Какие программы существуют для отслеживания траффика в сети?

Question

[Seter17]

Всем привет!
Ситуация такая — живу в общежитии и соответственно выход в интернет здесь с одного ip адреса. Днем постоянно интернет падает до дикого минимума и почти отключается, есть предположение — что кто-то начинает очень сильно и усердно занимать канал. Есть ли возможность программными средствами, обнаружить виновника?

UPD
Доступа к шлюзу нет, так же как и нет доступа сетевом оборудованию. Я просто участник этой сети, не более.

Comments

[EvilMan]

У Вас есть доступ к шлюзу?

Answer 1

[JDima]

перевести сетевую в «неразборчивый режим», запустить любой сниффер, накопить более-менее ёмкий лог

И что? Вы накопите собственные пакеты, а также броадкасты и очень-очень редкие юникасты. Сильно поможет?

Seter17, есть три варианта:
1) Провести arp poisoning атаку в момент торможения и притвориться роутером для всех окружающих. Тогда уже можно запускать wireshark.
2) Произвести атаку на CAM таблицу свитча (программа macof) и собирать трафик wireshark'ом.
3) Трясти администратора. Узнать, что за шлюз. Предложить поднять у себя *flow коллектор, если иначе никак.

В любом случае, первые два пункта подразумевают весьма нехорошие, очень шумные манипуляции, и я бы на вашем месте их пропустил.

Comments

[jov]

очень-очень редкие юникасты

с чего это? может конечно автора не уточнил, а я додумал за него, но как я понял — имелась в виду обычная «бюджетная» сеть на неуправляемых свитчах.

[JDima]

«Неуправляемый свитч» — это свитч, который не знает слов «VLAN», «STP» и так далее и не обладает никакими средствами защиты от атак на L2, но все равно запоминает маки и передает пакеты в соответствии с ними. «Хаб» — это хаб, безмозглая коробка, которую уже почти нигде не встретишь.

Answer 2

[jov]

перевести сетевую в «неразборчивый режим», запустить любой сниффер, накопить более-менее ёмкий лог. потом просто отсортировать по количеству пакетов с одного ip/mac-адреса.

Answer 3

[xandr0s]

Принести админу пиво и вместе с ним найти виноватого. А еще лучше показать tc. Ну и если сетевка может promiscuous mode — попробуйте что-то вроде wireshark в этом режиме.

Answer 4

[Алекс Белов]

Вам нужен прокси-сервер или хаб (свитч) в котором можно включить логирование. Узнать есть ли у хаба поддержка логирования можно из его документации.
Найти хороший хаб с квотами и DHCP не трудно.

А можно (если есть) взять какой нибудь старенький комп, вставить в него 2 сетевухи и сделать из него прокси сервер. На Win или nix уже зависит от способностей.

А вообще что за хаб у вас стоит!?

Comments

[Seter17]

Без понятия, я просто участник сети. Доступа к оборудованию нет. Вариант обратится к админу тоже не самый лучший — потому что он, не создает впечатление квалифицированного человека.

[paralon]

Если
>Доступа к шлюзу нет, так же как и нет доступа сетевом оборудованию. Я просто участник этой сети, не более.
То никак ничего вы отследить не сможете. Ну если конечно сеть не на концентраторах. В последнем я сильно, правда, сомневаюсь

[Алекс Белов]

Без доступа к шлюзу или к телу админа, вам не светит контроль за трафиком.
А вообще хотя бы примитивный хаб должен быть. Просто обязан… не важно ADSL у вас или что то другое… Хаб сетевой должен быть. Вашего неадекватно (по вашим словам) сетевого админа, можно уговорить на какое никакое логирование. А ещё если поднять проксю, то можно даже квоты выставить…

Answer 5

[Colobock]

Выяснив МАС флудераста, что дальше собираетесь делать?

Answer 6

[prox]

не проще купить мобильный интернет?

Comments

[Seter17]

45 швейцарских франков за гигабайт в месяц против бесплатного безлимитного интернета в общаге. Не проще…

Answer 7

[amc]

Можно проще, во время затыков — патч-корд в две соседнии розетки идущие к свичу. Повторять до просветления занимателя.

Если что — я вам этого не советовал.