27
Internetleitung ausgelastet. Verursachenden Client finden
Hallo.
Angenommen man hat ein Netzwerk in dem 80 User arbeiten (jeder User mit einem eigenen PC).
Der komplette Internetverkehr ist sehr langsam.
Bei Nachfrage des Providers, gibt dieser an, dass die Bandbreite permanent unter voller Auslastung genutzt wird.
Gibt es eine Möglichkeit einen Client zu finden, der sich z.B. große Datenmengen aus dem Internet herunterläd?
Oder irgendeine Art den Datendurchsatz ins Internet bis auf den Client genau zu kontrollieren / protokollieren?
Viele Grüße
Angenommen man hat ein Netzwerk in dem 80 User arbeiten (jeder User mit einem eigenen PC).
Der komplette Internetverkehr ist sehr langsam.
Bei Nachfrage des Providers, gibt dieser an, dass die Bandbreite permanent unter voller Auslastung genutzt wird.
Gibt es eine Möglichkeit einen Client zu finden, der sich z.B. große Datenmengen aus dem Internet herunterläd?
Oder irgendeine Art den Datendurchsatz ins Internet bis auf den Client genau zu kontrollieren / protokollieren?
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 326183
Url: https://administrator.de/contentid/326183
Printed on: April 19, 2024 at 10:04 o'clock
27 Comments
Latest comment
Hallo,
entweder der Router kann das selber auflisten oder Du musst den Port vom Router zum Switch per Portmirroring auf einen anderen Port Spiegeln und dort ntop am laufen haben.
Datenschutztechnisch kann das ein Problem sein wegen privatem Internetgrdöns.
Die Server, vor allem WSUS solltest Du ausch nachschauen ob da nicht irgendwas Updates mit der Welt teilen will oder abruft.
ggf per GPO BITS während der Arbeitszeit deaktivieren oder sehr stark drosseln.
Gruß
Chonta
entweder der Router kann das selber auflisten oder Du musst den Port vom Router zum Switch per Portmirroring auf einen anderen Port Spiegeln und dort ntop am laufen haben.
Datenschutztechnisch kann das ein Problem sein wegen privatem Internetgrdöns.
Die Server, vor allem WSUS solltest Du ausch nachschauen ob da nicht irgendwas Updates mit der Welt teilen will oder abruft.
ggf per GPO BITS während der Arbeitszeit deaktivieren oder sehr stark drosseln.
Gruß
Chonta
Vielen Dank für die Antwort.
Ich werde mich in Sachen WSUS mal genauer umschauen. Könnte ja hinkommen von der Zeit her.
Zu GPO BITS werde ich mir auch etwas durchlesen.
Ich werde mich in Sachen WSUS mal genauer umschauen. Könnte ja hinkommen von der Zeit her.
Zu GPO BITS werde ich mir auch etwas durchlesen.
Was für Router/Firewall verwendet ihr und wie groß ist eure Bandbreite?
Dort müsstest du es problemlos einsehen können.
VG
Val
Dort müsstest du es problemlos einsehen können.
VG
Val
Watch Guard XTM 5 Series
Moin,
Oder du startest über den WSM die Hostwatch Applikation, die zeigt dir auch die Conversations in (fst) Realtime an.
lg,
Slainte
Watch Guard XTM 5 Series
Habt ihr eine Dimension Appliance dazu laufen? (Ist afaik kostenlos) Dort kann man sehr schön die Flows vom/ins Internet verfolgen.Oder du startest über den WSM die Hostwatch Applikation, die zeigt dir auch die Conversations in (fst) Realtime an.
lg,
Slainte
1
also schnell quick and durty Lösung: einfach mal am Switch schauen, welcher Port dort unter Dauerlast steht. Sieht man ja an den LEDs....
Switche mit Cacti mitloggen. Dann weißt du sofort, wer der Schuldige ist.
1
einfach mal am Switch schauen, welcher Port dort unter Dauerlast steht.
Oder den Switchport an dem die Firewall angeschlossen ist mit dem Wireshark mal mitmonitoren wenn das Ereignis eintritt.Anhand der mitgecapturten Daten kann man schon sofort sehen wer da der Top Talker ist.
Switche mit Cacti mitloggen. Dann weißt du sofort, wer der Schuldige ist.
Sorry, aber das ist ziemlicher Unsinn. So ohne weiteres geht das logischerweise nicht (jedenfalls nicht auf IP Basis), denn der Switch arbeitet auf Layer 2 sprich auf Mac Adress Basis.Du kannst mit Cacti zwar eine quantitative Last (Wieviel) sehen aber keine qualitative Last (Wer, IPs).
Dafür erfordert es einen Switch der auch die IP Flows auslesen kann. Diverse Switches haben sFlow oder netFlow Support (Cisco, HP, Brocade, Extreme usw.) aber leider macht der TO dazu keinerlei Angaben so das eine zielführende Hilfe schwer bis unmöglich ist mit diesen sehr geringen Auskünften oben.
Minimal würde es eine Flow Probe mit nTop oder sowas am Firewall Port erfordern.
Netzwerk Management Server mit Raspberry Pi
Wenn die Watchguard Firewall so ein IP Flow Tool wie oben vom Kollegen SlainteMhath angesprochen schon gleich mit an Bord hat wäre es das Sinnvollste auch das zu benutzen. Das ist das einfachste und ersetzt dann die Flow Analyse über den Switch.
Oder eben den Wireshark reinhalten...
1
Wozu brauche ich die IP, wenn ich den Port am Switch habe? Damit habe ich auch die Netzwerkdose und somit den Client.
Das ist schon richtig aber du musst den Traffic ja auch auswerten. Und das macht man ja meist anhand der IP Flows die über den Port laufen. Und diese IP Flows muss man ja irgendwie auswerten. Der Switch selber kann das nicht.
Der hat nur einen simplen Byte oder Paket Counter drin den Cacti per SNMP auswertet.
Der zählt also auch folglich alle Broad- und Multicasts des gesamten Netzes mit die der Switch auch an den Router/Firewall fluten muss.
Folglich bringt das nur eine mehr oder minder nichtssagende Lastaussage aber nicht wer der oder die Top Talker sind und vor allen Dingen welche Applikation den Traffic verursacht. Das sagt dir nur eine Flow Analyse...oder der Wireshark.
Mit deiner Methode siehst du ja nur die Mac Adresse des Routers (L2) die für den gesamten Traffic das Ziel ist.
Das einzige womit du dann eine Aussage treffen könntest ist die Häufigkeit der Absender Mac Adresse die einen gewissen Rückschluss auf den Traffic zulässt.
Aber eben recht unspezifisch und oberflächlich.
Der hat nur einen simplen Byte oder Paket Counter drin den Cacti per SNMP auswertet.
Der zählt also auch folglich alle Broad- und Multicasts des gesamten Netzes mit die der Switch auch an den Router/Firewall fluten muss.
Folglich bringt das nur eine mehr oder minder nichtssagende Lastaussage aber nicht wer der oder die Top Talker sind und vor allen Dingen welche Applikation den Traffic verursacht. Das sagt dir nur eine Flow Analyse...oder der Wireshark.
Mit deiner Methode siehst du ja nur die Mac Adresse des Routers (L2) die für den gesamten Traffic das Ziel ist.
Das einzige womit du dann eine Aussage treffen könntest ist die Häufigkeit der Absender Mac Adresse die einen gewissen Rückschluss auf den Traffic zulässt.
Aber eben recht unspezifisch und oberflächlich.
1Wozu brauche ich die IP, wenn ich den Port am Switch habe? Damit habe ich auch die Netzwerkdose und somit den Client.
Keine Doku und kein Plan welcher PC an welcher Dose hängt.An der Gegenstelle ist under dem Tisch ein zusätzlicher switch der wiederum 8 Geräte ansteuert, gut einer davon wird auch blicken wie in der Disco, aber ich muss imme rnoch den Plan haben Wo die Dose zu meinem Switchport im Serverraum ist
Wenn man die IP hat hat man den Schlawiener aber gleich und kann den remote ausschalten, sich remote einloggen, deneingelogten Benutzer abrufen und ermitteln wo der gute sitzt usw.
Gruß
Chonta
Wozu brauche ich die IP, wenn ich den Port am Switch habe? Damit habe ich auch die Netzwerkdose und somit den Client.
Schonmal daran gedacht, dass es auch Clients gibt die im lokalen Netz z.B. bei einem Zugriff Server viel Last erzeugen?Ich will mal sehen wie du bei einem 48 Port Switch den Client herausfindest welcher z.B. eine 20Mbit Leitung auslastet...
Hier sollte definitiv am Gateway geschaut werden welche IP die Last verursacht.
VG
Val
An der Gegenstelle ist under dem Tisch ein zusätzlicher switch der wiederum 8 Geräte ansteuert,
Würg...igitt. Das klingt schon gruselig aus Designsicht !
Vielen Dank für die hilfreichen Antworten. Ich werde wahrscheinlich heute Abend noch Cacti installieren um es mal zu testen. Es wäre schon hilfreich ohne genaue IP sondern nur portbasiert die ganze Sache einzugrenzen. Werde dann mal sehen, wie ich Cacti dazu bringe die Switches auszulesen. Dazu habe ich aber schon etwas gefunden, als ich den Raspberry Link von aqui angeklickt habe. Ich hoffe ich bekomme es hin. Nochmals vielen Dank für die schnelle Unterstützung.
[...] Cacti [...]
Warum verwendest du nicht einfach die Watchguard tools (siehe oben)? Die Portauslastung ist uU nicht mal aussagekräftig. 1Gbit/100Mbit Switchport vs. xx Mbit *DSL usw...
Absolut richtig !
Der TO hat den Thread mal wieder nicht wirklich gelesen und auch sich die gepostet Links nicht angeschaut
, denn Cacti hilft ihm definitiv nicht. Es sei denn ihm reicht eine simple Lastanzeige.
Fragt man sich manchmal wozu man hier eigentlich tippt
Oder er hat es nicht wirklich verstanden...?!
Der TO hat den Thread mal wieder nicht wirklich gelesen und auch sich die gepostet Links nicht angeschaut
, denn Cacti hilft ihm definitiv nicht. Es sei denn ihm reicht eine simple Lastanzeige.Fragt man sich manchmal wozu man hier eigentlich tippt
Oder er hat es nicht wirklich verstanden...?!
Hallo,
- welche Protokolle benutzt werden
- welche Dienste denn nun alle angeboten und genutzt werden
- welcher Durchsatz davon noch übrig bleibt von der Watchguard XTM5
Denn das sollte auch zueinander passen wenn man 100 MBit/s vom ISP bekommt und dann lässt eine zu kleine
und schwache UTM nur noch 55 MBit/s durch nach AV, IDS, Proxy und Firewall-Regeln, dann teilen sich die eigentlich
schnelle Leitung von der nur noch 55 MBit/s übrig bleiben immer noch 80 Leute und wenn dann dort noch BYOD mit von
der Partie ist und alle iTunes hören wird es schnell langsam im Netzwerk.
Gruß
Dobby
Watch Guard XTM 5 Series
Und wie schnell ist denn nun die Internetanbindung für die 80 Leute von denen wir immer noch nicht wissen;- welche Protokolle benutzt werden
- welche Dienste denn nun alle angeboten und genutzt werden
- welcher Durchsatz davon noch übrig bleibt von der Watchguard XTM5
Denn das sollte auch zueinander passen wenn man 100 MBit/s vom ISP bekommt und dann lässt eine zu kleine
und schwache UTM nur noch 55 MBit/s durch nach AV, IDS, Proxy und Firewall-Regeln, dann teilen sich die eigentlich
schnelle Leitung von der nur noch 55 MBit/s übrig bleiben immer noch 80 Leute und wenn dann dort noch BYOD mit von
der Partie ist und alle iTunes hören wird es schnell langsam im Netzwerk.
Gruß
Dobby
Hi,
installiere dir (unbedingt) die Dimension (Linux-VM), klasse Tool! Setzte auch die XTM5 ein ;)
Da siehts du es auf einen Blick, und noch einiges mehr!
greetz
ravers
installiere dir (unbedingt) die Dimension (Linux-VM), klasse Tool! Setzte auch die XTM5 ein ;)
Da siehts du es auf einen Blick, und noch einiges mehr!
greetz
ravers
aqui:
Das stimmt so nicht. Die WatchGuard Firewall wird extern betreut. Habe bereits ein ticket eröffnet.
Ich hatte leider nicht, die Zeit alles im Detail durchzulesen, da ich die "wichtigsten" User erstmal über eine "Backup-DSL Leitung" schicken musste, damit sie halbwegs vernünftig arbeiten können. Ich schätze die Hilfe hier wirklich. Und auch die schnelle Reaktionszeit auf meine Frage hat mich überrascht. Jeder Beitrag ist hilfreich. Für mich und für jeden anderen, der ein ähnliches Problem hat und durch eine Suchmaschine auf diese Frage geleitet wird.
Das stimmt so nicht. Die WatchGuard Firewall wird extern betreut. Habe bereits ein ticket eröffnet.
Ich hatte leider nicht, die Zeit alles im Detail durchzulesen, da ich die "wichtigsten" User erstmal über eine "Backup-DSL Leitung" schicken musste, damit sie halbwegs vernünftig arbeiten können. Ich schätze die Hilfe hier wirklich. Und auch die schnelle Reaktionszeit auf meine Frage hat mich überrascht. Jeder Beitrag ist hilfreich. Für mich und für jeden anderen, der ein ähnliches Problem hat und durch eine Suchmaschine auf diese Frage geleitet wird.
Hatte ich auch schon ... allerdings in einem Netz von nur 20 Usern.
Durch meine PaloAlto PA200 Firewall konnte ich Client Rechner + Anwendung ausfindig machen.
Anwendung wurde daraufhin gesperrt - Client unzufrieden - aber die Internetverbindung hatte wieder ihre Bandbreite.
Durch meine PaloAlto PA200 Firewall konnte ich Client Rechner + Anwendung ausfindig machen.
Anwendung wurde daraufhin gesperrt - Client unzufrieden - aber die Internetverbindung hatte wieder ihre Bandbreite.
@fnatic
OK, dann hast du aber erstmal ein ganz anderes Problem wenn du so eine wichtige Netzkomponente wie eine Firewall in externe Hände gibst die du nicht einmal kantrollieren kannst. Das klingt schon etwas gruselig...aber nundenn jeder muss wissen was er da macht.
Dann hast du ja so oder so nur noch die Chance den Switchport an dem die Firewall hängt zu monitoren. Alles andere wie die genannten Tools oben bleibt für dich ja außen vor.
Zeigt eben auch die gravierenden Nachteile einer solchen Konstellation mit externen. Man stelle sich nur einmal einen Angriff oder die Kompromittierung der FW vor und die Reaktionszeit.... Muss man wohl nicht weiter kommentieren.
Was du tun kannst ist dann für die quantitative Analyse mit einem kleinen Tool:
http://leonidvm.chat.ru
Das ist erstmal einfacher und schneller als Cacti, Munin, MRTG & Co.
Sinnvoll ist aber eine Flow Analyse mit den oben genannten Tools oder eben mal einer kleinen Sniffer Session mit Wireshark.
Viel mehr bleibt dir in der unsäglichen Mangement Konstellation mit der FW ja so oder so nicht.
OK, dann hast du aber erstmal ein ganz anderes Problem wenn du so eine wichtige Netzkomponente wie eine Firewall in externe Hände gibst die du nicht einmal kantrollieren kannst. Das klingt schon etwas gruselig...aber nundenn jeder muss wissen was er da macht.
Dann hast du ja so oder so nur noch die Chance den Switchport an dem die Firewall hängt zu monitoren. Alles andere wie die genannten Tools oben bleibt für dich ja außen vor.
Zeigt eben auch die gravierenden Nachteile einer solchen Konstellation mit externen. Man stelle sich nur einmal einen Angriff oder die Kompromittierung der FW vor und die Reaktionszeit.... Muss man wohl nicht weiter kommentieren.
Was du tun kannst ist dann für die quantitative Analyse mit einem kleinen Tool:
http://leonidvm.chat.ru
Das ist erstmal einfacher und schneller als Cacti, Munin, MRTG & Co.
Sinnvoll ist aber eine Flow Analyse mit den oben genannten Tools oder eben mal einer kleinen Sniffer Session mit Wireshark.
Viel mehr bleibt dir in der unsäglichen Mangement Konstellation mit der FW ja so oder so nicht.
Man frage sich sowieso warum dort kein QoS mit Queues gefahren wird?! Dann gäbe es solche Fälle erst gar nicht. Ein einfacher PCQ-Queue der den Traffic gleichmäßig auf die User verteilt hat heutzutage jeder vernünftige Router/Firewall mit an Bord, so kann es aus Prinzip zu solchen Situationen erst gar nicht kommen. Gerade wenn Windows 10 Clients im Netz rumgeistern die ihre Updates nicht von einem WSUS beziehen ist das Pflicht wenn man die nicht mit BITS begrenzt.
Das Problem liegt ja daran das er noch nicht einmal weiss WER da mit WELCHEM Traffic die Last erzeugt. Also vollständiges Stochern im Trüben....
QoS ist der richtige Weg aber dazu sollte man ja erstmal wissen WAS man priorisiert.
Das die FW dann noch nichteinmal von ihm selber kontrolliert wird macht das ganze dann eh noch viel komplizierter.
QoS ist der richtige Weg aber dazu sollte man ja erstmal wissen WAS man priorisiert.
Das die FW dann noch nichteinmal von ihm selber kontrolliert wird macht das ganze dann eh noch viel komplizierter.
Ich würde da generell erst mal mit einem Queue arbeiten der alles auf die User gleichmäßig verteilt.
Das ist ja der Default ! Best Efford ist ja immer Standard...oder sollte zumindestens.
oder sollte zumindestens.
Jepp, sollte es, scheint hier ja offensichtlich nicht der Fall zu sein 
