Las herramientas más interesantes de análisis de tráfico (Parte I): Torch

By on
Lentitud de red

Introducción

En ocasiones, cuando nuestra red va lenta, nos sentimos un poco a ciegas porque no sabemos qué está pasando.

Son cientos de variables las implicadas en el rendimiento de un sistema tan complejo como el networking. Aunque para el usuario todo es ‘transparente’ y parece que es solo conectar y ‘navegar’, desde el punto de vista técnico son muchos los puntos de fallo que se pueden producir: el cable de red mal conectado, interferencias electromagnéticas en el cableado o en el wifi, problemas con el sistema operativo, bloqueo del antivirus, fallo de la electrónica de red (switches y routers), problemas de protocolos de enrutamiento, congestión en la red por un usuario haciendo uso indebido de los recursos…

La congestión y el uso indebido del ancho de banda es uno de los puntos más críticos y a la vez más difíciles de diagnosticar si no se tienen las herramientas adecuadas. El análisis de tráfico es básico para tener visibilidad de nuestra red. Hoy veremos dos herramientas muy interesantes que nos pueden ayudar en este objetivo:

  • Torch. Análisis en tiempo real.
  • Netflow. Análisis de flujo de datos.

Veremos en esta primera parte del blog la primera herramienta:

Herramienta Torch de RouterOS, Mikrotik

Uno de los fabricantes que está revolucionando el mundo del networking desde una posición humilde (no es una multinacional como Cisco, Juniper o HP) es Mikrotik. Esta compañía letona fundada en 1996 ha roto ‘moldes’ utilizando una tecnología disruptiva de hardware y software. Con un potente sistema operativo llamado RouterOS que evoluciona prácticamente cada día, ha proporcionado una ingente cantidad de funcionalidades a muy bajo coste y revolucionado el sistema de gestión de los equipos. Ha dejado de lado las tradicionales consolas de líneas de comandos (muy útiles en ciertas circunstancias) y ha optado por potenciar la gestión de sus dispositivos utilizando interfaces de usuario muy visuales y que proporcionan información en tiempo real.

Centrándonos en el tema que nos ocupa, el análisis del tráfico, mediante la interfaz gráfica de usuario WinBox podemos monitorizar cualquier paquete que pase por nuestra red.

WinBox

Una vez dentro de nuestro router/firewall podremos elegir la interfaz de red que nos interese y con un simple ‘botón derecho->Torch’ comenzaremos a visualizar en tiempo real el tráfico que pasa por ella y con un refresco ajustable (por defecto, tres segundos).

Torch, en funcionamiento

En la imagen anterior, podemos ordenar las columnas por tipo de protocolo, ip de origen, ip de destino o lo más interesante, ancho de banda en Recepción o en Transmisión.

En un solo golpe de vista, en este ejemplo, visualizamos rápidamente cuáles son los equipos de nuestra red que están consumiendo más ancho de banda en este momento. En una red bien gestionada, con un par de consultas al DNS o al DHCP, o incluso por ARP, podemos dar con el fabricante, nombre de la máquina o incluso el nombre del usuario que está comiéndose el ancho de banda de nuestra red para echarle un telefonazo…

Es una herramienta muy potente y, en cuestión de segundos, hemos podido detectar cientos de incidencias de usuarios que disponían de ADSL y estaban totalmente congestionadas porque un Iphone estaba sincronizando con Icloud o alguien estaba enviando ficheros a Dropbox (son grandes consumidores de ancho de banda en la sombra).

Para complementarlo, la propia interfaz nos proporciona también información muy valiosa de referencia. Seleccionando la pestaña ‘traffic’ podremos ver también en tiempo real el ancho de banda que se está consumiendo en total en este momento, así como el número de paquetes por segundo que cursa nuestro router. Estableciendo una línea base con unos test de rendimiento iniciales, podremos conocer cuáles son los límites de nuestro equipo y determinar en qué momento podemos tener problemas de conectividad. Por ejemplo, si nuestra interfaz es de 1Gbps y estamos consumiendo 545.3Mbps de banda, estamos al 50% de nuestra capacidad, así que podemos estar tranquilos, aunque vigilantes, ya que no se recomienda superar el 80% de la capacidad.

Interfaz de Torch

El tipo de gráfico también nos da algo de información. En el ejemplo de aquí arriba, desde el inicio hasta el final han pasado 10 minutos (podremos verlo posando el ratón encima de los gráficos). Ese tipo de perfil asimétrico, de tanta velocidad y tan prolongado en el tiempo, podría ser perfectamente una copia de seguridad atravesando nuestra red o, como es el caso… Un test de estrés que he realizado para hacer este artículo. 😉

Espero que os haya sido de interés y no os perdáis la próxima entrada, donde hablaremos de cómo analizar flujos de datos y protocolos con el protocolo estándar Netflow.