Цитата
ставить на пк пользаков ничего нельзя 
Оно ТС не поможет.
| Версия для печати
Нажмите сюда для просмотра этой темы в оригинальном формате |
| Форум на Исходниках.RU > Сетевые Технологии > . |
| Автор: Марсианин 02.02.18, 10:48 |
| . |
| Автор: Akina 02.02.18, 11:44 |
| Да любой счётчик транзитных пакетов. Т.е. тот, который умеет вести подсчёт, когда карта работает в promiscuous mode... Но в разы проще заставить сам коммутатор считать трафик на порте (впрочем, он и так это делает - остаётся только не забыть посмотреть). |
| Автор: amk 03.02.18, 11:38 |
| Могу ошибаться, но, боюсь, если в коммутаторе не предусмотрена специальная функция зеркалирования трафика, то такая задача требует перенаправления всего трафика на нормальный комп, который и будет заниматься учётом и анализом трафика. |
| Автор: Gonarh 03.02.18, 13:08 |
| man netflow Добавлено man rspan Добавлено ЗЫ. Я б не любил мозги с зеркалированием, а взял нормальный рутер имеющий набортный нетфлоу-сенсор. |
| Автор: Akina 03.02.18, 17:48 |
| Цитата amk @ боюсь, если в коммутаторе не предусмотрена специальная функция зеркалирования трафика, то То он не подходит для решения задачи и должен быть заменён. |
| Автор: Gonarh 04.02.18, 04:13 |
| Софтина? Вот например. |
| Автор: ^D^ima 04.02.18, 06:58 |
| Под пользователем что имеется в виду? Если пользователь AD то задача только роутером не решиться. Нужно что-то типа TMG и на клиентах специального клиента TMG. Тогда в логах будут видны доменные имена пользователей. В противном случаи тебе придется смотреть какой пользователь за каким IP находится, но если они пересаживаются с места на мета то задача почти не решаема. По моему мнению самый лучший вариант, если только твой волшебный роутер, который ты так и не озвучил, так-же детально не считает. |
| Автор: Gonarh 04.02.18, 15:15 |
| lolwut? Как волшебным образом сетевой стек узнает о процессах? Добавлено Цитата ^D^ima @ если только твой волшебный роутер, который ты так и не озвучил, так-же детально не считает. Всё зависит от жадности начальствия ТС и требований к прокачиваемому ппс, если до 20-30кппс, пойдёт дешманский микротик какойнить hAP lite, если больше то либо сиська при отсутствии жадности, либо обычный тазик с линуксом, если ТС умееть красноглазить. В последнем случае можно вообще запилить универсальный комбайн. |
| Автор: ^D^ima 04.02.18, 17:33 |
| Марсианин Я соглашусь с тем что сетевой стек не знает о процессах. В соседней теме zabbix советовали. Скорее всего его клиент такое умеет |
| Автор: Gonarh 04.02.18, 17:45 |
| Нет, не умеет, заббикс обычный коллектор различной статы с агентов посредством снмп, или внешних скриптов. С учётом того что Цитата ставить на пк пользаков ничего нельзя Оно ТС не поможет. |
| Автор: Besha 04.02.18, 20:09 |
squid+ вот такие штуки которые умееют обрабатывать статистику сквида наглядным образом https://habrahabr.ru/post/273809/ |
| Автор: Gonarh 05.02.18, 04:58 |
| И? Каким образом всё вышеописанное поможет узнать какой процесс начал генерить трафик? Беша, сквид не подсчитает ВЕСЬ трафик, потому что это прокся, кроме того, на определённом объёме трафика(который ТС опять таки не озвучил) он начнет терять данные. Сoфтину я уже указал, это ядерный модуль к линуксовому нетфильтру, который на трафиках порядка 2,5-3Гбит/с жрёт менее 5% CPU. |
| Автор: Akina 05.02.18, 05:43 |
| Цитата Марсианин @ есть управляемый свич. 1 порт включен канал внешки, 2 - 23 порты пользаки которые на эту внешку ходят, 24 зеркало 1 порта, на него вешаю ПК с прогой анализатора Собственно нужна софтина способная посчитать трафик. TMeter. Ставишь его на комп, сидящий на зеркальном порте, на порт зеркалишь только out-пакеты, на станции на TMeter включаешь лог транзитных пакетов (promiscuous, not-NAT). Достаточно будет одного фильтра - по хостам потом при анализе раскидаешь. В лог будет ложиться именно информация по отдельным пакетам - источник-приёмник, адрес-порт-байтов. Лог в обычном текстовом формате, CSV, импортируется на раз. Впрочем, можно включить и подсчёт статистики. Ну а насчёт того, чтобы определить процесс, генерящий трафик - это можно сделать ТОЛЬКО на станции, которая этот трафик генерит. NETSTAT и аналогичные тулзы, позволяющие получать детализацию по процесса, увы, не работают с удалённым хостом. Да и при генерации значительного трафика такая тулза не будет работать устойчиво. PS. Сначала по статистике портов коммутатора определи, на каком порте сидит генерячий клиент. Чтобы не зеркалировать все порты и потом не разгребать тонны лога. А если на каждом порте сидит строго один клиент, а не низовой коммутатор (порты не-транзитные) - то вообще нефиг заморачиваться на зеркалирование. Надо сразу идти к плохишу и на его компе смотреть, откуда трафик. |
| Автор: amk 05.02.18, 15:14 |
| К тому же, если на станции стоит антивирус, он может весь трафик через себя пропускать. В результате даже внутренние программы иногда показывают, что весь трафик генерируется одной-единственной программой. |
| Автор: Gonarh 05.02.18, 15:43 |
| Цитата amk @ К тому же, если на станции стоит антивирус, он может весь трафик через себя пропускать. Весь врядли, имхо 25,80,443 и почту с ssl/TLS забыл порты. |
| Автор: amk 06.02.18, 15:21 |
| Ну на многих компах большую часть времени только эти порты и используются. |
| Автор: Gonarh 06.02.18, 18:23 |
| Ну это только у офисных хомячков. А так 20,21,22,123,3306 и это первое что на ум пришло Добавлено Впрочем это уже оффтоп. |