netzwerk statistik

[joze]

Hallo,

ich betreibe eine 7390 Fritzbox mit freetz als DSL-Router.
In meinem Heimnetz greifen ca. 10 - 15 Geräte über die Fritzbox aufs Internet zu.

Ich hätte nun gerne eine Statistik des Netzwork-Traffics für jedes verbundene Gerät und zwar mit folgenden Informationen:

1. Up- / Download pro Zeiteinheit, z.B. Stunde, Tag, pro Woche, pro Monat, ...
2. Top-Sites, die besucht wurden

Ein graphische Ausgabe (z.B. per web-interface) wäre schön, ist aber nicht zwingend nötig.

Habt Ihr gute Ideen dafür?

 

[PeterPawn]

Ja, nimm einen anderen Router.

Das scheitert erst einmal schon am eingeschalteten "packet accelerator", wo es dann viele Pakete (im Downstream) gar nicht mehr richtig "bis ins System" schaffen und nur noch die Gesamtmenge (vielleicht noch getrennt nach den drei "Kategorien", die man im Online-Monitor sehen kann) gezählt wird - aber nicht mehr pro Verbindung oder auch nur pro LAN-Client (zumindest wüßte ich keine passende Angabe irgendwo im System).

Als Alternative bliebe der "Paketmitschnitt" in eine Pipe auf der Box (wo das dann am besten gleich ausgewertet wird oder man reicht das auch ins Netzwerk weiter), dabei wird der Router dann so langsam (weil er den PA abschaltet oder die Pakete zumindest "doppeln" muß), daß man vielleicht noch an einer 16 MBit/s-Leitung damit leben kann. Schon bei VDSL 25 wird man damit eher nicht glücklich, zumal die 7390 als "single core"-Gerät ohnehin schon nicht die schnellste ist - daher hat die ja solche "Spezialprozessoren" für die Filterregeln, mit denen der PA arbeitet und passende Pakete gleich "am FRITZ!OS vorbei" befördert.

Wenn die FRITZ!Box bleiben soll, kann man das noch auf einem "nachgelagerten Router" (über den dann aber auch alle Client-Verbindungen laufen müssen) delegieren - aber mit extremen Security-Problemen für die FRITZ!Box. Die verwaltet nämlich die aktiven Sitzungen zu ihrem GUI anhand einer "session ID" (SID) und der IP-Adresse, von der diese Sitzung kommt. Greift man nun nur über ein solches Gateway auf die FRITZ!Box zu, kann praktisch jeder Client auf der anderen Seite des Gateways (sofern das NAT macht, ansonsten müßte es ja Proxy-ARP für alle Clients dahinter machen, weil man der FRITZ!Box im Router-Modus auch kein "default gateway" für die LAN-Seite verpassen kann) mit jeder beliebigen SID und den sich daraus ableitenden Rechten zugreifen.

Wenn es hier um die "Überwachung" verschiedener Geräte und Nutzer gehen sollte (Monitoring ist ja auch nur eine freundlichere Umschreibung), dann wäre sicherlich eine solche Lücke, die schon rein durch das "Stehlen" einer SID aufgerissen werden kann und gar kein Spoofing der IP-Adresse zusätzlich erfordert (auch das geht natürlich), auch nicht unbedingt das ideale Ergebnis.

 

[joze]

Hallo,

vielen Dank.

Habe nicht ganz verstanden, warum der "packet accelerator" Daten am System vorbeibringt.
Eigentlich müssen doch alle Daten zumindest über die dsl Schnittstelle, oder?

Habe mal selbst etwas gegoogelt und ntop gefunden und auf der Box installiert.
(Das war einfach, da ich auf der Box eh eine debian chroot Umgebung über einen USB Stick am laufen habe (für andere Zwecke)).
ntop scheint jetzt ganz vernünftig zu laufen, und plausible Ergebnisse zu geben wenn ich damit auf die dsl Schnittstelle höre.

Sehe ich damit nun alle Verbindungen, oder geht da was an der dsl Schnittstelle vorbei?

 

[PeterPawn]

Du hast ja etwas davon geschrieben, daß Du den "Verbrauch" pro Client und Ziel wissen willst. Der PA sorgt dafür, daß bei eintreffenden Paketen (also im Downstream) diese direkt (nach dem Austausch der Zieladresse und des Zielport, Teile davon kann man in den PA-Quellen sehen, wo die Regeln für den Zusatzprozessor aufbereitet und gesetzt werden) an den richtigen Client im LAN weitergeleitet werden und noch ein paar Zähler (aber eben bereits kumulierte, so wie ich das lese - sieh einfach selbst nach) aktualisiert werden.

Das eigentliche Datenpaket kommt aber gar nicht mehr bis in den Routing-Teil des FRITZ!OS (und daher auch nicht bis zur libpcap.so) und so spart man jede Menge "Power" bei höheren Downstream-Raten. Normalerweise würde das FRITZ!OS ja jetzt das Umschreiben der Adressen übernehmen (z.B. mit nf_conntrack), aber außer zusätzlicher Prozessorbelastung bringt das ja keinen Effekt, wenn das Paket im Anschluß ohnehin an einen Client weitergeleitet werden soll (schließlich ist die Box ja ein Edge-Router). Daher gibt es das entweder direkt in Hardware oder zumindest "hardwarenah" (die Dokumentationen dazu kenne ich auch nicht ... falls jemand eine (freie) Quelle kennt, ich nehme sie) und das ist eigentlich das Feature, welches einem recht schwachen Vx180 überhaupt ermöglicht, auch bei hohen Downstream-Raten nicht als Bremse zu wirken.

Wenn Du also wirklich mit "ntop" auf der "dsl"-Schnittstelle auch für den Downstream sinnvolle Daten erhältst, ist der PA vermutlich gar nicht aktiv ... daß so etwas an einem langsamen Anschluß ebenfalls arbeiten kann, habe ich ja bereits geschrieben. Ob der aktiv ist oder nicht, findest Du im procfs selbst heraus - sieh Dich einfach um, denn das ist auch von der FRITZ!OS-Version (die ich hier nicht finden kann) abhängig, was alles im procfs zugänglich ist.