В настоящее время у нас есть линия T3 для приблизительно 28 человек, и она становится невероятно медленной в течение дня, поэтому мне нужно кое-что помочь выяснить, почему. Я предполагаю, что кто-то загружает что-то, что они могут не знать.
13
Ответы:
Я бы рекомендовал не использовать wireshark для мониторинга трафика. Вы просто получите слишком много данных, но вам будет сложно анализировать данные. Если вам нужно посмотреть на / устранить неполадки взаимодействия между двумя компьютерами, wireshark отлично подойдет. ИМХО, как инструмент мониторинга, wireshark - не совсем то, что вам нужно.
Профиль сетевого трафика. Попробуйте некоторые из реальных инструментов мониторинга: http://sectools.org/traffic-monitors.html . Вы ищете Top Type трафика (вероятно, HTTP, но кто знает), Top Talkers (должны быть вашими серверами, но кто знает), и потенциально искаженный трафик (большое количество повторных передач TCP, искаженные пакеты, высокие показатели очень малы пакеты. Наверное, не увидят, но кто знает)
В то же время, вместе с вашим руководством разработайте политику использования сетевых ресурсов. В общем, бизнес-термины, какие бизнес-потребности нужны компьютерным сетям и каковы подходящие варианты использования ресурса. Эта вещь стоит денег, поэтому для ее существования должно быть оправдание бизнеса. В вашей компании есть правила обращения со списком мелких денег, и я бы поспорил, что ваша сетевая инфраструктура стоит намного дороже. Главное, на чем нужно сосредоточиться, - это не ловить людей, которые совершают плохие поступки, а скорее следить за потенциальной злонамеренной деятельностью, которая ухудшает сетевую функциональность (то есть способность сотрудников выполнять свою работу). Подкаст Southern Fried Security и PaulDotCom Security Weekly содержат информацию о создании соответствующих политик безопасности.
Идея @John_Rabotnik для прокси-сервера была великолепной. Внедрить прокси-сервер для веб-трафика. По сравнению с традиционными брандмауэрами прокси-серверы дают вам гораздо более четкое представление о происходящем, а также более детальный контроль над тем, какой трафик разрешать (например, реальные веб-сайты) и какой трафик блокировать (URL-адреса, состоящие из [20 случайных символов) ] .com)
Пусть люди знают - в сети возникла проблема. Вы отслеживаете сетевой трафик. Предоставьте им механизм регистрации замедлений работы сети и сбора достаточного количества метаданных об отчете, чтобы в совокупности вы могли анализировать производительность сети. Общайтесь со своими коллегами. Они хотят, чтобы вы сделали хорошую работу, чтобы они могли делать хорошую работу. Вы в одной команде.
Как правило, блокируйте все, а затем разрешите то, что должно быть разрешено. Мониторинг, начиная с первого шага, должен дать вам знать, что нужно разрешить, как это отфильтровано в вашей политике использования / безопасности сети. Ваша политика также должна включать механизм, с помощью которого менеджер может запрашивать новые виды доступа.
Таким образом, первый шаг - мониторинг трафика (кажется, что Nagios - стандартный инструмент) помогает вам в целом понять, что происходит, чтобы остановить немедленную боль. Шаги 2 - 5 помогают предотвратить проблему в будущем.
источник
28 человек насыщают Т3? Кажется маловероятным (каждый может использовать потоковое мультимедиа в течение всего дня, и это близко не подойдет.) Возможно, вы захотите проверить петли маршрутизации и другие типы неправильной конфигурации сети. Вы также должны проверить на вирусы. Если в вашей локальной сети работает небольшой ботнет, это легко объяснит трафик.
Какой тип коммутации / брандмауэр вы используете? Возможно, у вас уже есть возможность отслеживать пакетный трафик.
Редактировать: я также большой поклонник Wireshark (хотя я стар, поэтому я все еще думаю, "Ethereal" в моей голове). Если вы собираетесь использовать его, лучше всего подключить машину, чтобы весь трафик проходил через нее. Это позволит вам вести исчерпывающую регистрацию без необходимости переключать оборудование в беспорядочный режим.
И если окажется, что вам нужно какое-то ограничение трафика, у вас будет хорошая возможность настроить прокси-сервер Snort ... Однако я бы не стал устанавливать его с намерением. Я действительно сомневаюсь, что ваша проблема заключается в пропускной способности.
источник
Если у вас есть запасной компьютер, вы можете настроить его как прокси-сервер в Интернете . Вместо того, чтобы машины, имеющие доступ к Интернету через маршрутизатор, они получают к нему доступ через прокси-сервер (который обращается к Интернету, используя для них маршрутизатор). Это будет регистрировать весь интернет-трафик и с какой машины он пришел. Вы даже можете заблокировать определенные веб-сайты или типы файлов и множество других интересных вещей.
Прокси-сервер также будет кешировать часто используемые веб-страницы, поэтому пользователи посещают одни и те же веб-сайты, изображения, загружаемые файлы и т. Д. Уже будут на прокси-сервере, поэтому их не придется повторно загружать. Это также может сэкономить вам пропускную способность.
Это может занять некоторое время, но если у вас есть время и терпение, то это определенно стоит того. Настройка прокси-сервера, вероятно, выходит за рамки этого вопроса, но вот несколько советов для начала:
Установите операционную систему Ubuntu на запасной компьютер (получите версию сервера, если вы знакомы с Linux):
http://www.ubuntu.com/desktop/get-ubuntu/download
Установите прокси-сервер squid на машине, открыв окно терминала / консоли и введя следующую команду:
sudo apt-get установить squid
Настройте Squid так, как вам нравится, вот руководство по настройке его в Ubuntu. Вы также можете проверить веб-сайт squid для получения дополнительной документации и помощи по настройке.
https://help.ubuntu.com/9.04/serverguide/C/squid.html
Сконфигурируйте ваши клиентские машины для использования сервера Ubuntu в качестве прокси-сервера для доступа в Интернет:
http://support.microsoft.com/kb/135982
Возможно, вы захотите заблокировать доступ в Интернет на маршрутизаторе ко всем машинам, кроме прокси-сервера, чтобы запретить хитрым пользователям доступ к Интернету с маршрутизатора и обход прокси-сервера.
Существует множество способов настройки прокси-сервера Squid в Ubuntu.
Всего наилучшего, я надеюсь, вы дошли до сути.
источник
Wireshark создаст захват пакета, и вы сможете анализировать сетевой трафик с ним http://www.wireshark.org/
Если вам нужно больше визуализировать трафик, вы можете использовать фильтры, чтобы показать вам только определенный трафик в зависимости от размера, типа и т. Д.
источник
Смотрите ответ Daisetsu для программного решения.
По понятным причинам законы большинства / некоторых стран требуют, чтобы вы сообщали сотрудникам, что трафик будет контролироваться. Но я полагаю, вы уже это знаете.
Более низкотехнологичным, но менее инвазивным методом было бы визуально проверять физические переключатели на наличие мигающих огней: когда сеть замедляется, кто-то, вероятно, использует большую полосу пропускания, поэтому светодиодный индикатор для его кабеля будет неистово мигать по сравнению со всеми остальными. , С 28 компьютерами, отсеивающими «невинных» компьютеров, не должно занять много времени, и соответствующий пользователь может быть проинформирован о том, что его компьютер плохо себя ведет, и он скоро будет проверен вами.
Если вас не волнует конфиденциальность ваших сотрудников (в конце концов они могут злоупотреблять вашей пропускной способностью), и они либо подписали соглашение, либо местная юрисдикция позволяет вам, вы можете просто проигнорировать этот шаг и проверить, что они делают, без предварительного уведомления , конечно. Но если вы не думаете, что кто-то может нанести мне активный вред компании (например, нарушить законы, дать утечку информации), это может привести к неловкой ситуации (сверхвысокая широкополосная связь заманчива, и есть много вещей в Интернете, которые вы можете скачать в массовом порядке на ежедневно, большинство из которых вы не должны на работе, но могут испытывать соблазн).
источник
http://www.clearfoundation.com/ или http://sourceforge.net/apps/trac/ipcop/wiki
Clear OS специально отмечает эту возможность на своем сайте: http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop
источник
Я не могу поверить, что никто не упомянул iptraf.
источник
Расскажите нам еще о типе трафика, который вы обычно ожидаете по трассе. Вы разделяете файлы? Доступ к почтовым ящикам через него? Доступ к файлам PST через него? Какие-нибудь базы данных Access? Локальные серверы или удаленные серверы для пользователей? Что-нибудь еще нам нужно знать?
источник