現在、約 28 人が T3 回線を使用していますが、日中は速度が極端に遅くなるため、原因を突き止めるのに役立つものが必要です。誰かが気付かないうちに何かをダウンロードしているのではないかと思います。
答え1
トラフィックを監視するために Wireshark を使用することはお勧めしません。大量のデータを取得するだけで、そのデータを分析するのは困難です。複数のマシン間のやり取りを確認したり、トラブルシューティングしたりする必要がある場合は、Wireshark が最適です。監視ツールとして、私の意見では、Wireshark は必要なツールではありません。
ネットワーク トラフィックをプロファイルします。実際の監視ツールをいくつか試してみましょう。http://sectools.org/traffic-monitors.html最も多く発生しているトラフィックの種類 (おそらく HTTP ですが、誰にもわかりません)、最も多く発生しているトラフィック (サーバーであるはずですが、誰にもわかりません)、および不正なトラフィックの可能性 (大量の TCP 再送信、不正なパケット、非常に小さなパケットの高レート。おそらく表示されないでしょうが、誰にもわかりません) を探します。
同時に、経営陣と協力してネットワーク リソースの使用ポリシーを作成します。一般的に、ビジネス用語で言えば、コンピュータ ネットワークはどのようなビジネス ニーズを満たすために存在し、リソースの適切な使用法は何かということです。このことはコストがかかるため、その存在自体にビジネス上の正当性が必要です。会社には「小口現金」の引き出しの取り扱いに関するポリシーがあり、ネットワーク インフラストラクチャにはそれよりもずっと多くのコストがかかるでしょう。重点を置くべき重要なことは、悪いことをしている人を捕まえることではなく、ネットワーク機能 (つまり、従業員が仕事をこなす能力) を低下させる潜在的な悪意のあるアクティビティを監視することです。サザンフライドセキュリティポッドキャストそしてPaulDotCom セキュリティウィークリー適切なセキュリティ ポリシーの作成に関する情報をカバーします。
@John_Rabotnik プロキシ サーバーのアイデアは素晴らしいです。Web トラフィック用のプロキシ サーバーを実装します。従来のファイアウォールと比較すると、プロキシ サーバーを使用すると、何が起こっているかをよりよく把握できるだけでなく、どのトラフィックを許可するか (実際の Web サイトなど) とどのトラフィックをブロックするか ([20 個のランダムな文字].com で構成される URL) をより細かく制御できます。
ネットワークに問題が発生していることを人々に知らせてください。あなたはネットワーク トラフィックを監視しています。ネットワークの速度低下を記録するメカニズムを提供し、レポートに関する十分なメタデータを取得して、ネットワーク パフォーマンスを総合的に分析できるようにします。同僚とコミュニケーションをとってください。同僚は、あなたが良い仕事をして、自分たちが良い仕事をすることを望んでいます。あなたは同じチームの一員です。
原則として、まずすべてをブロックし、次に許可すべきものを許可します。ステップ 1 からの監視により、ネットワーク使用/セキュリティ ポリシーでフィルタリングされた、許可する必要があるものがわかるはずです。ポリシーには、マネージャーが新しい種類のアクセスを許可するように要求できるメカニズムも含める必要があります。
要約すると、ステップ 1 のトラフィック監視 (Nagios が標準ツールのようです) は、一般的に何が起こっているかを把握して、当面の問題を止めるのに役立ちます。ステップ 2 - 5 は、将来の問題を防ぐのに役立ちます。
答え2
28 人が T3 を飽和させる? ありそうにありません (全員がストリーミング メディアを 1 日中使用しても、それには遠く及びません)。ルーティング ループやその他のネットワーク構成ミスがないか確認することをお勧めします。ウイルスも確認する必要があります。ローカル ネットワークで小さなボットネットが動作している場合、トラフィックは簡単に説明できます。
どのようなスイッチング/ファイアウォールを使用していますか? パケット トラフィックを監視する機能がすでに備わっている可能性があります。
編集:私も Wireshark の大ファンです (ただし、私は年寄りなので、頭の中では「Ethereal」をまだ考えています)。これを使用する場合、すべてのトラフィックが必ず通過するようにマシンをインラインに配置するのが最善の方法です。これにより、機器をプロミスキャス モードに切り替えることなく、徹底的なログ記録を実行できます。
そして、トラフィック シェーピングが必要であることが判明した場合は、Snort プロキシを設定するのがよいでしょう...ただし、最初からインストールするつもりで始めることはお勧めしません。帯域幅が問題であるとは思えません。
答え3
余ったマシンがあれば、それをインターネットプロキシサーバーマシンがルーター経由でインターネットにアクセスする代わりに、プロキシ サーバー経由でアクセスします (プロキシ サーバーはルーターを使用してマシンに代わってインターネットにアクセスします)。これにより、すべてのインターネット トラフィックと、そのトラフィックの送信元マシンがログに記録されます。特定の Web サイトやファイルの種類をブロックしたり、その他の便利な機能も多数用意されています。
プロキシ サーバーは頻繁に使用される Web ページもキャッシュするため、ユーザーが同じ Web サイトにアクセスすると、画像やダウンロードなどがすでにプロキシ サーバー上に保存されるため、再度ダウンロードする必要がありません。これにより、帯域幅も節約できる可能性があります。
これには多少の設定が必要ですが、時間と忍耐力があれば、間違いなく試してみる価値があります。プロキシ サーバーの設定はおそらくこの質問の範囲を超えていますが、始めるためのヒントをいくつか示します。
予備のマシンに Ubuntu オペレーティング システムをインストールします (Linux に慣れている場合は、サーバー バージョンを入手してください)。
ターミナル/コンソール ウィンドウを開いて次のコマンドを入力し、マシンに squid プロキシ サーバーをインストールします。
sudo apt-get squidをインストール
お好みに合わせてsquidを設定してください。Ubuntuでの設定ガイドはこちらです。イカのウェブサイト詳細なドキュメントとセットアップのヘルプについては、以下を参照してください。
インターネットにアクセスするためのプロキシ サーバーとして Ubuntu サーバーを使用するようにクライアント マシンを構成します。
悪意のあるユーザーがルーターからインターネットにアクセスしてプロキシ サーバーをバイパスするのを防ぐために、プロキシ サーバーを除くすべてのマシンへのルーター上のインターネット アクセスをブロックする必要がある場合があります。
Ubuntu 上で Squid プロキシ サーバーを設定する方法については、多くのヘルプが提供されています。
頑張ってください。真相が解明されることを願っています。
答え4
ソフトウェアソリューションについては、Daisetsu の回答を参照してください。
明らかな理由により、ほとんどの国/一部の国の法律では、トラフィックが監視されることを従業員に通知することが義務付けられています。しかし、あなたはすでにそれを知っていると思います。
もっと低技術だが侵襲性が低いテクニックとしては、物理スイッチの点滅ライトを目視で確認する方法があります。ネットワークが遅くなると、誰かが大量の帯域幅を使用している可能性が高いため、そのケーブルの LED インジケーターは他のすべてのケーブルと比較して激しく点滅します。28 台のコンピューターから「無害な」コンピューターを除外するのにそれほど時間はかかりません。問題のユーザーには、コンピューターが不適切に動作しており、すぐにチェックされることが通知されます。
従業員のプライバシーを気にしない(結局、故意に帯域幅を悪用しているかもしれない)場合、そして従業員が契約書に署名しているか、地域の管轄が許可している場合は、その手順を無視して、事前の通知なしに従業員の行動をチェックすることができます。しかし、誰かが積極的に会社に損害を与える可能性がある(法律違反、情報漏洩など)と考えない限り、これは厄介な状況につながる可能性があります(超高速ブロードバンドは魅力的であり、Web上にはダウンロードできるものがたくさんあります)。一斉に毎日、そのほとんどはすべきではない仕事中はそうしないかもしれませんが、そうしたくなるかもしれません。