Как найти клиента, генерирующего трафик?
Мы используем SBS 2003 SP2, и мне интересно, есть ли какой-нибудь простой способ узнать, откуда генерируется трафик в определенное время?
В моем случае общее потребление трафика в день составляет примерно 8 ГБ. Меня не беспокоит общий трафик (эти 8 ГБ в основном включают передачу файлов резервных копий в ночное время), а в определенных временных рамках.
Просто пример: внезапно в 10:30 интернет-соединение резко замедляется. Я проверил наши службы автоматического резервного копирования и другие службы передачи, но ни одна из них не работает. У меня все еще есть сеть с примерно 15 компьютерами, разбросанными по всему зданию, которые потенциально могут генерировать трафик.
У нас есть только небольшая линия 2 Мбит, поэтому она может быстро насыщаться в рабочее время. Я не подозреваю, что какой-то пользователь делает что-то не так, я думаю, что происходит автоматизация программного обеспечения, но я не уверен. Возможно, дело в автоматических загрузках Windows или Adobe, но как я могу узнать наверняка?
Я уже просматривал сгенерированный отчет ISA 2004 и видел много цифр, но я не могу точно сказать, в какие временные рамки какой клиент генерировал трафик.
Я могу видеть пик на самом сервере, перейдя на вкладку сети в диспетчере задач, и я вижу, что внешний интерфейс 100 Мбит имеет 2% == 2 Мбит, но я не могу понять, откуда он на самом деле исходит.
Я думаю, что могу исключить, что это сам Сервер, генерирующий трафик, потому что график трафика из внешнего интерфейса соответствует интерфейсу LAN, который обслуживает моих пользователей (наш интерфейс DMZ, который содержит наши автоматизированные службы резервного копирования, в это время находится на 0 ).
Как я могу решить эту проблему?
Я уверен, что есть способ лучше интерпретировать информацию, поступающую с вашего ISA-сервера, но на случай, если ничего не получится: «Мы доверяем WireShark»
Он также работает в Windows: http://www.wireshark.org/download.html
Согласны с другими рекомендациями для Wireshark, но это может быть излишним, netstat -an может предоставить вам достаточно информации, вы не можете увидеть объем трафика, но вы можете увидеть источник и пункт назначения.
Я, конечно, второй отладку с WireShark, он даст вам как отправляющий, так и получающий IP-адрес, протокол и даже контент, если это не HTTPS / SSL.
Но не может ли быть просто так, что вы видите чей-то ритуал тайных новостей о кофе-брейке? Поскольку домашние страницы новостных сайтов имеют размер 1 МБ (с изображениями и рекламой), 2 МБ можно быстро ограничить. И 10:30 кажется хорошим временем для перерыва на spiegel.de или ежедневного веб-комиксов :)
На SBS 2003 должен быть установлен ISA 2004, что должно упростить получение довольно подробных журналов - вместо отчетов, которые вы можете настроить для генерации, которые дают вам сводку трафика за определенный промежуток времени, вам нужно смотреть напрямую в журналах ISA, которые могут быть настроены на очень подробный журнал трафика межсетевого экрана, фильтрации пакетов и веб-прокси, либо в файлы журнала, либо в базу данных. Подробнее о настройке логирования в ISA 2004 здесь.
Некоторые из этих ответов также могут помочь:
я использую ntop для такого рода вещей почти ежедневно. При желании он сообщит вам, у кого есть трафик и куда они направляются. Очень удобный и простой в настройке.