Chi sta usando la nostra larghezza di banda?


16

Posso vedere dalle nostre statistiche ISP che una grande quantità di larghezza di banda viene utilizzata durante il giorno, sospetto che sia qualcuno che utilizza il nostro router wireless anche se non sono definito. Tutti i nostri PC eseguono vari tipi di finestre, ci sono utility / sniffer che posso usare per rilevare dove sta andando la larghezza di banda?


13
mi stai dicendo che dovrei aspettare networkloadfault.com? Cavolo mi dai già una pausa.
MrTelly,

A proposito il nostro wireless è sicuro, è qualcuno che conosciamo che sta usando la larghezza di banda, semplicemente non sappiamo chi sia, per quanto ne sappiamo è legittimo comunque dobbiamo solo sapere chi chiedere e sappiamo che non penso che lo spamming l'intera azienda è la risposta.
MrTelly,

7
Non deve essere una domanda del server, deve essere una domanda di amministratore di sistema - che chiaramente è.

Potresti fornire la tua marca e modello wireless? È più facile consigliare ciò che chiedi se tali dettagli sono noti.

La tua configurazione di rete sarebbe di grande utilità per questo. Non sono sicuro che si tratti di un'impostazione di casa o in ufficio, ma se si tratta di un'azienda e il tuo router / firewall / controller wireless supporta i dati IPFIX / Netflow puoi vedere ogni conversazione che lo attraversa.
Sclarson,

Risposte:


15

È possibile installare un PC su un hub (o switch gestito che emula un hub) con il router e utilizzare Wireshark per acquisire tutto il traffico. Da qui puoi ottenere alcune metriche utili per indirizzarti ai maiali della larghezza di banda.


Questo potrebbe essere un successo decentemente drammatico in una rete aziendale.
Sclarson,

13

Aggiungendo alla risposta di Jon B, ho anche usato ntop per avere una buona idea di dove sta andando il traffico. Ho scaricato un'appliance virtuale per semplificare la configurazione.


Solo un avvertimento i tronchi di ntop si accumulano velocemente.
Riconnettere

È inoltre possibile utilizzare ntop per esportare netflow per l'utilizzo della registrazione. ntop.org/netflow.html Puoi ottenere anche i dati di netflow Tomato o m0n0wall.
Sclarson,


2

Puoi fornirci maggiori dettagli sulla configurazione della tua rete? Posso proporre due approcci diversi:

  1. A seconda del tipo di dispositivo wireless in uso, potrebbe essere possibile utilizzare un'applicazione di gestione della rete che utilizza SNMP per estrarre le statistiche dall'AP. La maggior parte degli AP aziendali avrà una tabella MIB che traccia l'elenco dei client associati, la loro qualità del segnale e il numero di byte utilizzati. Allo stesso modo, il tuo router potrebbe avere un MIB che traccia il traffico per indirizzo IP.

  2. È possibile utilizzare uno sniffer di traffico cablato (WireShark, etherpeek) per guardare il traffico. Questi strumenti di solito possono fornire una suddivisione del traffico per utente. Dovresti annusare il traffico prima che colpisca il tuo router (se il tuo router fa NAT). È possibile utilizzare un hub (anche se questi sono davvero difficili da trovare in questi giorni) o attivare il mirroring delle porte su uno switch gestito. Puoi anche utilizzare uno sniffer wireless, ma se la rete è crittografata, avrai solo un'idea del volume di traffico di ciascun utente, non di quello a cui è destinato il traffico.


2

A seconda della marca e del modello del punto di accesso / interruttore wireless che stai utilizzando, Tomato potrebbe essere proprio quello che stai cercando. Offre , tra le altre cose, un bel monitor della larghezza di banda .

Inoltre, un po 'costoso , ma sembra che farebbe anche quello che vuoi.


Amo Tomato e l'ho usato per diversi anni, ma non credo che lo faccia per il monitoraggio della larghezza di banda del cliente. Ho sbagliato?
Gareth,

Non ancora, a quel livello, anzi. Sta arrivando però. Tuttavia, l'attuale monitoraggio della larghezza di banda fornirà misure e il tempo ad esso associato. Individuare un sottoinsieme specifico di utenti dovrebbe essere più facile avere larghezza di banda / ora. Questo è il motivo per cui inizialmente ho chiesto di creare e modellare l'AP o lo switch wireless. Cisco ha pacchetti di gestione e monitoraggio molto belli, ma quelli funzionano solo con il loro hardware.

1

Il tuo router probabilmente ha un modo per mostrare quali client sono collegati attraverso di esso, possibilmente come client DHCP. Ciò identificherebbe chi si sta connettendo al tuo router wireless, anche se non ti direbbe necessariamente chi stava usando la larghezza di banda.


1
Hai ragione, mi dice chi, ma non quanto
MrTelly,

E gli utenti non autorizzati possono non utilizzare affatto DHCP ma semplicemente selezionare un indirizzo IP inutilizzato. Meglio interrogare il router per la sua tabella ARP, questo sarebbe più difficile da forgiare.
Bortzmeyer,

1

Se non lo sei già, ti consiglio vivamente un programma come Cacti (che può essere utilizzato insieme antop ) per ottenere le statistiche del traffico dai tuoi switch (e, si spera, anche dai tuoi WAP). Questo può aiutarti a stabilire quando e dove proviene il traffico.

Inoltre, ti darà una buona idea del flusso di traffico e le anomalie del traffico tendono a risaltare nei grafici un po 'più dei semplici log di navigazione.


1

Se il router lo supporta, è possibile attivare il monitoraggio del flusso di rete. Flows ti mostrerà esattamente quello che stai cercando.


0

La maggior parte dei router wireless registra i MAC delle schede WiFi connesse, molti consentono anche il monitoraggio di chi è effettivamente connesso. Per quanto riguarda lo sniffing WiFi, lo strumento standard è Kismet.

"Qualcuno" si riferisce a qualcuno che non è effettivamente autorizzato a usarlo, chi sta dirottando il tuo segnale?


Per proteggere il tuo WiFi dovresti seguire i seguenti passi:

  1. scoraggia gli script-kiddies (non funzionerà contro i driver di lavoro esperti):

    • Disattiva la trasmissione SSID
    • Limitare la connessione solo a un determinato elenco di MAC
    • Limitare il DHCP solo a MAC statici -> IP assigments
  2. usa WPA2 (con EAP-PSK, usa la passphrase casuale).

  3. per una vera sicurezza hardcore, utilizzare WPA2 con il server di autenticazione 802.1X.


Lo spoofing MAC (n. 2.2 e kinda 'n. 2.3) non dovrebbe MAI essere affidato, e in realtà non vale la pena, ho hackerato molte reti WIFI abilitate (puramente educative, te lo assicuro) che le avevano abilitate. Anche la maggior parte degli script-kiddie è a conoscenza di questa causa perché è pubblicata in ogni sito / forum di hacking WIFI. Sicuramente vai WPA2 + Radius Server ("server di autenticazione 802.1X") questa è, per mia esperienza, l'unica vera forma di sicurezza, WEP e WPA sono stati battuti
Unkwntech,

Ho "violato" molte reti WiFi scegliendo "connettiti automaticamente a qualsiasi rete disponibile". È vero, WPA2 è l'unico modo sicuro, ma potrebbe non essere disponibile a causa dell'hardware legacy. Uno script-kiddie, alla ricerca di un passaggio gratuito, sceglierà una rete non protetta, piuttosto che anche una debolemente protetta.
Vartec,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.