На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
  
> .
    .
    Сообщение отредактировано: Марсианин -
      Да любой счётчик транзитных пакетов. Т.е. тот, который умеет вести подсчёт, когда карта работает в promiscuous mode... Но в разы проще заставить сам коммутатор считать трафик на порте (впрочем, он и так это делает - остаётся только не забыть посмотреть).
        Могу ошибаться, но, боюсь, если в коммутаторе не предусмотрена специальная функция зеркалирования трафика, то такая задача требует перенаправления всего трафика на нормальный комп, который и будет заниматься учётом и анализом трафика.
          man netflow

          Добавлено
          Цитата amk @
          специальная функция зеркалирования трафика

          man rspan

          Добавлено
          ЗЫ. Я б не любил мозги с зеркалированием, а взял нормальный рутер имеющий набортный нетфлоу-сенсор.
          Сообщение отредактировано: Gonarh -
            Цитата amk @
            боюсь, если в коммутаторе не предусмотрена специальная функция зеркалирования трафика, то

            То он не подходит для решения задачи и должен быть заменён.
              Софтина? Вот например.
              Сообщение отредактировано: Gonarh -
                Цитата Марсианин @
                каждый из пользователей подключенных к свичу.

                Под пользователем что имеется в виду? Если пользователь AD то задача только роутером не решиться. Нужно что-то типа TMG и на клиентах специального клиента TMG. Тогда в логах будут видны доменные имена пользователей. В противном случаи тебе придется смотреть какой пользователь за каким IP находится, но если они пересаживаются с места на мета то задача почти не решаема.

                Цитата Gonarh @
                man netflow

                По моему мнению самый лучший вариант, если только твой волшебный роутер, который ты так и не озвучил, так-же детально не считает.
                  Цитата Марсианин @
                  мне надо понять какой процесс

                  lolwut?
                  Как волшебным образом сетевой стек узнает о процессах?

                  Добавлено
                  Цитата ^D^ima @
                  если только твой волшебный роутер, который ты так и не озвучил, так-же детально не считает.

                  Всё зависит от жадности начальствия ТС и требований к прокачиваемому ппс, если до 20-30кппс, пойдёт дешманский микротик какойнить hAP lite, если больше то либо сиська при отсутствии жадности, либо обычный тазик с линуксом, если ТС умееть красноглазить. В последнем случае можно вообще запилить универсальный комбайн.
                    Марсианин
                    Я соглашусь с тем что сетевой стек не знает о процессах. В соседней теме zabbix советовали. Скорее всего его клиент такое умеет
                      Нет, не умеет, заббикс обычный коллектор различной статы с агентов посредством снмп, или внешних скриптов. С учётом того что
                      Цитата
                      ставить на пк пользаков ничего нельзя :(

                      Оно ТС не поможет.
                        squid+ вот такие штуки которые умееют обрабатывать статистику сквида наглядным образом https://habrahabr.ru/post/273809/
                        :)
                        Сообщение отредактировано: Besha -
                          И? Каким образом всё вышеописанное поможет узнать какой процесс начал генерить трафик?
                          Беша, сквид не подсчитает ВЕСЬ трафик, потому что это прокся, кроме того, на определённом объёме трафика(который ТС опять таки не озвучил) он начнет терять данные.
                          Сoфтину я уже указал, это ядерный модуль к линуксовому нетфильтру, который на трафиках порядка 2,5-3Гбит/с жрёт менее 5% CPU.
                          Сообщение отредактировано: Gonarh -
                            Цитата Марсианин @
                            есть управляемый свич.
                            1 порт включен канал внешки,
                            2 - 23 порты пользаки которые на эту внешку ходят,
                            24 зеркало 1 порта, на него вешаю ПК с прогой анализатора
                            Собственно нужна софтина способная посчитать трафик.

                            TMeter.
                            Ставишь его на комп, сидящий на зеркальном порте, на порт зеркалишь только out-пакеты, на станции на TMeter включаешь лог транзитных пакетов (promiscuous, not-NAT). Достаточно будет одного фильтра - по хостам потом при анализе раскидаешь. В лог будет ложиться именно информация по отдельным пакетам - источник-приёмник, адрес-порт-байтов. Лог в обычном текстовом формате, CSV, импортируется на раз. Впрочем, можно включить и подсчёт статистики.

                            Ну а насчёт того, чтобы определить процесс, генерящий трафик - это можно сделать ТОЛЬКО на станции, которая этот трафик генерит. NETSTAT и аналогичные тулзы, позволяющие получать детализацию по процесса, увы, не работают с удалённым хостом. Да и при генерации значительного трафика такая тулза не будет работать устойчиво.

                            PS. Сначала по статистике портов коммутатора определи, на каком порте сидит генерячий клиент. Чтобы не зеркалировать все порты и потом не разгребать тонны лога. А если на каждом порте сидит строго один клиент, а не низовой коммутатор (порты не-транзитные) - то вообще нефиг заморачиваться на зеркалирование. Надо сразу идти к плохишу и на его компе смотреть, откуда трафик.
                              Цитата Akina @
                              это можно сделать ТОЛЬКО на станции, которая этот трафик генерит.
                              К тому же, если на станции стоит антивирус, он может весь трафик через себя пропускать. В результате даже внутренние программы иногда показывают, что весь трафик генерируется одной-единственной программой.
                                Цитата amk @
                                К тому же, если на станции стоит антивирус, он может весь трафик через себя пропускать.

                                Весь врядли, имхо 25,80,443 и почту с ssl/TLS забыл порты.
                                  Ну на многих компах большую часть времени только эти порты и используются.
                                    Ну это только у офисных хомячков. А так 20,21,22,123,3306 и это первое что на ум пришло

                                    Добавлено
                                    Впрочем это уже оффтоп.
                                    0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                                    0 пользователей:


                                    Рейтинг@Mail.ru
                                    [ Script execution time: 0,0456 ]   [ 16 queries used ]   [ Generated: 28.03.24, 08:52 GMT ]