Я знаю, что это похоже на некоторые другие вопросы, но, похоже, на них нет ответа так полно, как я надеялся.
В нашей сети есть несколько компьютеров, подключенных к Интернету. Кажется, что в последние несколько недель наша пропускная способность для загрузки исчерпана. Теперь у нас есть очень простой инструмент для отслеживания входящего и исходящего трафика, поэтому я знаю, что это входящий (загружаемый) трафик. Теперь мне нужно выяснить, какая машина (а) вызывает это, пока инструменты мониторинга сети либо отслеживают внутренний сетевой трафик, который в любом случае сумасшедший и выглядит как `` матрица '', либо вычисляет общую используемую пропускную способность, что у нас есть тем не мение.
Мне нужен инструмент, который может сказать мне, какая машина в нашей сети использует больше всего интернет-трафика (входящего и исходящего), и если нет, то почему?
У нас есть сеть Windows. У нас есть неуправляемые переключатели.
Чтобы проанализировать, какое устройство генерирует / получает наибольший трафик, вам понадобится сетевое оборудование, которое может собирать эту статистику.
Как упоминалось в предыдущем ответе, проще всего сделать это с помощью управляемого коммутатора, который позволит вам опрашивать трафик на каждом порту.
Другой метод - это маршрутизатор, который может либо собирать данные учета трафика на уровне каждого MAC-адреса, либо экспортировать сетевой трафик в формате «NetFlow», который может быть проанализирован с помощью такого инструмента, как NFSen
Последний метод - установка какого-то анализатора пакетов (например, ПК с Wireshark). Для того, чтобы заставить это работать на неуправляемом коммутаторе, вам необходимо либо установить анализирующий компьютер, подключенный к трафику (то есть две сетевые карты, настроенные для переадресации L2), либо установить какой-либо ответвитель Ethernet между коммутатором и маршрутизатором.
Чем меньше управляемое сетевое оборудование у вас в сети, тем больше знаний о сети вам потребуется для сбора статистики.
Помимо программного решения, один вариант, который не требует установки какого-либо программного обеспечения, - это проверить, какой порт на коммутаторе мигает чаще всего в течение длительного периода.
Если кто-то загружает фильмы и т. Д. Ночью, когда большинство машин должно быть в режиме ожидания, вы довольно быстро увидите это, когда большая часть сети простаивает. Если это происходит в течение дня, может быть трудно сказать.
Возможно, вы захотите усилить свой брандмауэр, чтобы заблокировать битторент и т. Д.
Вам нужно посмотреть на получение статистики SNMP от ваших сетевых коммутаторов, чтобы узнать, какой сетевой порт получает трафик.
Общие инструменты, такие как Кактусы и Мунин может изобразить это для вас.
Если у вас нет управляемых переключателей, купите!
Как сетевой администратор и специалист по безопасности, я склоняюсь к политике запрета исходящего трафика по умолчанию и прокси-серверу.
За исключением этого, я бы поддержал предложение о реализации сборщика / анализатора netflow. Теперь выполнение этого без возможности охвата портов на неуправляемом коммутаторе означает либо:
В зависимости от того, насколько важна ваша сеть для вашего бизнеса, управляемый коммутатор и даже коммерческий брандмауэр SOHO меньшего размера являются надежными инвестициями в вашу инфраструктуру. Прежде чем отказываться от оборудования как опции, узнайте цены у некоторых поставщиков серого рынка. Я купил корпус Cisco 6500, блок питания и один супервизор менее чем за 3 тысячи долларов для лабораторной среды.
Вместо использования анализатора пакетов, такого как Wireshark, вам, вероятно, понадобится система, работающая с NetFlows. Это способ абстрагироваться от сетевых подключений, чтобы вы могли видеть источник, место назначения, размер и долговечность подключений.
Разница в том, что вам все равно, что пользователь загружает какую-то сцену с Уэстли Снайпсом в ней; вас волнует только то, что пользователь $ X использует торрент-файлы.
Преимущество этого заключается в том, что гораздо практичнее хранить собранную таким образом информацию в течение длительного периода времени. В моем случае я могу хранить NetFlows на три месяца для основного подключения к Интернету на диске емкостью 60 ГБ. Это дает мне гораздо лучшую возможность вернуться во времени, чтобы выяснить, что произошло, когда ...
Я бы установил что-то вроде nfsen (вот мои заметки по установке nfsen в Linux) на проводе, который получает копию всего трафика, который видит внутренняя часть вашего брандмауэра.