Auswertung Netzwerktraffic

[Schweijksam]

Hiho,

wenn in einem Büro mit x-Mitarbeiter auf einmal der Traffic überhand nimmt vor allem mit Peaks welche die Bandbreite komplett auslasten - wie kann man rausfinden welche IP in meinen Netzwerk wann was für Traffic produziert? da gibts doch sicherlich ein Analyse Tool was man an zentraler Stelle platzieren kann?

Danke und /wave

Schweijksam

[JAK480]

Spontan dnek ich da an ntop, wireshark wäre dann interessant um direkt in den Traffic zu schauen.

[Legedric]

Dafür müsste der gesamte Traffic durch einen extra Rechner getunnelt werden und DER schaut dann von wo nach wo die Anfragen gehen bzw. der hat dann das Analyse-Tool inne und trackt das entsprechend.

Es gibt auch Router bzw. extra Router Plugins die das können, dass sind aber in der Regel richtig teure Geräte oder eben selbst-geflashte mit DD-WRT drauf.

Eine Möglichkeit das Rechner A bspw. den Traffic von Rechner B & C überwacht gibt es nicht bzw. wenn dann nur so, dass auf A, B und C eine Software installiert wird die dann auf A ausgewertet wird.

Bin da aber auch kein Experte für

/Edit: Mit Wireshark kann man meinem Wissen nach nur den Traffic des Rechners überwachen auf den Wireshark installiert ist, aber nicht von Rechner A den Traffic von Rechner B und C überwachen. Man müsste also auf jedem Rechner Wireshark oder Fiddler installieren und dann einzeln den Traffic überwachen... viel Spaß dabei

Bearbeitet 27. Februar 2014 von Legedric

[JAK480]

Naja ich ging bei proffesionellen (Büro) Umgebung von einer Firewall aus, Alternativ wäre wenn man einen managed Switch hat ein Spam Port einrichten oder einfach einen Hub dazwiscchen klemmen. Der Grund warum ich noch einnen Hub im Schrank habe. ;-)

[Yamagata]

Ich habe bei mir NetWorx drauf. Aber denke, das wird nicht viel anderes sein als Wireshark, muss auf jedem Rechner drauf sein

http://www.softperfect.com/products/networx/

[KobaYashi]

dein tool der wahl heisst nagios

[Protoberance]

Bei manchen Switches kannst du auch den Traffic Counter ausgeben lassen. Das sind allerdings sehr rohe Daten und man muss schon wissen was man damit

überhaupt anfangen kann. Das ist auch nicht unbedingt eine Funktion, die per default aktiviert ist, weil die Daten ja auch irgendwo gespeichert werden müssen.

Ansonsten können Router oder Firewall einen Hinweis darauf geben aus welcher groben Richtung dein Problem kommt. Zumindest kenne ich das von Pfsense.

Nagios, wie KobaYashi schon sagte, ist natürlich extrem nützlich, aber auch nicht mal eben so an einem Nachmittag installiert.

[Gast Ph@sh]

zieh einfach mal der Reihe nach die Leitungen aus dem Router - wenns dann spontan besser wird, hast du den Übeltäter

ansonsten:

Switch vor den Router.

Zwischen Router und Switch einen PC aufbauen, der nichts weiter tut, als durchzurouten. (Linux vornehmlich)

auf dem PC Wireshark installieren und die LAN Netzwerkkarte protokollieren.

Nach einiger Zeit kannste das dann auswerten.

Evtl kann aber dein Router schon anzeigen, wie viel last da durch welchen Port verursacht wird...

Bei Überwachung der Netzwerkaktivitäten solltest du dich aber mal umgehend ein wenig in geltendes Recht einlesen... da wirds nämlich schnell grau...

[Nuwien]

Hiho,

wenn in einem Büro mit x-Mitarbeiter auf einmal der Traffic überhand nimmt vor allem mit Peaks welche die Bandbreite komplett auslasten - wie kann man rausfinden welche IP in meinen Netzwerk wann was für Traffic produziert? da gibts doch sicherlich ein Analyse Tool was man an zentraler Stelle platzieren kann?

Danke und /wave

Schweijksam

mehr infos bitte.

• was für einen router (das gerät welche die DSL/Kabel-Verbindung terminiert) habt ihr? ggf bietet dieser "accounting-informationen" von hause aus an.
  
• wie sind die Mitarbeiter an an das netzwerk angeschlossen, über einen switch? (wenn ja was für einer? (genaue typenbezeichnung bitte )).
  
• ein netzwerk diagramm wäre nicht schlecht :-)
  

achja, der rechtliche hinweis ist da durchaus angebracht. so ziemlich alle tools welche das können was du willst, erlauben dir auch gleich ALLE informationen aus dem Netzwerk zu extrahieren. dir ist damit klar das du damit NSA-Light spielst und ggf auch an Passworte deiner Kollegen rankommst welche das womöglich nicht wirklich lustig finden. Ich linke dir hier mal Wikipedia, nicht weil sie so toll exakt ist sondern dir als Startpunkt dienen könnte:

http://de.wikipedia.org/wiki/Vorbereiten_des_Aussp%C3%A4hens_und_Abfangens_von_Daten

[Maja]

der Nuwien, der Nuwien! *draufzeig*

(sry 4 oftopic )

[Gast Colonel Hogan]

Nuwien!!!! WB!!!!

Sent from my iPhone using Tapatalk

[Kneipi]

scheiss auf gesetze... es heißt nicht umsonst illEGAL ;p

[Flexiz]

Ist also von apple?!

mit Faultier-america upgrade phone

[Protoberance]

Könnt ihr euren Shittalk nicht einfach mal aus solchen Themen raushalten ? Man muss nicht zu allem etwas schreiben,

vor allem wenn man sich nicht damit auskennt oder Interesse am Thema hat. Ich beschäftige mich gerade beruflich

mit Monitoring und Syslog und könnte ein paar interessante Dinge aufschnappen, es stört einfach wenn dann dieser

Mumpitz dazwischen kommt, der an anderer Stelle besser aufgehoben wäre. Allerdings hat Schweijksam nach fast 2

Wochen auch nichts mehr dazu geschrieben. Würde gerne wissen ob das Problem noch besteht.

[Schweijksam]

Wir eruieren noch zu dem Thema (bei den internen Sachen mahlen die Mühlen ziemlich langsam).

Ich weiss, dass man es bei uns schon mal mit Wireshark versucht hat (Unbefriedigend, warum auch immer - wahrscheinlich zu komplex für eine Auswertung). Auch mit Traffic Shaping über die Fortinet Firewalls hat man das schon versucht (okay keine Analyse sondern eher ein Lösungsversuch, aber hat auch damit zu tun).

Kann etwas dauern, aber ich schreib neue Erkenntnisse dann hier rein.

Edit: Nachtrag: Bei uns juristisch aktuell nicht brisant, da alle Mitarbeiter darüber informiert sind bzw. wären wenns stattfindet und auch einer solchen Analyse zugestimmt haben (will ja jeder wissen, wo hier der Gremlin sitzt).

/wave

Schweijksam

Bearbeitet 11. März 2014 von Schweijksam
Nachtrag

[Oeng]

Könnt ihr euren Shittalk nicht einfach mal aus solchen Themen raushalten ?

full agree! nicht nur hier!

sind halt auch immer die selben leute....

[Art]

Oben beschriebene Problemstellung gibt es bei uns auch öfter.

Wir werten den Ist-Zustand immer direkt an der Firewall aus (Checkpoint) und der Schuödige ist schnell identifiziert... Nicht immer ist es der Twitch-in-HD-schauende-Kollege. Manchmal sind es auch durchdrehende Serverdienste o.ä.

Fortinet kenne ich nicht, aber ich würde einfach Euren Fortinet Service Provider anrufen und fragen, wenn Ihr Eure eigene Firewall nicht selbst bedienen könnt: http://www.fortinet.com/products/fortianalyzer/

[Nuwien]

aus einer fortinet fortigate (das ist die switch/firewall serie von fortinet) solltet ihr (cli zugang vorrausgesetzt) die infos rauskitzeln können welche ihr braucht. soweit ich weiß unterstützen die kisten auch sflow. wenn du mir noch genau sagst was es für ne fortigate ist, lässt sich das auch genauer sagen. sflow wäre das mittel eurer wahl. damit könnt ihr die nsa-stasi-metainformationen des durch die fortigate fliessenden verkehrs exportieren und dann auf einem anderen server speichern und verarbeiten. aus den sflow paketen bekommt ihr alle infos raus welche ihr wollt.

Bearbeitet 13. März 2014 von Nuwien
typo

[Gast Rasczak]

Humm, Switch Mirror-Port und dann gibts da was von Ratiopharm .. aeh .. ich mein z.b. solarwinds oder eines der anderen 2000000 tools die charten

[MacG]

dein tool der wahl heisst nagios

Da er herausfinden will, welche Maschine den Traffic verursacht, müsste er auf allen Maschinen ein Nagios Plugin installieren, zudem einen Nagios Host aufsetzen. Find ich irgendwie mit Kanonen auf Spatzen für ne Büro umgebung.