В настоящее время у нас есть линия T3 примерно для 28 человек, и она становится смертельно медленной в течение дня, поэтому мне нужно что-то, чтобы помочь отследить причину. Я предполагаю, что кто-то скачивает что-то, о чем он может не знать.
решение1
Я бы не рекомендовал использовать wireshark для мониторинга трафика. Вы просто получите слишком много данных, но у вас возникнут трудности с их анализом. Если вам нужно посмотреть/устранить неполадки во взаимодействии между парой машин, wireshark отлично подойдет. Как инструмент мониторинга, IMHO, wireshark — не совсем тот инструмент, который вам нужен.
Профилируйте сетевой трафик. Попробуйте некоторые реальные инструменты мониторинга:http://sectools.org/traffic-monitors.html. Вы ищете Top Type of traffic (вероятно, HTTP, но кто знает), Top Talkers (должны быть ваши серверы, но кто знает) и потенциально Malformed Traffic (большое количество повторных передач TCP, неправильно сформированные пакеты, высокие показатели очень маленьких пакетов. Вероятно, не увидите, но кто знает)
В то же время, работайте с вашим руководством, чтобы разработать политику использования сетевых ресурсов. В общем, с точки зрения бизнеса, для удовлетворения каких бизнес-потребностей существует компьютерная сеть, и каковы целесообразные способы использования ресурса. Эта штука стоит денег, поэтому должно быть деловое обоснование самого ее существования. В вашей компании есть политики по работе с ящиком «мелкой наличности», и я готов поспорить, что ваша сетевая инфраструктура стоит намного больше. Главное, на чем следует сосредоточиться, — это не ловить людей, делающих плохие вещи, а скорее следить за потенциальной вредоносной активностью, которая ухудшает функциональность сети (т. е. способность сотрудников выполнять свою работу).Подкаст о безопасности Southern FriedиPaulDotCom Security Weeklyохватить информацию о создании соответствующих политик безопасности.
@John_Rabotnik идея прокси-сервера была отличной. Реализуйте прокси-сервер для веб-трафика. По сравнению с традиционными брандмауэрами, прокси-серверы дают вам гораздо лучшую видимость происходящего, а также более детальный контроль над тем, какой трафик разрешать (например, реальные веб-сайты) и какой трафик блокировать (URL-адреса, состоящие из [20 случайных символов].com)
Дайте людям знать — в сети возникла проблема. Вы отслеживаете сетевой трафик. Дайте им механизм для регистрации замедления работы сети и сбора достаточного количества метаданных об отчете, чтобы в совокупности вы могли проанализировать производительность сети. Общайтесь с коллегами. Они хотят, чтобы вы хорошо справились с работой, чтобы и они могли хорошо с ней справиться. Вы в одной команде.
Как правило, блокируйте все, а затем разрешайте то, что должно быть разрешено. Ваш мониторинг с первого шага должен дать вам знать, что должно быть разрешено, как отфильтровано через вашу политику использования сети/безопасности. Ваша политика также должна включать механизм, с помощью которого менеджер может запрашивать предоставление новых видов доступа.
Подводя итог, шаг первый, мониторинг трафика (Nagios, кажется, является стандартным инструментом) помогает вам выяснить, в общем, что происходит, чтобы остановить немедленную боль. Шаги 2 - 5 помогают предотвратить проблему в будущем.
решение2
28 человек, заполняющих T3? Кажется маловероятным (Каждый может использовать потоковое мультимедиа целый день, и это не будет близко.) Вы можете захотеть проверить петли маршрутизации и другие типы неправильной конфигурации сети. Вы также должны проверить на вирусы. Если у вас есть небольшой ботнет, работающий в вашей локальной сети, это легко объяснит трафик.
Какой тип коммутации/брандмауэра вы используете? Возможно, у вас уже есть некоторые возможности для мониторинга пакетного трафика.
Редактировать:Я также большой поклонник Wireshark (хотя я старый, так что я все еще думаю "Ethereal" в голове). Если вы собираетесь использовать его, лучший способ - включить машину в линию, чтобы весь трафик проходил через нее. Это позволит вам запустить исчерпывающее логирование без необходимости переключать ваше оборудование в беспорядочный режим.
И если выяснится, что вам нужно какое-то управление трафиком, вы будете в хорошей позиции, чтобы настроить прокси Snort... Я бы не стал начинать с намерения его устанавливать, однако. Я действительно сомневаюсь, что ваша проблема в пропускной способности.
решение3
Если у вас есть запасная машина, вы можете настроить ее какинтернет прокси-сервер. Вместо того, чтобы машины получали доступ к интернету через маршрутизатор, они получают доступ к нему через прокси-сервер (который получает доступ к интернету, используя маршрутизатор для них). Это будет регистрировать весь интернет-трафик и с какой машины он пришел. Вы даже можете блокировать определенные веб-сайты или типы файлов и много других интересных вещей.
Прокси-сервер также кэширует часто используемые веб-страницы, так что пользователи посещают те же веб-сайты, изображения, загрузки и т. д. уже будут на прокси-сервере, так что их не нужно будет загружать снова. Это также может сэкономить вам пропускную способность.
Это может потребовать некоторой настройки, но если у вас есть время и терпение, то это определенно стоит того. Настройка прокси-сервера, вероятно, выходит за рамки этого вопроса, но вот несколько советов, с которых можно начать:
Установите операционную систему Ubuntu на запасной компьютер (если вы хорошо разбираетесь в Linux, приобретите серверную версию):
Установите прокси-сервер Squid на машину, открыв окно терминала/консоли и введя следующую команду:
sudo apt-get установить squid
Настройте squid так, как вам нравится, вот руководство по настройке в Ubuntu. Вы также можете проверитьсайт кальмарадля получения дополнительной документации и помощи по настройке:
Настройте клиентские машины на использование сервера Ubuntu в качестве прокси-сервера для доступа в Интернет:
Возможно, вы захотите заблокировать доступ в Интернет на маршрутизаторе для всех машин, кроме прокси-сервера, чтобы помешать хитрым пользователям выходить в Интернет с маршрутизатора в обход прокси-сервера.
Существует множество справочных материалов по настройке прокси-сервера Squid в Ubuntu.
Всего наилучшего, надеюсь, вы докопаетесь до сути.
решение4
См. ответ Daisetsu для программного решения.
По понятным причинам законы большинства/некоторых стран требуют, чтобы вы информировали сотрудников о том, что за трафиком будет вестись наблюдение. Но я предполагаю, что вы это уже знаете.
Еще большенизкотехнологичный, но менее инвазивныйМетод заключается в визуальной проверке физических переключателей на предмет мигающих индикаторов: когда сеть замедляется, кто-то, вероятно, использует большую пропускную способность, поэтому светодиодный индикатор его кабеля будет яростно мигать по сравнению с остальными. При наличии 28 компьютеров отсев «невинных» не должен занять много времени, и пользователь, о котором идет речь, может быть проинформирован о том, что его компьютер ведет себя некорректно и будет вскоре проверен вами.
Если вас не волнует конфиденциальность ваших сотрудников (они могут злоупотреблять вашей пропускной способностью намеренно), и они либо подписали соглашение, либо местная юрисдикция позволяет вам это, вы можете просто проигнорировать этот шаг и проверить, что они делают без предварительного уведомления, конечно. Но если вы не думаете, что кто-то может активно навредить компании (например, нарушить законы, слить информацию), это может привести к неловкой ситуации (сверхвысокая широкополосная связь соблазнительна, и в Интернете есть много вещей, которые вы можете скачатьв массовом порядкеежедневно, большую часть из которых выне следуетна работе, но может возникнуть соблазн).