12. bmon: أداة رصد استهلاك البيانات القائم على وحدة التحكم التي تظهر مختلف المعلومات كل واجهة، ولا يشمل ذلك فقط متوسط /مجموع  إحصاءات RX / TX، ولكن أيضا نظرة تاريخية في استخدام البيانات.


١٣- iftop: أداة مراقبة استهلاك البيانات و الذي يظهر استهلاك البيانات لاتصالات الفرد في الشبكة. و يأتي بواجهة مبنية على ncurses لعرض استهلاك البيانات لجميع الاتصالات مع ترتيبها و يعد مفيدا في مراقبة الاتصالات التي تستهلك البيانات.

١٤- nethogs: أداة لعملية المراقبة التي تقدم نظرة في الوقت الحقيقي للرفع و التنزيل باستخدام نطاق استهلاك البيانات لعمليات الفرد أو البرامج في واجهات مبنية على ncurses و هي مفيدة في كشف العمليات التي تستهلك الكثير من البيانات.

١٥- netstat: أداة سطر الأوامر تعرض إحصائيات و خواص الشبكات مثل اتصالات TCP/UDP المفتوحة و إحصائيات واجهة شبكة RX/TX و جداول التوجيه و إحصائيات البروتوكولات و هي مفيدة عندما تشخص الأداء و استخدام المصادر المرتبطة بمشاكل الشبكة.

١٦-speedometer: رصد حركة المرور على أساس وحدة التحكم و التي تعرض الاتجاهات التاريخية لواجهة RX/TX  على نطاق العرض الترددي و ذلك برسوم ncurses البيانية.


17. sysdig: أداة تصحيح شاملة على مستوى النظام مع واجهة موحدة للتحقيق في النظم الفرعية المختلفة في نظام لينكس. وهي وحدة مراقبة شبكة قادرة على المراقبة إما عبر الإنترنت أو بدون إنترنت، ومراقبة الإحصائيات المختلفة  لكل عملية / شبكة مستضيفة مثل استخدام عرض النطاق الترددي، وعدد من الاتصالات / الطلبات، الخ

18. tcptrack: أداة مراقبة لاتصال TCP وهي تعرض معلومات من اتصالات TCP النشطة، بما في ذلك عناوين IP المصدر / المقصد / المنافذ، TCPالخاص بالدولة، واستخدام عرض النطاق الترددي.


١٩-vnStat:  أداة مراقبة المرور تعمل من سطر الأوامر و هو تحافظ على نظرة تاريخية لاستخدام نطاق العرض الترددي RX/TX (على سبيل المثال الحالي، اليومي، الشهري) على أساس الواجهة الواحدة و تعمل كخلفية خفية و تجمع و تخزن إحصائيات الواجهات بمعدل النطاق الترددي و مجموع البايتات المتنقلة.

المراقبة النشطة للشبكة
على العكس من أدوات المراقبة المعروضة سابقا، الأدوات في هذه الفئة تعمل على زرع محققين في الشبكة و جمع كل الردود التي تستجيب للمحققين. و أهداف التحكم تشمل مسار التوجيه و كمية استهلاك البيانات  و معدلات الخسارة و التأجيل و إعدادات النظام و نقاط الضعف و ما إلى ذلك.

٢٠-  dnsyo: أداة مراقبة DNS و التي تقوم بإجراء بحث DNS من الحلول المفتوحة المنتشرة في أكثر من ١٥٠٠ شبكة مختلفة و هي مفيدة في حالة التحقق من نشر DNS و اكتشاف الأخطاء و إصلاحها.

21. iperf: أداة قياس كمية استهلاك البيانات لـTCP / UDP والتي يمكنها  قياس الحد الأقصى لعرض النطاق الترددي المتوفر بين نقطتين نهاية. فهو يقيس عرض النطاق الترددي المتوفر من خلال وجود اثنين من المضيفين لضخ حركة المرورTCP / UDP للتحقيق بينهما إما باتجاه واحد أو ثنائية الاتجاه. وهي مفيدة عند اختبار قدرة الشبكة، أو ضبط الإعدادات في الشبكة. يوجد فرع لها باسم netperf يملك المزيد من الميزات وإحصاءات أفضل.

22. netcat / socat: أدوات تنقيح الشبكة متعددة الاستعمالات قادرة على القراءة من أوالكتابة  أو الاستماع على مآخذ توصيل TCP / UDP. وهي تستخدم غالبا جنبا إلى جنب مع البرامج أو النصوص الأخرى لنقل الشبكة الخلفية أو منفذ الاستماع.

23.nmap:  أداة  فحص بسطر الأوامر للمنافذ وأداة اكتشاف الشبكة. وهي تعتمد على عدد من تقنيات المسح المبنية على TCP / UDP للكشف عن المنافذ المفتوحة،أوالاستضافة الحية، أو أنظمة التشغيل الموجودة على الشبكة المحلية. إنها مفيد عند تدقيق المضيفين المحليين لاكتشاف نقاط الضعف أو بناء خريطة للمضفيين لغرض الصيانة. لحفظ .zmap  هي أداة فحص بديلة  قادرة على الفحص في نطاق الإنترنت.

٢٤- ping: أداة اختبار الشبكة و التي تعمل على تبادل صدى ICMP و الرد على الحزم من مستضيف بعيد. وهي مفيدة عندما تقيس الوقت ذهابا و إيابا (RTT) و تأجيل و خسارة معدل مسار التوجيه إضافة إلى اختبار قواعد الحالة أو الجدار الناري للأنظمة البعيدة. و توجد أنواع من ping بواجهات أكثر فخامة (مثل noping) و دعم متعدد للبروتوكولات (مثل hping) أو القدرة على التحقيق المتوازي (fping).


٢٥-  sprobe: أداة سطر الأوامر التي تستنتج تجريبا عرض النطاق الترددي بين المستضيف المغلق و أي عنوان IP بعيد. و تستخدم حيلة ثلاثية الطرق لتقدير نطاق العرض الترددي. هي مفيدة لتحديد الأخطاء و إصلاحها في أداء شبكات واسع النطاق و توجيه المشاكل ذات الصلة.

٢٦- traceroute: أداة شبكة استكشافية تعرض ٣ طبقات من المسارات من مستضيف محلي إلى مستضيف بعيد و تعمل على إرسال حزم تحقق TLL محدودة لتجميع استجابات ICMP من أجهزة التوجيه المتوسطة وهي مفيدة في تحديد الأخطاء و إصلاحها في الشبكات البطيئة أو توجيه المشاكل ذات الصلة. و توجد أدوات شبيه لـ traceroute بإحصائيات RTT أكثر.

تحليل البيانات على مستوى التطبيقات


في هذه الفئة، تستهدف مراقبة الشبكة لتطبيق خادم محدد مثل خادم ويب أو خادم قاعدة بيانات. ينتج سجل بيانات و يستهلك من قبل تطبيق الخادم نفسه ثم يحلل عن طريق برنامج آخر يقوم بتحليل ملفات التسجيل الخاصة بالخادم و على العكس من المراقبين على مستوى الشبكة التي ذكرت آنفا  الأدوات في هذه الفئة تحلل و تراقب مرور الشبكة على مستوى التطبيقات.

٢٧- GoAccess: عارض تفاعلي على وحدة التحكم لمرور خادم الويب لApache و Nginx . و اعتمادا على تحليل سجلات الدخول و يعرض إحصائيات لأرقام تشمل الزيارات اليومية و أهم الطلبات و أنظمة تشغيل العميل  و أماكن العميل و متصفحات العميل في عرض متدرج.


٢٨- mtop: مراقب خادم  MySQL/MariaDB  و الذي يعرض أكثر الاستعلامات تكلفة و قاعدة البيانات المحملة الحالية و هي مفيدة عندما تحدد أداء خادم MySQL.


٢٩- ngxtop أداة مراقبة المرور لخادم ويب Nginx و Apache والذي يعرض مرور الخادم الويب في واجهة مشابهة لatop و يعمل على تحليل ملفات تسجيل الوصول وتجميع  إحصائيات المرور لوجهات الفرد و طلباته.

خاتمة

في هذه المقالة عرضت أنواع متعددة من أدوات المراقبة و تتنوع من أدوات بمستويات حزم متدنية إلى تطبيقات متقدمة. معرفة عمل كل أداة هو شي و اختبار الأداة للاستعمال شي آخر. و مثل أي أداة لا يمكن أن تكون حلا نهائيا لكل احتياجاتك فمشرف النظام البارع ينبغي أن يكون قادرا على اختبار الأداة الصحيحة للظرف المناسب و نأمل أن تفيد القائمة في ذلك.

 

هذا المقالة مترجمة من تأليف Dan Nanni