Le blog de NicoLargo

TShark, l'autre TcpDump

NicoLargo — Mon, 08 Mar 2010 06:11:32 +0000

TShark est un logiciel avec une interface de type ligne de commande permettant d'analyser les protocoles réseaux capturé depuis une interface (en utilisant la librairie libpcap) ou depuis un fichier de capture au format Wireshark. Développé en parallèle de Wireshark, il est distribué sous licence GNU GPL.

Installation de TShark

Sous Ubuntu, il suffit de l'installer à partir des dépôts avec la commande suivante:

sudo aptitude install tshark

Remarque: il est également possible de faire l'installation depuis les sources.

Définir la source du trafic à analyser

Deux solutions sont envisageables. La première est de capturer le trafic à partir d'une interface physique compatible. Pour avoir la liste de ces interfaces, on utilisera l'option -D de TShark:

sudo tshark -D

1. eth0
2. wmaster0
3. wlan0
4. usbmon1 (USB bus number 1)
5. usbmon2 (USB bus number 2)
6. usbmon3 (USB bus number 3)
7. usbmon4 (USB bus number 4)
8. usbmon5 (USB bus number 5)
9. usbmon6 (USB bus number 6)
10. usbmon7 (USB bus number 7)
11. usbmon8 (USB bus number 
12. any (Pseudo-device that captures on all interfaces)
13. lo

Ainsi si l'on souhaite analyser les protocoles des flux transitant par l'interface ethernet par défaut (eth0), il suffit de saisir la commande suivante:

sudo tshark -i eth0

Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
  0.000000 Xensourc_8b:f0:9e -> Broadcast    ARP Who has 192.168.29.161?  Tell 192.168.29.171
  0.021079 Netgear_b7:46:4a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0/00:12:a9:81:5f:e0  Cost = 200000  Port = 0x8001
  0.182159 HewlettP_64:6e:2c -> Broadcast    ARP Who has 192.168.29.161?  Tell 192.168.29.1
  0.325894 HewlettP_64:6e:a0 -> Broadcast    ARP Who has 192.168.29.161?  Tell 192.168.29.2
...

Il est également possible d'analyser les flux de manière "off-line". Pour cela, il faut dans un premier temps capturer le trafic dans un fichier à l'aide d'un logiciel comme Wireshark, TShark (ou tout autre logiciel dont le format est pris en charge, voir la liste de ces formats avec la commande "sudo tshark -F"), puis fournir ce fichier en entrée de TShark avec l'option -r:

sudo tshark -r capture.cap

  1   0.000000 HewlettP_64:6e:a0 -> Broadcast    ARP Who has 192.168.29.161?  Tell 192.168.29.2
  2   0.020195 HewlettP_64:6e:2c -> Broadcast    ARP Who has 192.168.29.161?  Tell 192.168.29.1
  3   0.576826 192.168.29.75 -> 255.255.255.255 UDP Source port: 17500  Destination port: 17500
  4   0.577044 192.168.29.75 -> 192.168.29.255 UDP Source port: 17500  Destination port: 17500
  5   0.585752 Xensourc_8b:f0:9e -> Broadcast    ARP Who has 192.168.29.120?  Tell 192.168.29.171
  6   0.589851 HewlettP_64:6e:2c -> Broadcast    ARP Who has 192.168.29.120?  Tell 192.168.29.1
  ...

Les options de capture

De base (c'est à dire si aucune option complémentaire est donnée), TShark analyse le trafic jusqu'à ce que l'utilisateur presse les touches CTRL-C. Dans le cadre d'un processus automatisé, il est possible de définir quand la capture doit s'arrêter en utilisant l'option -a. Quelques exemples:

Capture et analyse le trafic pendant 10 secondes:


sudo tshark -i eth0 -a duration:10

Capture et analyse 100 paquets (si un filtre de capture est utilisé, on capturera 100 paquets filtrés):


sudo  tshark -i eth0 -c 100

Si on capture vers un fichier, on peut fixer la taille maximale de ce dernier à 5 Ko:


sudo tshark -i eth0 -a filesize:5 -w /tmp/capture.cap

Les options d'affichage

TShark affiche par défaut les informations au format texte (c'est à dire lisible par un humain geek).


sudo tshark -i eth0

2.536745 192.168.29.148 -> 192.168.29.1 DNS Standard query A safebrowsing-cache.google.com

2.537232 192.168.29.1 -> 192.168.29.148 DNS Standard query response CNAME safebrowsing.cache.l.google.com A 74.125.10.151

2.537347 192.168.29.148 -> 74.125.10.151 TCP 38883 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=171324902 TSER=0 WS=6

2.568103 74.125.10.151 -> 192.168.29.148 TCP http > 38883 [SYN, ACK] Seq=0 Ack=1 Win=1460 Len=0 MSS=1460 TSV=966567702 TSER=171324902 WS=6

2.568140 192.168.29.148 -> 74.125.10.151 TCP 38883 > http [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=171324910 TSER=966567702

2.568243 192.168.29.148 -> 74.125.10.151 TCP [TCP segment of a reassembled PDU]

2.568253 192.168.29.148 -> 74.125.10.151 HTTP GET /safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAEY9-oBIPvqASoFenUAAAMyBXd1AAAH HTTP/1.1

2.578253 HewlettP_64:6e:2c -> Broadcast    ARP Who has 192.168.29.161?  Tell 192.168.29.1

2.601627 HewlettP_64:6e:a0 -> Broadcast    ARP Who has 192.168.29.161?  Tell 192.168.29.2

2.605201 74.125.10.151 -> 192.168.29.148 TCP http > 38883 [ACK] Seq=1 Ack=731 Win=7296 Len=0 TSV=966567739 TSER=171324910

2.605226 74.125.10.151 -> 192.168.29.148 TCP http > 38883 [ACK] Seq=1 Ack=1045 Win=8768 Len=0 TSV=966567739 TSER=171324910

2.607870 74.125.10.151 -> 192.168.29.148 TCP [TCP segment of a reassembled PDU]

2.607885 192.168.29.148 -> 74.125.10.151 TCP 38883 > http [ACK] Seq=1045 Ack=269 Win=6912 Len=0 TSV=171324920 TSER=966567741

2.612201 74.125.10.151 -> 192.168.29.148 TCP [TCP segment of a reassembled PDU]

...

Il est possible de modifier et customiser cet affichage. Par exemple, TShark embarque deux modules permettant d'afficher les paquets au format XML: PDML ou PSML.

Affichage au format PDML:


sudo tshark -i eth0 -T pdml





Running as user "root" and group "root". This could be dangerous.

Capturing on eth0



























































































...

La dernière méthode permet de customiser soit même les informations à afficher:


sudo tshark -i eth0 -T fields -e ip.addr -e tcp.port

Running as user "root" and group "root". This could be dangerous.

Capturing on eth0

209.172.41.53	80

209.172.41.53	80

192.168.29.1

192.168.29.148

209.172.41.53	80

192.168.29.148	34521

209.172.41.53	80

192.168.29.148	34522

209.172.41.53	80

192.168.29.148	34523

209.172.41.53	80

209.172.41.53	80

209.172.41.53	80

224.0.0.251

192.168.29.148	34523

...

Les filtres de base

Selon ou le logiciel TShark sera lancé, le nombre de paquets à analyser peut devenir très important. Heureusement, TShark propose un système de filtre permettant de se focaliser sur les protocoles utiles à notre analyse.

TShark propose deux types de filtres:

les filtres de capture: permettant de filtrer le capture au moment de la capture
les filtres d'affichage: permet de filtrer avant l'affichage

Le seul hic est que les deux syntaxes ne sont pas les mêmes. Les filtres de capture obéissent à une syntaxe propre à libpcap (faire un "man pcap-filter" pour une description exhaustive) tandis que les filtres d'affichage sont définie par le projet Wireshark (voir le manuel en ligne ici).On peut remarquer la richesse des filtres d'affichage qui permettent de remonter très haut dans la couche OSI.

Par exemple pour filtrer le trafic HTTP (TCP port 80) avant la capture:


sudo tshark -i eth0 port 80

Running as user "root" and group "root". This could be dangerous.

Capturing on eth0

0.000000 192.168.29.148 -> 67.228.110.120 TCP 47593 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=171057533 TSER=0 WS=6

0.182873 67.228.110.120 -> 192.168.29.148 TCP http > 47593 [SYN, ACK] Seq=0 Ack=1 Win=1460 Len=0 MSS=1460 TSV=154345319 TSER=171057533 WS=9

0.182924 192.168.29.148 -> 67.228.110.120 TCP 47593 > http [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=171057578 TSER=154345319

0.183029 192.168.29.148 -> 67.228.110.120 HTTP GET /docs/man-pages/tshark.html HTTP/1.1

Alors quer pour capturer l'ensemble du trafic et afficher seulement le trafic HTTP:


sudo tshark -i eth0 -R tcp.port==80

Running as user "root" and group "root". This could be dangerous.

Capturing on eth0

3.127743 192.168.29.148 -> 67.228.110.120 TCP 47599 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=171071304 TSER=0 WS=6

3.308054 67.228.110.120 -> 192.168.29.148 TCP http > 47599 [SYN, ACK] Seq=0 Ack=1 Win=1460 Len=0 MSS=1460 TSV=154350827 TSER=171071304 WS=9

3.308096 192.168.29.148 -> 67.228.110.120 TCP 47599 > http [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=171071349 TSER=154350827

3.308182 192.168.29.148 -> 67.228.110.120 HTTP GET /docs/man-pages/tshark.html HTTP/1.1

Affichage au format PSML:


sudo tshark -i eth0 -T psml





Running as user "root" and group "root". This could be dangerous.

Capturing on eth0



No.

Time

Source

Destination

Protocol

Info





1

0.000000

Netgear_b7:46:4a

Spanning-tree-(for-bridges)_00

STP

RST. Root = 32768/0/00:12:a9:81:5f:e0  Cost = 200000  Port = 0x8001



...

Les filtres avancées

Via l'option -z, TShark donne l'accès à des statistiques intéressants selon le protocole que vous avez à analyser.

Le premier d'entre eux permet de générer un rapport avec la hiérarchie des protocoles capturés:


sudo tshark -i eth0 -z io,phs

===================================================================

Protocol Hierarchy Statistics

Filter: frame

frame                                    frames:206 bytes:79513

eth                                    frames:206 bytes:79513

llc                                  frames:11 bytes:660

stp                                frames:11 bytes:660

arp                                  frames:77 bytes:4584

ip                                   frames:118 bytes:74269

tcp                                frames:59 bytes:22417

ssl                              frames:11 bytes:11280

http                             frames:2 bytes:502

data-text-lines                frames:1 bytes:264

tcp.segments                     frames:8 bytes:5607

ssl                            frames:8 bytes:5607

msnms                            frames:2 bytes:145

rtsp                             frames:12 bytes:3283

udp                                frames:54 bytes:51342

data                             frames:45 bytes:47992

cflow                            frames:2 bytes:2484

dns                              frames:4 bytes:590

rtp                              frames:3 bytes:276

icmp                               frames:5 bytes:510

===================================================================

Associé à un filtre il est possible d'afficher une répartition dans le temps des paquets et de la taille associée;


sudo tshark -i eth0 -z io,stat,1,tcp.port==80

===================================================================

IO Statistics

Interval: 1.000 secs

Column #0:

|   Column #0

Time            |frames|  bytes

000.000-001.000       4       240

001.000-002.000       5       312

002.000-003.000       6      1146

003.000-004.000      61     18627

004.000-005.000      76     30832

005.000-006.000      45     16263

006.000-007.000      95     40326

007.000-008.000     107     50010

008.000-009.000      81     30109

009.000-010.000     125     58044

010.000-011.000      75     46597

011.000-012.000     236    155959

012.000-013.000      32     15852

013.000-014.000       2       531

===================================================================

On peut également afficher une table de trafic IP (source <-> destination). Il est également possible de faire de même seulment sur le trafic TCP (-z conv,tcp) ou UDP (-z conv,udp):


sudo tshark -i eth0 -z conv,ip

================================================================================

IPv4 Conversations

Filter:

|       <-      | |       ->      | |     Total     |

| Frames  Bytes | | Frames  Bytes | | Frames  Bytes |

192.168.29.148       <-> 74.125.39.18              79     39420      93     36753     172     76173

192.168.29.148       <-> 74.125.39.17              45     27618      45     17223      90     44841

192.168.29.148       <-> 74.125.39.83              30     18291      26     11999      56     30290

192.168.29.148       <-> 74.125.39.106              6       751      11      8970      17      9721

192.168.29.148       <-> 74.125.39.101              7      2954       9      3012      16      5966

192.168.29.148       <-> 74.125.39.189              6       968       8      2382      14      3350

192.168.29.148       <-> 192.168.29.1               4      1198       4       311       8      1509

209.85.137.125       <-> 192.168.29.148             2       132       2       750       4       882

192.168.29.148       <-> 65.54.49.141               1        74       2       137       3       211

192.168.254.2        <-> 192.168.29.148             0         0       1      1506       1      1506

193.48.73.22         <-> 192.168.29.148             1        46       0         0       1        46

================================================================================

Si vous devez faire une analyse d'un flux multimédia basé sur RTP, alors l'option suivante va vous permettre d'afficher un rapport sur ces flux:


sudo tshark -i eth0 -z rtp,streams

========================= RTP Streams ========================

Src IP addr  Port    Dest IP addr  Port       SSRC          Payload  Pkts         Lost   Max Delta(ms)  Max Jitter(ms) Mean Jitter(ms) Problems?

192.168.200.100 50013  192.168.29.148 55373 0x83AAE473     Unknown (72)     1     0 (0.0%)            0.00            0.00            0.00 X

192.168.29.148 55373 192.168.200.100 55372 0x16AE7E09     Unknown (73)    11   -10 (-1000.0%)            0.00            0.00            0.00 X

192.168.200.100 50013  192.168.29.148 55373 0x83AAE477     Unknown (72)     1     0 (0.0%)            0.00            0.00            0.00 X

192.168.200.100 50013  192.168.29.148 55373 0x83AAE47D     Unknown (72)     1     0 (0.0%)            0.00            0.00            0.00 X

192.168.200.100 50013  192.168.29.148 55373 0x83AAE483     Unknown (72)     1     0 (0.0%)            0.00            0.00            0.00 X

192.168.200.100 50013  192.168.29.148 55373 0x83AAE488     Unknown (72)     1     0 (0.0%)            0.00            0.00            0.00 X

192.168.200.100 50013  192.168.29.148 55373 0x83AAE48E     Unknown (72)     1     0 (0.0%)            0.00            0.00            0.00 X

192.168.200.100 50013  192.168.29.148 55373 0x83AAE492     Unknown (72)     1     0 (0.0%)            0.00            0.00            0.00 X

192.168.200.100 50013  192.168.29.148 55373 0x83AAE498     Unknown (72)     1     0 (0.0%)            0.00            0.00            0.00 X

192.168.200.100 50013  192.168.29.148 55373 0x83AAE49D     Unknown (72)     1     0 (0.0%)            0.00            0.00            0.00 X

192.168.200.100 50013  192.168.29.148 55373 0x83AAE4A1     Unknown (72)     1     0 (0.0%)            0.00            0.00            0.00 X

192.168.200.100 50013  192.168.29.148 55373 0x83AAE4A5     Unknown (72)     1     0 (0.0%)            0.00            0.00            0.00

192.168.200.100 50013  192.168.29.148 55373 0x83AAE4AB     Unknown (72)     1     0 (0.0%)            0.00            0.00            0.00 X

192.168.200.100 50013  192.168.29.148 55373 0x81CB0001     Unknown (73)     1     0 (0.0%)            0.00            0.00            0.00

==============================================================

Si vous devez analyser les flux SMB (partage de fichier Samba ou Windows) alors TShark vous apporte les informations suivantes au niveau des délais:


sudo tshark -i eth0 -z smb,rtt

===================================================================

SMB RTT Statistics:

Filter:

Commands                   Calls   Min RTT   Max RTT   Avg RTT

Close                          1   0.00034   0.00034   0.00034

Open AndX                      1   0.01968   0.01968   0.01968

Read AndX                      3   0.00032   0.46561   0.15541

Negotiate Protocol             1   0.00079   0.00079   0.00079

Session Setup AndX             2   0.00071   0.00201   0.00136

Tree Connect AndX              1   0.00063   0.00063   0.00063

Transaction2 Commands      Calls   Min RTT   Max RTT   Avg RTT

FIND_FIRST2                   12   0.00073   0.01845   0.00520

QUERY_FS_INFO                  1   0.00043   0.00043   0.00043

QUERY_PATH_INFO              174   0.00045   0.01445   0.00154

NT Transaction Commands    Calls   Min RTT   Max RTT   Avg RTT

===================================================================

Enfin il est possible d'analyser les flux de type VoIP SIP:

tshark -i em0 -z sip,stat

===================================================================

SIP Statistics

Number of SIP messages: 30

Number of resent SIP messages: 4

* SIP Status Codes in reply packets

SIP 401 Unauthorized    :     5 Packets

SIP 200 OK              :     5 Packets

SIP 100 Trying          :    10 Packets

* List of SIP Request methods

REGISTER        :    10 Packets

* Average setup time 0 ms

Min 0 ms

Max 0 ms

===================================================================

Conclusion

TShark est donc une très bonne alternative à tcpdump, l'outil standard des distributions GNU/Linux et BSD. Il apporte un lot impressionnant de filtres d'affichage et une gestion de rapport qui peut être d'une grande utilité pour certaines analyse réseau.

Backup de sa bibliothéque musicale avec rsync

NicoLargo — Sun, 07 Mar 2010 13:30:12 +0000

Voici un petit shell script permettant, depuis Mac OS X, de synchroniser votre bibliothèque musical iTunes vers un disque dur externe au format FAT32.

Si en plus ce disque est réseau (NAS), ce script sera une première étape dans le partager de votre bibliothéque iTunes entres les différents ordinateurs de votre réseau local (je parle ici d'un VRAI partage avec play-lists, notes, suppression, modification...). Mais j'y reviendrai dans un prochain article...

Script:

#!/bin/sh
SRC="/Users/nicolargo/Music/iTunes/"
DST="/Volumes/DDEXT/MUSIC/iTunes"
RSYNC="/usr/bin/rsync -a -x -S -v --modify-window=1 --delete"
$RSYNC $SRC $DST

Détail des variables:

SRC: Emplacement de votre bibliothèque iTunes (à modifier selon votre configuration). A noter, le / en fin de ligne.

DST: Chemin d'accès vers votre disque dur externe ou réseau (à modifier selon votre configuration). A noter, l'absence de / en fin de ligne.

RSYNC: chemin et option vers rsync avec:

--modify-window=1: si vous faite une synchronisation vers un disque FAT32, cette option est obligatoire (sinon les fichiers seront recopiés intégralement à chaque synchronisation...)
Remarque: si vous utilisez un disque externe formaté en HFS, il faut utiliser l'option -E en lieu et place de --modify-window=1

-a: synchronise l'ensemble des fichiers, répertoires et sous-répertoire
-x: ne pas écraser les fichiers systèmes
-S: gère de manière efficace les fichiers fragmentés.
-v: affiche ce que rsync fait
--delete: efface du disque dur externe les fichiers inexistants de votre bibliothèque iTunes.

Tester son site/blog sous IPhone sans IPhone

NicoLargo — Fri, 26 Feb 2010 15:42:40 +0000

Vous voulez tester comment est vu votre site/blog sur un IPhone mais vous n'en avez pas un sous la main (ben ouep c'est pas libre alors...) ? Alors vous serez heureux d'apprendre qu'il existe une méthode assez simple pour que votre navigateur favori ( j'ai nommé Firefox) se fasse passer pour un IPhone...

Installation du plugin "User Agent Switchers"

La première chose à faire est d'installer le plugin "User Agent Switchers" qui va permettre à Firefox de se déguiser en IPhone. Une fois le plugin installé et le navigateur redémarré, un nouveau menu sous "Outils / Default User Agent" devrait apparaitre:

Il suffit de cliquer sur le bouton "IPhone 3.0" pour que Firefox se fasse passer pour un navigateur IPhone. Pou revenir à un comportement normal de votre navigateur, il suffira de cliquer sur le bouton "Default User Agent".

Tester son site/blog

Rien de plus simple, il suffit de se rendre sur l'URL de votre blog pour le voir s'afficher comme sur un iPhone. Par exemple Le Blog de Nicolargo (c'est juste un exemple, j'utilise le plugin Wordpress WPTouch donc l'affichage devrait être adapté...).

Les esprits chagrins vont me dire que cela n'est pas du tout représentatif car la résolution de l'Iphone est beaucoup plus faible que la résolution de notre écran, c'est vrai mais... il existe des sites (par exemple TestIphone) qui permettent d'effectuer le même test mais dans une frame simulant la taille d'un IPhone. Perso le test chez moi du site TestIphone n'est pas concluant car je suis redirigé vers la version plein écran de mon blog...

Mes "marques ta-pages" de la semaine

NicoLargo — Fri, 26 Feb 2010 09:14:11 +0000

Installation Ubuntu 9.10 sur un Lenovo T500

NicoLargo — Wed, 24 Feb 2010 13:38:09 +0000

Voici un petit billet sur l'installation de la dernière version stable d'Ubuntu (Karmic 9.10) sur un PC portable Lenovo T500.

Installation du système (Ubuntu Karmic 9.10) sans aucun problème à partir du CD d'installation.

Après redémarrage du PC, fonctionnement "out of the box" (sans configuration) pour:

Clavier (bouton son + luminosité)
Trackpad / Trackpoint
Affichage en 16:10 (1280x800 / 60Hz) avec support 3D
Réseau Ethernet Gigabits (eth0)
Réseau Wifi (bouton d'activation/désactivation fonctionnel)
USB (3 ports disponibles)
Lecteur/graveur CD et DVD
Son (lecture et enregistrement)
Bluetooth (bouton d'activation/désactivation fonctionnel)
Webcam

Non testé:

Modem
Firewire

Le fonctionnement de la machine est très agréable, rapide et l'affichage stable et lisible.

Soutien à Nagios-FR

NicoLargo — Tue, 23 Feb 2010 10:21:30 +0000

La communauté libre de Nagios-FR est en ébullition depuis les échanges de mails entre Ethan (le concepteur de Nagios), sa femme Marry (qui s'occupe de l'administration Nagios Enterprise) et Olivier Jan (de Nagios-FR). Bien que je trouve la réaction d'Olivier un peu trop excessive par rapport au premier mail de Marry, c'est celle d'Ethan qui me choque le plus mais sans me surprendre.

Comme vous avez pu le constater je parle de moins en moins de Nagios (même si la page réunissant les billets sur le sujet reste la plus consulté de mon blog). Même si la raison principale est que, de part mon activité professionnelle, je m'intéresse moins à la supervision système/réseau, je suis de moins en moins positif par rapport aux orientations prise par Nagios. Les priorités ne sont pas mises aux bons endroits, en effet, "Nagios Enterprise" met de coté les aspects techniques (évolution du produit, prise en compte des demandes des utilisateurs) par rapport aux cotés "business" (support, maintenance, gestion de la marque (c) Nagios, communication...).

Nous retombons ici sur l'éternel problème de l'industrialisation d'une solution libre. Je ne pense pas que les méthodes de "Nagios Enterprise" soient les bonnes. L'avenir nous le dira. Il serait dommage que les 10 ans d'efforts d'Ethan pour développer une solution libre et ouverte de supervision réseau soient réduit à néant. D'autant plus que la concurrence avance de son coté (voir par exemple Zabbix).

A suivre...

Netperf, mesurer la performance de votre réseau en ligne de commande

NicoLargo — Tue, 23 Feb 2010 09:26:20 +0000

Netperf est un logiciel sous licence libre (GPL) permettant de simuler du trafic entre deux points d'un réseau. Edité par la société HP, la dernière version disponible (2.4.5) date de janvier 2009.

Contrairement à des logiciels comme Iperf qui se limite a une mesure de la bande passante et du délais, NetPerf permet, en plus du transfert de données, de simuler des transactions TCP et UDP. Nous allons voir dans ce billet comment installer et utiliser NetPerf pour optimiser notre réseau.

Mesure du débit utile

Le test le plus courant demandé à NetPerf est de mesurer le débit de notre réseau, c'est à dire la quantité d'information (donnée) que l'on peut transporter en une seconde d'un point A (client) vers un point B (serveur). Nous utiliserons pour cela les scénarios TCP_STREAM (pour un transfert TCP) ou UDP_STREAM (pour un transfert UDP).

Lors de l'installation sous Ubuntu, le daemon serveur est lancé automatiquement en écioutant sur le port 12345 (il faut pensé à ajouter les règles de firewall qui vont bien pour autoriser le/les clients NetPerf à se connecter sur le serveur). A vérifier avec la commande "ps auxw | grep netserver" avant de saisir la commande suivante:


serveur# sudo netserver

Pour la suite du billet je prendrai comme hypothèse le fait que le serveur est lancé.

Ensuite on lance le client:


client# netperf -H server -t TCP_STREAM

Après quelques secondes, le client devrait afficher:

TCP STREAM TEST from 0.0.0.0 (0.0.0.0) port 0 AF_INET to bilbo.nicolargo.com (92.243.16.42) port 0 AF_INET : demo
Recv   Send    Send
Socket Socket  Message  Elapsed
Size   Size    Size     Time     Throughput
bytes  bytes   bytes    secs.    10^6bits/sec
87380  16384  16384    10.46       3.43

On a donc un débit d'environ 3.43Mbit/sec.

Optimisation du débit utile

Comme vous le savez (ou pas), le débit utile en TCP peut être optimisé en jouant sur la valeur des "buffers" de réception et d'émission (dans les noyaux Linux récents, ces valeurs sont calculés et adaptés dynamiquement). NetPerf peut être utilisé pour tester les valeurs de "buffers" idéales pour votre réseau en procédant de la manière suivante:

On fait le test initial (sans optimisation):


client# netstat -s -p tcp > beforestat

client# netperf -H server -t TCP_STREAM > beforeres

On fait le test final (avec optimisation).

On peut par exemple utiliser pour cela les options -s et -S qui fixent respectivement la taille des "buffers" du client et du serveur. Ou bien ajouter le support des options CORK pour l'optimisation de la taille des MSS (-C) et de l'algorithme Nagle (-D).

Il faut faire attention de mettre ces options après l'option -- (pour préciser que ces options sont celle de TCP_STREAM).


client# netperf -H server -t TCP_STREAM -- -s 128k -S 128k -C -D > afterres
client# netstat -s -p tcp > afterstat

On peut ensuite comparer les deux fichiers de résultats.


# diff beforeres afterres

> 87380 16384 16384 10.43 3.43
---
< 87380 16384 16384 10.27 3.73
Soit un gain de 300 Kbps.

Pour comparer les stats TCP on peut récupérer le programme C "BeforeAfter" de HP:


# ./beforeafter beforestat afterstat

TcpExt:
0 TCP sockets finished time wait in fast timer
1 time wait sockets recycled by time stamp
3 accusés de réception envoyés en retard
0 delayed acks further delayed because of locked socket
Le mode ACK rapide a été activé 0 fois
80 paquets directement mis en attente dans la file d'attente recvmsg.
0 bytes directly in process context from backlog
4660 bytes directly received in process context from prequeue
19 en-têtes de paquets prédits
3 packets header predicted and directly queued to user
364 acknowledgments not containing data payload received
1412 accusés de réception prédits
0 times recovered from packet loss due to fast retransmit
14 times recovered from packet loss by selective acknowledgements
0 bad SACK blocks received
0 congestion windows recovered without slow start after partial ack
9 TCP data loss events
0 timeouts after reno fast retransmit
0 timeouts after SACK recovery
0 timeouts in loss state
15 fast retransmits
0 retransmits in slow start
1 other TCP timeouts
0 SACK retransmits failed
0 times receiver scheduled too late for direct processing
0 DSACKs sent for old packets
0 DSACKs sent for out of order packets
0 DSACKs received
0 connections reset due to unexpected data
0 connections reset due to early user close
0 connections aborted due to timeout
TCPSACKDiscard: 0
TCPDSACKIgnoredOld: 0
TCPDSACKIgnoredNoUndo: 0
TCPSackShifted: 130
TCPSackMerged: 80
TCPSackShiftFallback: 27

Pour effectuer un test de débit dans le sens inverse (c'est à dire du serveur/netserver vers le client/netperf), on peur utiliser l'option TCP_MAERTS.


client# netperf -H server -t TCP_MAERTS

Mesure des transactions

Le débit utile n'est pas forcement une mesure capitale dans les performances d'un réseau. Si l'on prend l'exemple d'un trafic de type Web (HTML), c'est la capacité a faire rapidement des transactions (requêtes/réponses) qui est importante. NetPerf propose donc de tester ce type de transaction avec les scénarios TCP_RR (transactions TCP) ou UDP_RR (transaction UDP).

On lance le client:


client# netperf -H server -t TCP_RR

Après quelques secondes, le client devrait afficher:

TCP REQUEST/RESPONSE TEST from 0.0.0.0 (0.0.0.0) port 0 AF_INET to bilbo.nicolargo.com (92.243.16.42) port 0 AF_INET : demo
Local /Remote
Socket Size   Request  Resp.   Elapsed  Trans.
Send   Recv   Size     Size    Time     Rate
bytes  Bytes  bytes    bytes   secs.    per sec
16384  87380  1        1       10.00      47.40
16384  87380

On a donc une mesure de 47 transactions par seconde.

Optimisation des transactions

Là encore, il est possible de tester différentes optimisation au niveau du protocole TCP. Par exemple, les "buffers" comme nous l'avons vu au chapitre précédant (option -s et -S). Pour coller au plus près au trafic généré par vos applications, NetPerf permet également dans ce mode (TCP-RR) de fixer la taille des requêtes de la transaction avec l'option -r. Celle-ci prend deux argument: le premier est la taille de la requête, le second la taille de la réponse.

Par exemple pour simuler des transactions dont la requête a une taille de 64 octets et une réponse de 64Koctets, il faut saisir la commande suivante:


client# netperf -H server -t TCP_RR -- -r 64,64k

On peut ensuite essayer des optimisations au niveau des tailles de buffers (comme dans le chapitre précédents):


client# netperf -H server -t TCP_RR -- -r 64,64k -s 128k -S 128k -C -D

Conclusion

Ce billet n'est qu'une introduction au logiciel NetPerf. Si vous souhaitez approfondir le sujet, je vous conseille la lecture de la documentation officielle (en Anglais).

Mon top 3 des sites pour fonds d'écran

NicoLargo — Fri, 19 Feb 2010 13:40:43 +0000

Il y a bien une chose avec laquelle je ne rigole: la qualité de mes fonds d'écran...Vu le temps que l'on passe (trop ?) devant nos machines, il serait dommage d'avoir des images moches et/ou rébarbatives. J'opte donc pour une rotation automatique toutes les 12 heures (avec le logiciel Wallpaper-tray sous Ubuntu et en suivant cette méthode pour mon MBP sous Mac OS X)

Voici donc les 3 sites sur lesquels je récupère mes fameux "wallpapers" (sous licence publique pour une utilisation personnelle).

Vlad Studio

Cet artiste est un vrai génie des fonds d'écran, j'en avait déjà parlé dans ce billet il y a maintenant plus de deux ans mais il reste au top de sa forme.

Adresse du site: http://www.vladstudio.com/fr/wallpapers/

Smashing Magazine

Ce site est la référence pour le Web Design (enfin pour moi). Leur section fonds d'écran, bien que peu mise à jour, cache des petits bijoux.

Adresse du site: http://www.smashingmagazine.com/tag/wallpapers/

Devian Art

Dans un autre style, les fonds d'écran que l'on peut trouver sur ce site plairont certainement à un large public !

Adresse du site: http://browse.deviantart.com/customization/wallpaper/

Et vous ? quels sont vos sites de références pour les fonds d'écran ?

Mes "marques ta-pages" de la semaine

NicoLargo — Fri, 19 Feb 2010 08:44:05 +0000

Siproxd rapproche SIP et NAT

NicoLargo — Thu, 18 Feb 2010 10:15:23 +0000

SIP est le protocole de signalisation pour effectuer des communications de type voix sur IP (VoIP). Lorsque la communication est établie, il passe la main au protocole RTP qui permet le transport de la voix sur le réseau. Dans une architecture réseau incluant des fonctions de translation d'adresse (NAT), les choses se compliquent (voir cet article en anglais). En effet, si plusieurs clients SIP se trouve derrière un routeur NAT, ce dernier ne va pas savoir établir les sessions entrantes (comment savoir vers quel client SIP faut il envoyer les flux).Vous pouvez lire ce billet qui détaille cette problématique.

On se retrouve devant plusieurs solutions techniques:

utilisation d'un tunnel IP entre le routeur NAT et le serveur SIP
utilisation de redirection statique (par client) au niveau du routeur NAT en utilisant des numéros de ports SIP et RTP différents
utilisation d'un proxy SIP au niveau du routeur NAT

C'est cette troisième solution que nous allons mettre en place dans ce billet en utilisant le proxy SIP libre siproxd sur votre routeur NAT GNU/Linux.

Installation de Sipproxd

Actuellement disponible en version 0.7.2, vous pouvez soit compiler les sources, soit installer depuis les dépôts de votre distribution GNU/Linux. Par exemple sous Ubuntu:


sudo aptitude install siproxd

Il faut ensuite modifier le fichier /etc/default/siproxd et remplacer le 0 par 1.

Configuration de Sipproxd

Le fichier de configuration unique /etc/siproxd.conf est très bien commenté. Dans un cas standard ou le routeur NAT GNU/Linux a deux interfaces (eth0 pour l'interface coté LAN et eth1 pour l'interface NATé), il suffit juste de modifier la configuration en changeant les deux lignes suivantes:


if_inbound  = eth0

if_outbound = eth1

Lancement de Sipproxd

Sous Unbuntu,c'est assez simple:


/etc/init.d/sipproxd start

Configuration des clients SIP

Il ne reste plus qu'a configurer vos clients SIP dans la section "Proxy SIP" et de mettre l'adresse IP de votre routeur NAT (coté LAN donc l'adresse de eth0 dans notre cas).