Мне нужна помощь в определении того, что ест мое интернет-соединение на работе
Я являюсь сетевым администратором в своей компании, и в настоящее время у нас есть соединение T1 с Интернетом, но мы получаем только скорость около 150 кбит / с вниз и почти 1,5 вверх. Я не знаю, как понять, какая машина в моей сети может делать что-то, чего не должны делать, или, возможно, на ней есть вирус. У нас в сети около 100 компьютеров, поэтому загрузить программное обеспечение на каждый из них будет непросто. Есть ли какой-нибудь сетевой инструмент, который я могу использовать, который скажет мне, какая машина использует всю полосу пропускания, чтобы я мог увидеть, есть ли на нем вирус. Сегодня я здесь на работе, я здесь единственный, и у меня ужасное интернет-соединение, поэтому я думаю, что у меня, возможно, зараженный компьютер, и просто не осознаю этого.
Спасибо!
Это похоже на меньшую сеть, поэтому для простоты я бы сделал грубую проверку, действительно ли существует внутренняя проблема, скажем, отключив ее на некоторое время и подключив один компьютер к ASA - чтобы проверить правильность предположений. Если это так, найдите предлагаемые инструменты - если нет, проблема не в вашей сети ^^
(для этого требуется некоторое время простоя, но я предполагаю, что для этого есть окна обслуживания)
darkstat должен хорошо помочь вам в этом быстро и, если у вас есть брандмауэр BSD / Linux, вы сможете без проблем его построить.
Вам понадобится копия исходящего сетевого трафика ... и затем вы сможете использовать такие инструменты, как ntop ( http://www.ntop.org/) для отслеживания использования полосы пропускания.
Поскольку вас беспокоит только трафик, проходящий через T1, я бы посоветовал вот что:
Есть несколько способов сделать это, но, возможно, проще всего установить PRTG (при условии, что вы используете какую-то версию Windows) на своей рабочей станции. В PRTG настройте датчик перехвата пакетов. На коммутаторе, к которому ваш ASA подключается, чтобы настроить монитор порта для зеркалирования трафика порта коммутатора ASA на порт, на котором работает компьютер PRTG. Это покажет вам не только общий объем трафика, проходящего через порт коммутатора ASA (в Интернет и из Интернета через T1), но также покажет вам объем трафика на основе протокола, источника и пункта назначения. Если вы не знаете, как настроить монитор портов или ваш коммутатор не поддерживает мониторинг портов, вы можете подключить концентратор между ASA и коммутатором и подключить свой компьютер PRTG к тому же концентратору, чтобы увидеть весь трафик, проходящий через ASA.
РЕДАКТИРОВАТЬ
Дополнительная информация, основанная на вашем комментарии к моему ответу:
Если у вас нет управляемого коммутатора, вам придется использовать концентратор (или вы можете приобрести дешевый управляемый коммутатор, который поддерживает мониторинг портов, и использовать его вместо концентратора).
Я постараюсь не слишком усложнять это. Если у вас есть концентратор, сделайте следующее: отключите сетевой кабель, идущий от коммутатора к ASA, и вставьте его между коммутатором и концентратором. Затем, используя другой сетевой кабель, подключите его между концентратором и ASA. По сути, вы вставляете концентратор между коммутатором и ASA. Затем подключите компьютер PRTG к концентратору. Поскольку концентратор лавинно направляет трафик на каждый порт, весь трафик, проходящий между коммутатором и ASA, будет замечен PRTG, работающим на рабочей станции. Итак, вот небольшая диаграмма того, что вам нужно настроить:
ПЕРЕКЛЮЧАТЕЛЬ <---------> HUB <---------> ASA
РАБОЧАЯ СТАНЦИЯ <--- ^
Линии <---> и <--- ^ обозначают сетевые соединения (кабели).
ASA может отправлять данные netflow (хотя вам, возможно, придется сначала обновить его). Вы можете использовать это с любым программным обеспечением, которое может получать netflow (например, ntop).
В крайнем случае вы можете попробовать просто бежать show conn и ищете что-то необычное.
Бьюсь об заклад, эта проблема была решена давно, но на случай, если кому-то понадобится что-то похожее, я бы посоветовал вам использовать ноутбук под управлением Wireshark.
Просто дайте ему поработать некоторое время, чтобы проверить, кто использует вашу полосу пропускания. Проблема только в том, чтобы найти где его подключить. Если у вас есть концентратор, вы можете подключить его между маршрутизатором и коммутатором локальной сети. В противном случае это может быть немного сложно. В Cisco switch вам нужно будет настроить порт SPAN:
! Port connected to your router
monitor session 1 source interface Gi0/1
! Port connected on you laptor running Wireshark
monitor session 1 destination interface Gi0/20
НАКОНЕЧНИК: Чтобы избежать получения огромного количества данных, ограничьте каждый захваченный пакет до 96 байт (вы должны настроить его на наименьшее число, которое будет отображать весь заголовок протокола, который вы анализируете), поскольку вам не нужно знать содержимое вашей полезной нагрузки (по крайней мере, при первом анализе):
Затем после сбора значительного количества данных перейдите к Statistics > Conversations, сортировать по Bytes колонка и вуаля, вы поймаете плохого парня.