Traffico "a monte" sospetto

Naviga le tue risposte
6

Stiamo vedendo quantità insolite di traffico dirette verso monte sulla nostra connessione WAN, durante il giorno il nostro sistema può superare (o tentare di superare) il limite di 1 Mbps imposto sulla connessione.

Ho PRTG netmon che fornisce le cifre ma non riesce a identificare dove sta andando da / a (o il vero protocollo che è 'altro').

Come posso identificare questo traffico? Dove dovrebbe essere connesso lo sniffer della tua porta?

Rete VM / Windows → Firewall Sonicwall TZ170 → Modem DSL Speedtouch → Demon Internet

    
posta Bill 15.09.2012 - 04:36
fonte

2 risposte

8

Per rintracciare la fonte, devi prima capire quale dispositivo sta generando il traffico. Il migliore, secondo me, sarebbe quello di creare un collettore di flusso di qualche tipo. Ci sono generalmente due modi per farlo,

  • Esportazione dei flussi dal dispositivo
  • Analisi software per generare flussi

La maggior parte dei dispositivi di rete di fascia alta genererà una sorta di record di flusso, come sFlow, jFlow o NetFlow. Questi sono prodotti direttamente dal router e inviati a un collezionista. Utilizzerai quindi una sorta di strumento di analisi come strumenti di flusso o nfsen / nfdump per elaborare i record.

L'uso di altri dispositivi comporterà in qualche modo una copia di tutto il traffico, in genere utilizzando un tocco o impostando una porta mirror / span / monitor sul dispositivo di frontiera. Un tocco è un dispositivo fisico che si posiziona in linea con una connessione e duplicherà elettricamente i segnali. La porta mirror è configurata sul dispositivo di rete stesso e invierà una copia di tutti i pacchetti da una porta switch a un'altra. La maggior parte dei dispositivi "di livello enterprise" supporta questo aspetto, ma per le apparecchiature di livello inferiore potrebbe essere necessario un tocco.

Una volta che hai una copia dei dati avrai bisogno di qualcosa che prenderà il flusso di traffico e lo trasformerà in record di flusso. Esistono numerosi prodotti commerciali, ma sono più familiare con il prodotto open source Argus , prodotto da Qosient. Elaborerà i pacchetti su un'interfaccia, proprio come tcpdump, e produrrà file di dati costituiti da record di flusso.

Sia che tu vada con flussi di esportazione, prodotti commerciali o Argus ora hai tutto il necessario per la tua analisi. Ognuno di questi strumenti di raccolta conterrà tutti gli strumenti necessari per produrre report di larghezza di banda come desideri. O quasi qualsiasi tipo di rapporto che vuoi, davvero.

Sono sicuro che questo sembra un enorme overkill, ma i risultati sono fantastici. Questi tipi di record sono di valore inestimabile per la risoluzione dei problemi di rete, la risposta agli incidenti, le analisi forensi, la fatturazione, ecc.

    
risposta data 15.09.2012 - 19:02
fonte
3

In termini di rintracciamento, sarei propenso a iniziare guardando il volume del traffico e quindi restringendo gli indirizzi da / verso.

Probabilmente il miglior punto di partenza sarà sul dispositivo Firewall. È probabile che ci sia un qualche livello di monitoraggio disponibile per mostrare quali porte stanno generando il volume di traffico. Da ciò dovresti essere in grado di avere un'idea di quale porta sarebbe meglio sniffare il traffico (ad es. Iniziando dalla porta che genera il traffico più a monte)

A seconda del layout di rete, questo potrebbe portare a uno specifico sistema o set di sistemi, ma dovresti essere in grado di collegare uno sniffer di porta alla porta firewall identificata con wireshark o simile a quella porta dopo averlo identificato, che dovrebbe darti informazioni sugli indirizzi IP di origine / destinazione e sui protocolli in uso ...

    
risposta data 15.09.2012 - 23:29
fonte

Leggi altre domande sui tag

Memorizza le password in chiaro per gli account di posta elettronica meno male? [duplicare] Checksum di pacchetti