Наразі у нас є лінія T3 для приблизно 28 людей, і вона стає смертельно повільною протягом дня, тому мені потрібно щось, щоб допомогти відстежити, чому. Я припускаю, що хтось завантажує щось, про що вони, можливо, не знають.
Наразі у нас є лінія T3 для приблизно 28 людей, і вона стає смертельно повільною протягом дня, тому мені потрібно щось, щоб допомогти відстежити, чому. Я припускаю, що хтось завантажує щось, про що вони, можливо, не знають.
Відповіді:
Я б рекомендував забороняти використання проводів для контролю трафіку. Ви просто отримаєте занадто багато даних, але вам важко проаналізувати дані. Якщо вам потрібно переглянути / усунути неполадки взаємодії між декількома машинами, прекрасний провід. Як інструмент моніторингу, IMHO, wireshark - це не зовсім потрібний інструмент.
Профілюйте мережевий трафік. Спробуйте деякі фактичні засоби моніторингу: http://sectools.org/traffic-monitors.html . Ви шукаєте трафік Top Type (швидше за все, HTTP, але хто його знає), Top Talkers (повинні бути вашими серверами, але хто знає), і потенційно неправильний трафік (велика кількість ретрансляцій TCP, неправильно сформовані пакети, висока швидкість дуже малих пакети. Напевно, не побачу, але хто знає)
Одночасно працюйте зі своїм керівництвом над розробкою політики використання мережевих ресурсів. Взагалі, бізнес-умови, для чого потрібен бізнес, щоб комп’ютерна мережа існувала для задоволення та які можливості використання ресурсу. Ця річ коштує грошей, тому для самого існування має бути виправдання бізнесу. Ваша компанія має політику поводження з ящиком "дрібних готівкових грошей", і я б сподівався, що ваша мережева інфраструктура коштує набагато більше. Основна річ, на яку слід зосередитися, - це не ловити людей, які роблять поганих справ, а скоріше спостерігати за потенційною шкідливою діяльністю, яка погіршує функціональність мережі (тобто здатність співробітників виконувати свою роботу). Підкаст Southern Fried Security і щотижневий захист PaulDotCom висвітлюють інформацію про створення відповідної політики безпеки.
@John_Rabotnik ідея проксі-сервера була чудовою. Реалізуйте проксі-сервер для веб-трафіку. Порівняно з традиційними брандмауерами, проксі-сервери надають набагато кращу наочність того, що відбувається, а також більш детальний контроль над тим, який трафік дозволити (наприклад, реальні веб-сайти) та який трафік блокувати (URL-адреси, що складаються з [20 випадкових символів) ] .com)
Повідомте людей - у мережі є проблеми. Ви стежите за мережевим трафіком. Надайте їм механізм для реєстрації сповільнень у мережі та збору достатньої кількості метаданих про звіт, щоб у сукупності ви могли проаналізувати ефективність роботи мережі. Спілкуйтеся зі своїми колегами. Вони хочуть, щоб ви зробили гарну роботу, щоб вони могли зробити гарну роботу. Ви в одній команді.
Як правило, заблокуйте все, а потім дозвольте те, що слід дозволити. Ваш моніторинг з першого кроку повинен повідомити вам, що потрібно дозволити, як це відфільтровано за допомогою використання вашої мережі / політики безпеки. Ваша політика також повинна включати механізм, за допомогою якого менеджер може вимагати надання нових видів доступу.
Підсумовуючи підсумок першого кроку, моніторинг руху (здається, що Nagios є стандартним інструментом) допомагає вам зрозуміти, що відбувається, щоб зупинити негайний біль. Кроки 2 - 5 допомагають запобігти проблемі в майбутньому.
28 людей, що насичують Т3? Це не здається (кожен може використовувати потоковий носій цілий день, і він не наблизиться.) Ви можете перевірити наявність циклів маршрутизації та інших типів неправильної конфігурації мережі. Також слід перевірити наявність вірусів. Якщо у вашій локальній мережі працює невеликий ботнет, це легко пояснить трафік.
Який тип комутації / брандмауера ви використовуєте? Можливо, ви вже маєте певні можливості контролювати пакетний трафік.
Редагувати: Я також великий фанат Wireshark (хоча я вже старий, тому все ще думаю, що "Ethereal" в голові). Якщо ви збираєтесь ним користуватися, найкращий спосіб - це встановити машину в лінію, щоб весь трафік повинен проходити через неї. Це дозволить вам вести вичерпний журнал без необхідності перемикати обладнання в безладний режим.
І якщо виявиться, що вам потрібне певне формування трафіку, ви зможете створити проксі-сервер Snort ... Однак я б не починав із наміру встановити його. Я дуже сумніваюся, що ваша проблема - пропускна здатність.
Якщо у вас є запасна машина, ви можете налаштувати її на Інтернет-проксі-сервер . Замість машин, що здійснюють доступ до Інтернету через маршрутизатор, вони отримують доступ до нього через проксі-сервер (який здійснює доступ до Інтернету, використовуючи для них роутер). Це зафіксує весь інтернет-трафік та з якої машини він прийшов. Ви навіть можете заблокувати певні веб-сайти чи файли та багато інших цікавих речей.
Проксі-сервер також буде кешувати часто використовувані веб-сторінки, тому користувачі відвідують ті самі веб-сайти, зображення, завантаження тощо будуть вже на проксі-сервері, тому їх не потрібно буде повторно завантажувати. Це також може заощадити пропускну здатність.
Це може зайняти деяке налаштування, але якщо у вас є час і терпіння, то, безумовно, варто піти на це. Налаштування проксі-сервера, ймовірно, виходить за рамки цього питання, але ось кілька покажчиків для початку роботи:
Встановіть операційну систему Ubuntu на запасну машину (отримайте версію сервера, якщо вам зручно в Linux):
Встановіть проксі-сервер кальмарів на апарат, відкривши вікно термінала / консолі та ввівши таку команду:
sudo apt-get install кальмар
Налаштуйте кальмарів так, як вам подобається, ось інструкція по його налаштуванню на Ubuntu. Ви також можете перевірити веб-сайт кальмарів для отримання додаткової документації та довідки щодо налаштування.
Налаштуйте клієнтські машини для використання сервера Ubuntu як проксі-сервера для доступу до Інтернету:
Ви можете заблокувати доступ до Інтернету на маршрутизаторі на всіх машинах, окрім проксі-сервера, щоб перешкодити хитрим користувачам отримати доступ до Інтернету через маршрутизатор та обійти проксі-сервер.
Тут є багато допомоги щодо налаштування проксі-сервера Squid на Ubuntu.
Все найкраще, сподіваюся, ви досягнете цього.
Wireshark створить захоплення пакетів, і ви можете проаналізувати мережевий трафік з ним http://www.wireshark.org/
Якщо вам потрібно більше візуалізувати трафік, ви можете використовувати фільтри для показу лише певного трафіку залежно від розміру, типу тощо.
Дивіться відповідь Daisetsu щодо програмного рішення.
З очевидних причин, законодавство більшості / деяких країн вимагає, щоб ви поінформували працівників про те, що рух буде контролюватися. Але я припускаю, що ви це вже знаєте.
Більш низькотехнологічною, але менш інвазивною технікою було б візуально перевірити фізичні вимикачі на блимаючі світильники: коли мережа сповільнюється, хтось, ймовірно, використовує велику пропускну здатність, тож світлодіодний індикатор для їх кабелю буде блимати люто порівняно з усіма іншими . З 28 комп’ютерів, що відмивають «невинних», це не повинно зайняти багато часу, і відповідний користувач може бути поінформований про те, що їхній комп’ютер погано веде себе, і незабаром він буде перевірений вами.
Якщо ви не піклуєтесь про конфіденційність ваших співробітників (вони можуть зловживати вашою пропускною здатністю все-таки) і вони або підписали угоду, або місцева юрисдикція дозволяє, ви можете просто проігнорувати цей крок і перевірити, що вони роблять, без попереднього повідомлення , звичайно. Але якщо ви не думаєте, що хтось може мені завдати шкоди компанії (наприклад, порушувати закони, витікати інформацію), це може спричинити незручну ситуацію (надвисока широкосмугова спокуса, і в Інтернеті є багато речей, які ви могли б масово завантажувати в щодня, більшість з яких ви не повинні працювати, але можуть бути спокусою).
http://www.clearfoundation.com/ або http://sourceforge.net/apps/trac/ipcop/wiki
Clear OS спеціально відзначає цю здатність на своєму веб-сайті: http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop
Розкажіть нам трохи більше про тип трафіку, який ви зазвичай очікуєте за ланцюг. Ви спільно використовуєте файли? Доступ до поштових скриньок через нього? Доступ до файлів PST через нього? Будь-які бази даних? Локальні або віддалені сервери для користувачів? Що ще ми повинні знати?