Zum Inhalt springen

Auswertung Netzwerktraffic


Schweijksam
 Teilen

Empfohlene Beiträge

Hiho,

wenn in einem Büro mit x-Mitarbeiter auf einmal der Traffic überhand nimmt vor allem mit Peaks welche die Bandbreite komplett auslasten - wie kann man rausfinden welche IP in meinen Netzwerk wann was für Traffic produziert? da gibts doch sicherlich ein Analyse Tool was man an zentraler Stelle platzieren kann?

Danke und /wave

Schweijksam

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dafür müsste der gesamte Traffic durch einen extra Rechner getunnelt werden und DER schaut dann von wo nach wo die Anfragen gehen bzw. der hat dann das Analyse-Tool inne und trackt das entsprechend.

Es gibt auch Router bzw. extra Router Plugins die das können, dass sind aber in der Regel richtig teure Geräte oder eben selbst-geflashte mit DD-WRT drauf.

Eine Möglichkeit das Rechner A bspw. den Traffic von Rechner B & C überwacht gibt es nicht bzw. wenn dann nur so, dass auf A, B und C eine Software installiert wird die dann auf A ausgewertet wird.

Bin da aber auch kein Experte für ;)

/Edit: Mit Wireshark kann man meinem Wissen nach nur den Traffic des Rechners überwachen auf den Wireshark installiert ist, aber nicht von Rechner A den Traffic von Rechner B und C überwachen. Man müsste also auf jedem Rechner Wireshark oder Fiddler installieren und dann einzeln den Traffic überwachen... viel Spaß dabei ;)

Bearbeitet von Legedric
Link zu diesem Kommentar
Auf anderen Seiten teilen

Bei manchen Switches kannst du auch den Traffic Counter ausgeben lassen. Das sind allerdings sehr rohe Daten und man muss schon wissen was man damit

überhaupt anfangen kann. Das ist auch nicht unbedingt eine Funktion, die per default aktiviert ist, weil die Daten ja auch irgendwo gespeichert werden müssen.

Ansonsten können Router oder Firewall einen Hinweis darauf geben aus welcher groben Richtung dein Problem kommt. Zumindest kenne ich das von Pfsense.

Nagios, wie KobaYashi schon sagte, ist natürlich extrem nützlich, aber auch nicht mal eben so an einem Nachmittag installiert.

Link zu diesem Kommentar
Auf anderen Seiten teilen

zieh einfach mal der Reihe nach die Leitungen aus dem Router - wenns dann spontan besser wird, hast du den Übeltäter :P

ansonsten:

Switch vor den Router.

Zwischen Router und Switch einen PC aufbauen, der nichts weiter tut, als durchzurouten. (Linux vornehmlich)

auf dem PC Wireshark installieren und die LAN Netzwerkkarte protokollieren.

Nach einiger Zeit kannste das dann auswerten.

Evtl kann aber dein Router schon anzeigen, wie viel last da durch welchen Port verursacht wird...

Bei Überwachung der Netzwerkaktivitäten solltest du dich aber mal umgehend ein wenig in geltendes Recht einlesen... da wirds nämlich schnell grau...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hiho,

wenn in einem Büro mit x-Mitarbeiter auf einmal der Traffic überhand nimmt vor allem mit Peaks welche die Bandbreite komplett auslasten - wie kann man rausfinden welche IP in meinen Netzwerk wann was für Traffic produziert? da gibts doch sicherlich ein Analyse Tool was man an zentraler Stelle platzieren kann?

Danke und /wave

Schweijksam

mehr infos bitte.

  • was für einen router (das gerät welche die DSL/Kabel-Verbindung terminiert) habt ihr? ggf bietet dieser "accounting-informationen" von hause aus an.
  • wie sind die Mitarbeiter an an das netzwerk angeschlossen, über einen switch? (wenn ja was für einer? (genaue typenbezeichnung bitte )).
  • ein netzwerk diagramm wäre nicht schlecht :-)

achja, der rechtliche hinweis ist da durchaus angebracht. so ziemlich alle tools welche das können was du willst, erlauben dir auch gleich ALLE informationen aus dem Netzwerk zu extrahieren. dir ist damit klar das du damit NSA-Light spielst und ggf auch an Passworte deiner Kollegen rankommst welche das womöglich nicht wirklich lustig finden. Ich linke dir hier mal Wikipedia, nicht weil sie so toll exakt ist sondern dir als Startpunkt dienen könnte:

http://de.wikipedia.org/wiki/Vorbereiten_des_Aussp%C3%A4hens_und_Abfangens_von_Daten

Link zu diesem Kommentar
Auf anderen Seiten teilen

Könnt ihr euren Shittalk nicht einfach mal aus solchen Themen raushalten ? Man muss nicht zu allem etwas schreiben,

vor allem wenn man sich nicht damit auskennt oder Interesse am Thema hat. Ich beschäftige mich gerade beruflich

mit Monitoring und Syslog und könnte ein paar interessante Dinge aufschnappen, es stört einfach wenn dann dieser

Mumpitz dazwischen kommt, der an anderer Stelle besser aufgehoben wäre. Allerdings hat Schweijksam nach fast 2

Wochen auch nichts mehr dazu geschrieben. Würde gerne wissen ob das Problem noch besteht.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wir eruieren noch zu dem Thema (bei den internen Sachen mahlen die Mühlen ziemlich langsam).

Ich weiss, dass man es bei uns schon mal mit Wireshark versucht hat (Unbefriedigend, warum auch immer - wahrscheinlich zu komplex für eine Auswertung). Auch mit Traffic Shaping über die Fortinet Firewalls hat man das schon versucht (okay keine Analyse sondern eher ein Lösungsversuch, aber hat auch damit zu tun).

Kann etwas dauern, aber ich schreib neue Erkenntnisse dann hier rein.

Edit: Nachtrag: Bei uns juristisch aktuell nicht brisant, da alle Mitarbeiter darüber informiert sind bzw. wären wenns stattfindet und auch einer solchen Analyse zugestimmt haben (will ja jeder wissen, wo hier der Gremlin sitzt).

/wave

Schweijksam

Bearbeitet von Schweijksam
Nachtrag
Link zu diesem Kommentar
Auf anderen Seiten teilen

Oben beschriebene Problemstellung gibt es bei uns auch öfter.

Wir werten den Ist-Zustand immer direkt an der Firewall aus (Checkpoint) und der Schuödige ist schnell identifiziert... Nicht immer ist es der Twitch-in-HD-schauende-Kollege. Manchmal sind es auch durchdrehende Serverdienste o.ä.

Fortinet kenne ich nicht, aber ich würde einfach Euren Fortinet Service Provider anrufen und fragen, wenn Ihr Eure eigene Firewall nicht selbst bedienen könnt: http://www.fortinet.com/products/fortianalyzer/

Link zu diesem Kommentar
Auf anderen Seiten teilen

aus einer fortinet fortigate (das ist die switch/firewall serie von fortinet) solltet ihr (cli zugang vorrausgesetzt) die infos rauskitzeln können welche ihr braucht. soweit ich weiß unterstützen die kisten auch sflow. wenn du mir noch genau sagst was es für ne fortigate ist, lässt sich das auch genauer sagen. sflow wäre das mittel eurer wahl. damit könnt ihr die nsa-stasi-metainformationen des durch die fortigate fliessenden verkehrs exportieren und dann auf einem anderen server speichern und verarbeiten. aus den sflow paketen bekommt ihr alle infos raus welche ihr wollt.

Bearbeitet von Nuwien
typo
Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 Wochen später...

Deine Meinung

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Benutzerkonto hast, melde Dich bitte an, um mit Deinem Konto zu schreiben.

Guest
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

  • Vorschau
 Teilen

×
×
  • Neu erstellen...

Wichtige Information

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.