Für die Überwachung des Netzwerkverkehrs gibt es unterschiedliche Ansätze. Die bekanntesten sind wohl Ciscos Netflow, dessen Nachfolger IPFIX (Internet Protocol Flow Information Export) sowie sFLOW. Weniger bekannt, aber genauso interessant ist das Real Time Traffic Flow Measurement (RTFM) Framework nach RFC 2722. Als Open- Source-Implementierung für das RTFM steht Argus zur Verfügung.
Argus besteht aus einem Sensor und einem ganzen Zoo von Auswertungs- und Verabeitungsprogrammen, die neben „Argus“-Flows auch Netflows/IPFIX und tcpdump-Mitschnitte verarbeiten: Traffic Flows sammeln, verdichten, sortieren, splitten, Graphiken bauen oder in eine Datenbank wegschreiben. Der Daemon radium sammelt wie eine Spinne im Netz als Datenkollektor Daten von vielen Sensoren – darunter auch Netflows, um diese für die weitere Verarbeitung durch die Clientprogramme bereit zu stellen. Neben der Batchverarbeitung ist auch ein Livemontoring möglich: ratop zeigt analog zu zum Klassiker top, was aktuell auf einem Sensor gerade vor sich geht. Die Clientprogramme laufen auf vielen Betriebssystemen, der Argus-Sensor selbst benötigt die libpcap, läuft also auf vielen Unix-Systemen, Mac OS X und OpenWRT – mit der CYGWIN-Umgebung auch unter Windows.
Argus ist kein All-in-One-Programm mit einer schicken Weboberfläche wie NTOP oder Cacti, sondern eher ein Baukasten für die Kommandozeile. In der Praxis gibt es aber immer wieder Fragen zu einem zurückliegende Zeitraum, die mit Nagios, Cacti oder NTOP erzeugten Graphiken nicht zu beantworten sind.
Der Vortrag geht kurz auf die Grundlagen des Real Time Traffic Flow Measurement Frameworks ein und erklärt die Unterschiede zu Netflow/IPFIX und sFLOW. Danach stellt der Vortrag die Argus-Programme vor und erklärt einen möglichen Workflow für die Verarbeitung an Beispielen. Im dritten Teil veranschaulicht der Vortrag, wie der Referent mit Hilfe von Argus auf Linux-Firewalls den ein- und ausgehenden Verkehr überwacht und nach Problemen und Auffälligkeiten sucht.
Grundlegende Netzwerkkenntnisse von TCP/IP und dem OSI-Protokollstack sind für den Vortrag sehr hilfreich.