tcdump
y cómo aprovechar ciertas características de esta opción para auditar nuestro tráfico.
El uso de tcdump
requiere el uso del terminal, que reside en Aplicaciones > Utilidades.
Paso a paso
Vamos a hacer esto “paso a paso” para que los usuarios que no están acostumbrados al uso del Terminal sean capaces de ver las diferentes posibilidades de el comando tcdump
.
Los Mac Pro cuentan con 2 interfaces Ethernet, que estarán numerados como
en0
yen1
. El interfaz Airport seráen2
en0, en1, en2
, etc, pero en el caso de Firewire es fw0, fw1
y así sucesivamente)Capturando el tráfico
Ahora solo has de introducir el correspondiente comando en el terminal para capturar el tráfico a un archivo que luego puedas inspeccionar: si por ejemplo estás usando el interfaz Airport con el identificador en1
el comando sería el siguiente
sudo tcpdump -i en1 -s 0 -B 524288 -w ~/Desktop/DumpFile01.pcap
Vamos a hacer una descripción de los elementos variables de este comando:
Una vez iniciemos la captura, el en Terminal nos aparecerá lo siguiente:
tcpdump: listening on en0, link-type EN10MB (Ethernet), capture size 65535 bytes
Una vez hayamos capturado el suficiente tráfico, pulsaremos en el Terminal el atajo de teclado Control + tecla C y el terminal nos devolverá algo así como:
^C15917 packets captured
15918 packets received by filter
0 packets dropped by kernel
En el escritorio tendremos un archivo que podremos abrir con un editor de texto como Textedit o Textwrngler y en el que podemos inspeccionar el tráfico de ese puerto y poder ver, por ejemplo, que tráfico se está realizando a nuestras espaldas, si una contraseña se envía encriptada o no, y más.
Tienes mas información sobre tcdump
y este proceso de captura en Apple (incluyendo información específica par Mac OS X Leopard) o en la misma terminal escribiendo man tcdump
(el manual)
Hay alguna forma de controlar quien está usando más ancho de banda en tu red local o monitorizar todo lo que pasa por el router?
Depende del Router: si tienes uno de Apple, con la utilidad de configuración se puede ver a tiempo real.
—————
http://www.faq-mac.com
Lo que tu pides es un Sniffer (de los de toda la vida), en Mac OS X existe Wireshark para Mac OS X (antiguamente Ethereal) por si te sirve, pero a traves de tu sistema de ports puedes instalarte Ettercap por ejemplo u otro que te guste mas, pones el Sniffer a monitorizar la puerta de enlace y asi controlas todo lo que entra o sale del router (benditas practicas de CCNP, la de contraseñas de correo de mujeres que consegui asin, ains, tiempos).
Manejar un Sniffer no es tarea simple para las mentes no iniciadas, avisado quedas.
Otra cosa que podrias implementar si tu router/firewall/switch te lo permite seria QoS para manejar el ancho de banda especifico por cliente en una red.
Espero te sea util esta informacion.