dushako
@dushako
IT

Как произвести анализ загруженности локальной сети и выявить источник большого трафика?

Доброго времени суток, уважаемые коллеги.

В качестве внешнего шлюза в локальной сети предприятия используется межсетевой экран D-link DFL860e. Проанализировав его загрузку, я обнаружил, что в недавнем времени она резко и значительно возросла (увеличился трафик и количество соединений), хотя предпосылок к этому вроде как не было. В сети несколько VLAN'ов, десяток управляемых L2 коммутаторов и около двух сотен устройств с различным типом трафика, поэтому так просто источник не выявить. Можно, конечно, отключать по порядку узлами, мониторя загрузку и сужая круг поиска; также теоретически можно установить proxy, но хотелось бы более простое и технологичное решение, к тому же, давно поглядываю в сторону Wireshark.

Что вы могли бы посоветовать в этой ситуации? Если акулу, то на чем ее запускать, чтобы иметь возможность захватить все пакеты хотя бы одного VLAN'а, и как именно через Wireshark выявить источник?
  • Вопрос задан
  • 7501 просмотр
Пригласить эксперта
Ответы на вопрос 3
athacker
@athacker
1) Настроить мониторинг своих свичей, и смотреть по графикам, на каких портах максимум трафика. Начать с аплинк-портов -- сколько трафика уходит в направлении "север-юг" (т.е. с коммутатора "наверх", к маршутизатору). Затем искать, в какой порт этот трафик вошёл.

2) Ваш роутер не поддерживает netflow. Поменяйте его на какой-нибудь микротик, он умеет netflow. Анализируя netflow, можно понять, какой трафик превалирует, с каких локальных адресов и куда.
Ответ написан
@antonkovich
Быстрый просмотр руководства D-Link не выявил возможности зеркалировать порты (port mirroring) :(
Увы и ах. Для wireshark неплохо-бы иметь свич с такой возможностью, ставить его в разрыв, занимая два порта и зеркалировать трафик на третий порт. Большинство последних управляемых D-Link-ов на это способны, возможно найдется у вас такой. К порту, выступающему в качестве зеркала, и цеплять ноут или ПК для мониторинга. В wireshark после захвата пакетов легче всего провести анализ через Conversations. Это в меню Statistics. Там в таблице можно отфильтровать трафик по пакетам или байтам. Сразу станет ясно, кто грузит больше всего.

Как вариант, если нет железки с зеркалированием, может подойти хаб. Но это сейчас большааая редкость. И при его использовании пропускная способность на время сбора пакетов упадет.
Ответ написан
Livitin
@Livitin
с 1997 года
Поднимите программный маршрутизатор/межсетевой экран на МикроТик x86 (придётся таки потратиться на лицуху). Там всё и увидите. В Torch. Или выделяя правила на firewall по трафикам.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы