Download - Como detectar no squid?

Iniciado por marcionugas, 23 de Agosto de 2011, 15:55

tópico anterior - próximo tópico

marcionugas

Boa tarde.
Tenho um Ubuntu Server rodando fino com o Proxy transparente, com o Bind9 e o Sarg gerando relatorio que nem um louco.
Na quinta-feira agora que passou, a internet ficou lentaça... eu reinicia o proxy, voltava normal e depois caia de novo. Aki, eu faço bloqueios por ip, alguma faixa de ips pode fazer tudo outras faixas nao pode fazer nada.
Eu tenho alguns gerentes na empresa, estou desconfiando que eles estão baixando alguma coisa e prejudicando a rede.
Por este motivo, pergunto a voces, meus caras colegas, qual comando que executo para descobrir quem esta baixando alguma coisa.
Eu estou utilizando o comando "tail" mas ele não me fala se aquele ip esta baixando alguma coisa.
Aguardo retorno seus.
Márcio Nugas

marcionugas

Bom, vou ser mais especifico.

Eu quero saber se na hora que eu for baixar um arquivo, e no decorrer deste download, se conseguirei detectar no proxy meu ip pelo menos.

zekkerj

Você pode usar o SARG pra acompanhar as estatísticas imediatas de sua rede. Rodando de 15 em 15 minutos, vc consegue estatísticas bem rápidas do uso.

O inconveniente é que, a menos que esteja usando autenticação, só vai ter os relatórios detalhados por IP.

Outra coisa que vc precisa estar atento é que o SARG só vai mostrar o tráfego que passa pelo Squid. E, de acordo com a forma como sua rede esteja estruturada, pode ser que não seja esse o tipo de tráfego que seja a origem do gargalo.

P.ex., programas P2P podem facilmente saturar seu link, se não estiverem bloqueados.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

marcionugas

Bom dia.
Obrigado por responder.
Eu pensei no sarg, fiz um teste para ver se ele me da essa informação. Entrei no site baixaki, peguei um arquivo grande e começei a fazer o download. Autalizei o relatorio sarg e ele me mostrou que eu entrei no site baixaki, mas nao mostrou que naquele momento eu estava fazendo download.
Entao, o que preciso  e procuro na internet, e uma maneira de descobrir quem esta baixando algo, porque tem o Ntop por exemplo q mostra o trafico da rede, mas eu ainda nao aprendi a olhar bem o Ntop, alem do mais, sempre o primeiro ip da lista, aparece um erro. Ex.: Se o ip é 192.168.0.45, esta como primeiro da lista, quando clico nele para saber mais detalhes, aparece um erro mais ou menos assim:

Error 404
The server cannot find the requested page (page expired or ntop configuration ?).
Received request:


"GET /192.168.0.19.html HTTP/1.1"


ntop does not currently have any information about host 192.168.0.19

Eu clico em um ip e no final mostra outro.

zekkerj

CitarEntrei no site baixaki, peguei um arquivo grande e começei a fazer o download. Autalizei o relatorio sarg e ele me mostrou que eu entrei no site baixaki, mas nao mostrou que naquele momento eu estava fazendo download.
Não vai dar estatística imediata, ele vai dar o acumulado do dia, da semana e do mês. Se uma estação estiver fazendo muito download, ela vai aparecer na listagem do SARG como "top 10".

Citartem o Ntop por exemplo q mostra o trafico da rede
O NTOP mostra tráfego, se vc precisa controlar o tráfico seria melhor falar com um policial. ;D

Veja só, na situação que eu falei lá em cima, de você estar enfrentando tráfego P2P, o NTOP realmente pode ser mais útil pra você, mas ele também não vai mostrar quem está fazendo download num determinado momento. O que ele vai te mostrar são as estações que estão gerando mais tráfego, com a vantagem de que você vai estar medindo não só o tráfego de navegação HTTP, mas também em outras portas. Assim como o SARG, a saída dele só vai se tornar útil depois de algum tempo de análise, pois só assim você vai perceber que a estação está consumindo muita banda.

É importante notar que embora pra gente, o processo de fazer um download no navegador seja uma atividade distinta, pra rede ela não tem diferença nenhuma de abrir uma página. Apenas o tipo de arquivo obtido é diferente (uma página normalmente tem o tipo de arquivo "text/html", enquanto um download pode ser qualquer qualquer coisa) e o tamanho é muito maior.

Mas, imagine que a pessoa esteja assistindo um vídeo estilo youtube. Ela não vai estar fazendo um download explícito, mas a pra rede, ela vai estar fazendo uma operação que consome muita banda, pois o vídeo é transferido por meio de um arquivo, e os arquivos de vídeo do youtube podem facilmente alcançar dezenas de megabytes de tamanho.

Citaralem do mais, sempre o primeiro ip da lista, aparece um erro. Ex.: Se o ip é 192.168.0.45, esta como primeiro da lista, quando clico nele para saber mais detalhes, aparece um erro mais ou menos assim:

Error 404
The server cannot find the requested page (page expired or ntop configuration ?).
Received request:


"GET /192.168.0.19.html HTTP/1.1"


ntop does not currently have any information about host 192.168.0.19

Eu clico em um ip e no final mostra outro.

Quando você clica no IP da máquina ele tenta te direcionar pra uma página hospedada no próprio IP da máquina. A maioria não tem; por isso a mensagem de erro. Foque-se nos outros relatórios do ntop, eles vão ser mais úteis.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D