Torch: herramienta de monitoreo de tráfico

Mauro Escalante
mayo 2, 2023
3:00 pm
No hay comentarios

Torch es una herramienta de monitoreo de tráfico en tiempo real que se utiliza para supervisar el flujo de tráfico a través de una interfaz en MikroTik RouterOS.

Con Torch, puedes monitorear el tráfico clasificado por nombre de protocolo, dirección de origen, dirección de destino y puerto. La herramienta muestra los protocolos seleccionados y la velocidad de transmisión y recepción (tx/rx) de datos para cada uno de ellos.

A partir de la versión v5RC6, Torch también es capaz de mostrar tráfico IPv6. Se introducen dos nuevos parámetros: src-address6 y dst-address6, que permiten filtrar el tráfico IPv6.

Torch se puede utilizar tanto desde la línea de comandos (CLI) como desde la interfaz gráfica Winbox, donde se muestra una interfaz más atractiva y se puede activar una barra de filtro pulsando la tecla F en el teclado.

Datos importantes

El tráfico unicast entre clientes inalámbricos con el reenvío entre clientes (client-to-client forwarding) habilitado no será visible para la herramienta Torch. Además, los paquetes que son procesados con el bridge habilitado con hardware offloading tampoco serán visibles (el tráfico unicast desconocido, broadcast y algunas transmisiones múltiples serán visibles para la herramienta Torch).

El tráfico que aparece en Torch es antes de que haya sido filtrado por el firewall. Esto significa que podrás ver paquetes que pueden ser descartados por las reglas de tu firewall.

Ejemplos prácticos

Un ejemplo de uso de la herramienta Torch es monitorear el tráfico generado por el protocolo Telnet a través de la interfaz ether1. Puedes obtener información como el puerto de origen, el puerto de destino, la velocidad de transmisión (TX) y la velocidad de recepción (RX) del tráfico Telnet específico.
También puedes utilizar Torch para ver qué protocolos IP se envían a través de una interfaz específica. Esto puede ser útil para analizar el tráfico de diferentes protocolos, como TCP, UDP, ICMP y OSPF, y observar la velocidad de transmisión y recepción para cada uno de ellos.
Además, puedes utilizar la herramienta Torch para ver qué protocolos están asociados a un host conectado a una interfaz específica, utilizando la dirección IP de origen del host.

Ejemplos con comandos

El siguiente ejemplo monitorea el tráfico generado por el protocolo telnet, el cual pasa a través de la interface ether1:

				
					/tool torch ether1 port=telnet
 SRC-PORT          DST-PORT             TX         RX
 1439              23 (telnet)          1.7kbps    368bps

Para ver qué protocolos se envían a través de ether1:

				
					/tool torch ether1 protocol=any-ip
 PRO..      TX           RX
 tcp        1.06kbps     608bps
 udp        896bps       3.7kbps
 icmp       480bps       480bps
 ospf       0bps         192bps

Para ver qué protocolos están enlazados al host 10.0.0.144/32 conectado a la interface ether1:

				
					/tool torch ether1 src-address=10.0.0.144/32 protocol=any
 PRO..    SRC-ADDRESS     TX         RX
 tcp      10.0.0.144      1.01kbps   608bps
 icmp     10.0.0.144      480bps     480bps

Otras características importantes

Además de las funcionalidades mencionadas anteriormente, la herramienta Torch en MikroTik RouterOS también ofrece otras opciones y características importantes:

Filtro avanzado: Torch permite aplicar filtros avanzados para enfocarse en el tráfico específico que deseas analizar. Puedes filtrar por direcciones IP, rangos de direcciones IP, protocolos, puertos, interfaces y más. Esto te permite realizar análisis más detallados y precisos del tráfico de red.
Actualización en tiempo real: La tabla de resultados de Torch se actualiza en tiempo real, lo que te permite observar los cambios en el tráfico al instante. Esto es especialmente útil para monitorear eventos o anomalías de tráfico en tiempo real y tomar medidas rápidas.
Análisis de ancho de banda: Torch proporciona información sobre la velocidad de transmisión y recepción de datos para cada protocolo o flujo de tráfico. Esto te permite identificar qué protocolos o aplicaciones están utilizando más ancho de banda en tu red y realizar ajustes en consecuencia.
Información detallada de conexión: Además de mostrar la velocidad de transmisión y recepción de datos, Torch también muestra detalles adicionales sobre las conexiones, como la dirección MAC de origen y destino, el tamaño de los paquetes y el tiempo transcurrido desde la captura.
Exportación de datos: Puedes exportar los resultados de Torch a archivos para su posterior análisis o referencia. Esto te permite almacenar registros de tráfico y compartir información con otros equipos de tu organización para una colaboración más efectiva.

Dónde se puede usar la herramienta

Monitoreo de rendimiento de red: Puedes utilizar Torch para evaluar el rendimiento de tu red, identificar cuellos de botella, analizar el tráfico en momentos de alta carga y optimizar la configuración de tu infraestructura de red.
Resolución de problemas de red: Torch es una herramienta invaluable para la resolución de problemas de red. Puedes utilizarla para identificar tráfico no deseado, analizar el comportamiento de aplicaciones específicas, detectar patrones de tráfico sospechosos y diagnosticar problemas de conectividad.
Supervisión de seguridad: Torch te permite monitorear y analizar el tráfico en busca de posibles amenazas o actividades maliciosas. Puedes identificar tráfico no autorizado, realizar un seguimiento de la actividad de ciertos hosts o protocolos y tomar medidas para proteger tu red.

En resumen

Torch es una herramienta poderosa para el monitoreo en tiempo real del tráfico de red. Con su capacidad de filtrado, actualización en tiempo real y análisis detallado, es una herramienta esencial para administradores de redes y profesionales de seguridad que desean tener un mayor control y visibilidad sobre el tráfico en su infraestructura de red.