aif-get
Goto Top

Wer lastet das Netzwerk am meisten aus? Mitschnitt Monitoring

Hallo,

haben aktuell ein Fimrennetz mit ca 15 PCs per LAN und Wifi angebunden.
Alles läuft über eine Fritzbox.
Nun haben wir zu einer bestimmten Uhrzeit des öfteren mal eine erhöhte Datenauslastung, die (vermutlich) von irgendeinem Mitarbeiter kommt.

Per Capture habe bereits einen wireshark mitschnitt machen können, frage wäre jetzt nur, wie kann ich diesen auswerten, sodass ich eine art Übeltäter finde. Klar wäre mit sowas wie ene topliste da am liebsten, ist das möglich? (:

Zudem gibt es da optional noch eine Möglichkeit mit Raspberry zB zu realisieren? TrafficShaper , der in Echtzeit sowas anzeigt?

Ich danke euch für eure Hilfe.

lg

Content-ID: 439996

Url: https://administrator.de/contentid/439996

Ausgedruckt am: 25.11.2024 um 16:11 Uhr

bloodstix
bloodstix 12.04.2019 um 10:43:23 Uhr
Goto Top
Hallo,

ich nutze für sowas einen ausgemusterten PC mit minimalem Debian und 2 Netzwerkkarten + ntopng.
Der Wird dann einfach als Gateway zwischen das Netzwerk und das eigentliche Gateway geschaltet.
ntopng hat en Webinterface, welches dir dann genau den Traffic zu den einzelnen IP-Adressen anzeigt.

Gruß
bloody
SlainteMhath
Lösung SlainteMhath 12.04.2019 aktualisiert um 10:48:33 Uhr
Goto Top
Moin,

Wireshark kann entsprechend Auswertungen, sollten unter "Statistics" stehen. Du willst Conversations oder Endpoints.

Findet man übrigens auch heraus, wenn man sich mal die Doku/das Wiki ansieht: https://wiki.wireshark.org/Statistics

lg,
Slainte

PS: Bevor du jetzt anfängst, wild den Traffic auszuwerten: Datenschutz beachten!
muftypeter
muftypeter 12.04.2019 aktualisiert um 10:57:16 Uhr
Goto Top
Hallo,
das mit dem Datenschutz war auch bei mir der erste Gedanke. Wenn da was privates mitgeschnitten wird, dann ist das mehr als gut.

Gibt es auf eurem Switch nicht die Möglichkeit nachzusehen? Wenn das nur zu einer bestimmten Uhrzeit passiert, vorher einfaches Zurücksetzen vom Datenvolumen.

Ich würde da eher zu PRTG greifen, das soll das nach der Werbung auch können : .... Sie können feststellen, wie viel Bandbreite je Verbindung verbraucht wird, welche Geräte, Programme oder Nutzer am meisten Traffic erzeugen.... (Auszug von der Webseite)

Peter
aif-get
aif-get 12.04.2019 um 12:14:42 Uhr
Goto Top
Das mit statistiken ist super, das kann ich so nutzen.

Wäre jetzt noch die frage wie ich live mitschneiden kann in wireshark? Beim download wird eine *.eth und eine .part datei angelegt . die .part wird beschrieben, nur leider kann ich diese nicht mit wireshark auomatisch refreshen. das programm sagt es kann mit diesem fileformat nichts anfangen. Problem ist halt dass die .eth datei 0 Byte hat.

wie kann ich direkt also mitschneiden?
aqui
Lösung aqui 12.04.2019 aktualisiert um 13:00:42 Uhr
Goto Top
Wireshark ist nicht so ideal für eine Lastanalyse. Eher für den Inhalt. Das hilft dir also nicht wirklich.
Per SNMP die Port Statistiken des LAN Switches ansehen, das geht am schnellsten. Dort kannst du dann individuell sehen wer welche Last verursacht.
Leider bist du etwas oberflächlich, denn die Aussage "Datenauslastung" ist laienhaft und WischiWaschi. Keiner hier weiss ob du damit das lokale LAN oder den Internet Router bzw. Internet Leitung meinst. face-sad
Aber egal...du kannst es per SNMP im LAN auf dem Switch oder/und auch auf dem Router messen. Das geht beides und auch parallel wenn du möchtest.
Ganz schnell geht das z.B. mit dem kostenlosen STG Tool.
http://leonidvm.chat.ru
bzw.
RX Dropped Pkts Problem

Alternativ:
Wenn du einen Raspberry Pi hast dann installierst du dir schnell Observium drauf http://www.observium.org und fragst damit den Switch per SNMP ab.
Dort hast du dann alle Ports auf einem Blick und kannst den bösen Buhmann in 5 Minuten identifizieren !
Wenn du dann so den Top Talker identifiziert hast kannst du dann den Wireshark an diesen Port klemmen und dann genau sehen welche Applikation den Traffic verursacht.
Also immer strategisch vorgehen... face-wink
Grundlagen dazu findest du in diesem Tutorial:
Netzwerk Management Server mit Raspberry Pi
SlainteMhath
SlainteMhath 12.04.2019 um 12:29:40 Uhr
Goto Top
Das mit statistiken ist super, das kann ich so nutzen.
Freud mich das es hilft.
Weniger freud mich, das du den (dir) unangenehmen Teil des Posts ignorierst.. Naja, trotzdem schönen Freitag noch face-smile
Pjordorf
Pjordorf 12.04.2019 um 12:43:56 Uhr
Goto Top
Hallo,

Zitat von @aif-get:
Wäre jetzt noch die frage wie ich live mitschneiden kann in wireshark?
Einfach Wireshark starten, die richtige Schnittstelle auswählen und los gehts. Der zeigt dir dann alles an was auf dieser Schnittstelle empfangen wird. Bedenke das in einem Netzwerl (LAN) mit einem/mehrere Switche du nur das siehst was für deren MAC bestimmt ist, aber auch manchmal auch sogenannte Broadcasts. Du brauchst also einen Switch wo du einen Portmirror definieren kannst um zb. den Port wo alles drüber läuft auswählen kannst und so den gesamten Traffic zu sehen. Oder bu versuchst noch einen HUB ausserhalb vom Museum zu bersorgen. Ansonsten gibt es auch TAPs gegen teueres geld anzuschaffen oder mithilfe von Linux selber zu bauen.

Beim download wird eine *.eth und eine .part datei angelegt
Solange der Mitschnitt stattfindet und es über mehrere Datein geht. .Part ist eine Kurzeform von Partial und bedeutet Teilweise. Du musst erst den Mittschnitt beenden, dann bekommst du auch eine Datei z.B. *.PCap-NG. Die kannst du dann in ein Wireshark oder andere geeignetes Programm dirket einlesen und offline betrachten.

die .part wird beschrieben, nur leider kann ich diese nicht mit wireshark auomatisch refreshen. das programm sagt es kann mit diesem fileformat nichts anfangen. Problem ist halt dass die .eth datei 0 Byte hat.
Handbuch erst Lesen und schauen wie Dateien aufgezeichnet werden und benamst werden. Ein ZIP Programm macht es ähnlich

wie kann ich direkt also mitschneiden?
Wireshark starten, Schnittstelle auswählen und dir anzeigen lassen was die Schnittstelle jetzt sieht. Und bedenke das du eher ein Switch hast als ein Hub.
http://www.neox-networks.com/produkte/garland-technology/netzwerk-taps/
https://www.ipnetshop.com/Netzwerk-Taps

Ob dies hier TAPs oder nur eine Netzwerkdose ist, Amazon halt.
https://www.amazon.de/s?k=network+tap

http://www.nwlab.net/art/taps/passiver-tap.html
https://www.mikrocontroller.net/topic/442174

Also den Datenverkehr am LAN Gateway Port mitscheiden und dann schauen welche IP bzw. MAC den großen Datenverkehr verursacht.

Gruß,
Peter
aif-get
aif-get 12.04.2019 um 12:44:41 Uhr
Goto Top
Hallo, zum thema Datenschutz habt ihr vollkommen recht. Letztendlich kam das dann weniger in frage, weil scheint ja keine Lösung zu geben bzgl des Livemitschnitts also direkt in wireshark und in verbindung mit Fritzbox?

Kam also dir Lösung von aqui genau zum richtigen zeitpunkt