Znajdź, która maszyna używa całej przepustowości

10

Muszę wiedzieć, która maszyna zajmuje całe pasmo sieciowe.

Czy istnieje narzędzie, którego mogę użyć do monitorowania mojej sieci lokalnej i wiedzieć, która maszyna obsługuje całe pasmo LAN?

Co sądzisz o Zenmap?

Cédric Boivin
źródło

Odpowiedzi:

9

Używamy MRTG (bezpłatny) http://oss.oetiker.ch/mrtg/ do monitorowania ruchu na naszych routerach i przełącznikach. Działa to tylko wtedy, gdy używasz zarządzanych przełączników obsługujących SNMP.

tajh
źródło
MRTG, chociaż świetnie, nie powie ci, które z twoich urządzeń LAN wykorzystują całą przepustowość Internetu.
mfinni
3
MRTG pokaże poziomy ruchu dla wszystkich portów na twoim przełączniku (przełącznikach). Jeśli użyjesz indexmakera (zawartego w dystrybucji MRTG oss.oetiker.ch/mrtg/doc/indexmaker.en.html ) do wygenerowania przeglądu, wszystkie porty pojawią się z wykresami wykorzystania przepustowości na jednej stronie. Poszukaj portu o największej aktywności (dużo niebieskiego i zielonego na wykresie).
tajh
1
Aha - wiesz co, źle odczytałem OP. Myślałem, że chce wiedzieć, co wykorzystuje jego przepustowość Internetu. Powiedział, że przepustowość sieci LAN, więc masz absolutną rację.
mfinni,
13

Co ze starym e-mailem do personelu @?

„Właśnie kupiłem narzędzie do monitorowania, które powie mi, kto zużywa przepustowość. Oto link do akapitu w podręczniku dla pracowników, który wyjaśnia zasady korzystania z Internetu. Zainstaluję je jutro. Zostałeś ostrzeżony. Dzięki. „

Może zadziałać, a jeśli nie, masz kilka sugestii od miłych ludzi, którzy mogliby podołać temu zagrożeniu.

Jamie Folsom
źródło
1
Kocham to. Tak cyniczny, że może po prostu działać!
Chris_K
Dobry pomysł, ale już próbuję :-)
Cédric Boivin
2
Myślałem, że odchodzimy od modelu administracji sieci BOFH ( theregister.co.uk/odds/bofh ). : P
Joe
Wygląda na to, że odsuwamy się od historii , ponieważ ta strona nie była aktualizowana przez jakiś czas: - /
Massimo
1
Jeśli już próbowałeś zagrożenia, na miłość boską, wykonaj i upokorz kogoś publicznie, w przeciwnym razie stracisz jakąś dźwignię.
Jamie Folsom,
3

Jeśli przejście na sieć Hubbed jest tymczasowo niedopuszczalne lub inne metody są zbyt czasochłonne, możesz zastosować wypróbowaną i prawdziwą taktykę zatrucia ARP i wąchania ich ruchu (zastrzeżeniem tego podejścia jest wąskie gardło w połączeniu z kartą sieciową) / Szybkość okablowania i gwałtownie spowolni, być może DOS, duża sieć. Drugim zastrzeżeniem jest to, że lokalny IDS będzie narzekał, obficie).

Jeśli korzystasz z Cisco, możesz włączyć SSH i pokazać interfejs , pod warunkiem, że podejrzewasz, że jesteś w przełączniku, którego porty dostępu są podłączone do winowajcy.

Jeśli korzystasz z Juniper, uważam, że polecenie pokaż szczegóły interfejsu ma zastosowanie w powyższym scenariuszu.

ŹV -
źródło
2

Prawdopodobnie jesteś w sieci komutowanej. Praktycznym sposobem na wąchanie / przechwytywanie całego ruchu jest skonfigurowanie portu lustrzanego na tym przełączniku. Następnie możesz umieścić komputer w tym porcie lustrzanym z uruchomionym Wireshark, aby przechwycić cały ruch.

Kyle Brandt
źródło
1

Tak, możesz to zrobić na kilka sposobów. Możesz zmierzyć go bezpośrednio z wewnętrznego lub zewnętrznego portu routera, który łączy twoją sieć LAN z Internetem. Następnie router musi obsługiwać coś takiego jak NetFlow lub podobne technologie, a do przechwytywania tego potrzebujesz również komputera z oprogramowaniem.

Możesz także zainstalować serwer proxy (na wiele sposobów), który obsługuje rodzaj raportu, którego szukasz.

mfinni
źródło
0

Jeśli twój router obsługuje netflow, to prawdopodobnie obsługuje funkcję top-talker, która zapewni najwyższą przepustowość w linii poleceń, jeśli nie potrzebujesz wykresów i fantazyjnych raportów. Również jeśli nie masz dostępu do routera, ale masz dostęp do przełączników LAN, możesz wykonać kopię lustrzaną portu prowadzącego do routera lub całego sieci Vlan i przeanalizować ruch za pomocą sniffera pakietów takiego jak Wireshark


źródło
0

Jak powiedział Kyle, prawdopodobnie jesteś w sieci komutowanej (obecnie prawie wszyscy to robią); sniffer nie pomoże ci tutaj, ponieważ komputer podłączony do portu przełącznika widzi tylko ruch do / z siebie i nadaje.

Jeśli twój przełącznik go obsługuje, skonfiguruj port monitora i podłącz do niego sniffer (WireShark jest do tego naprawdę świetny); jeśli nie, musisz znaleźć inny sposób ...

Jeśli przeszkadza ci przepustowość Internetu , możesz umieścić mały koncentrator (nie przełącznik, prawdziwy koncentrator ) między routerem a głównym przełącznikiem i podłączyć tam sniffer; będzie mógł wykryć cały ruch przepływający przez porty koncentratora.

Massimo
źródło
0

Podobnie jak sugeruje Massimo, mam mały hub między naszą zaporą ogniową a „głównym” wewnętrznym przełącznikiem. Mam linuksową maszynę wirtualną z uruchomionym ntopem również podłączoną do tego koncentratora, co pozwala mi łatwo monitorować cały ruch przychodzący / wychodzący.

W razie potrzeby mogę przenieść koncentrator, aby monitorować różne segmenty, ale większość problemów związanych z siecią jest powolna bezpośrednio dla osoby przenoszącej duże ilości danych do lub z Internetu.

Chris_K
źródło
0

Używam Smoothwall do naszej zapory ogniowej i ma to, czego potrzebujesz. To jest strona wyświetlająca, która pokazuje przepustowość używaną przez adres IP. Wydaje się, że odświeża się co sekundę, co jest wystarczająco blisko czasu rzeczywistego do moich celów. Porównaj adres IP z dziennikami proxy, aby uzyskać całkiem niezłe wyobrażenie o tym, co zamierzają.

John Gardeniers
źródło