Как произвести анализ загруженности локальной сети и выявить источник большого трафика?
Доброго времени суток, уважаемые коллеги.
В качестве внешнего шлюза в локальной сети предприятия используется межсетевой экран D-link DFL860e. Проанализировав его загрузку, я обнаружил, что в недавнем времени она резко и значительно возросла (увеличился трафик и количество соединений), хотя предпосылок к этому вроде как не было. В сети несколько VLAN'ов, десяток управляемых L2 коммутаторов и около двух сотен устройств с различным типом трафика, поэтому так просто источник не выявить. Можно, конечно, отключать по порядку узлами, мониторя загрузку и сужая круг поиска; также теоретически можно установить proxy, но хотелось бы более простое и технологичное решение, к тому же, давно поглядываю в сторону Wireshark.
Что вы могли бы посоветовать в этой ситуации? Если акулу, то на чем ее запускать, чтобы иметь возможность захватить все пакеты хотя бы одного VLAN'а, и как именно через Wireshark выявить источник?
1) Настроить мониторинг своих свичей, и смотреть по графикам, на каких портах максимум трафика. Начать с аплинк-портов -- сколько трафика уходит в направлении "север-юг" (т.е. с коммутатора "наверх", к маршутизатору). Затем искать, в какой порт этот трафик вошёл.
2) Ваш роутер не поддерживает netflow. Поменяйте его на какой-нибудь микротик, он умеет netflow. Анализируя netflow, можно понять, какой трафик превалирует, с каких локальных адресов и куда.
Первый способ - да, спасибо, что-то не подумал, что можно и не отключать, надо будет только слегка повозиться с настройками мониторинга. Микротика (или другой железки с поддержкой netflow), к сожалению, в наличии не имеется.
Быстрый просмотр руководства D-Link не выявил возможности зеркалировать порты (port mirroring) :(
Увы и ах. Для wireshark неплохо-бы иметь свич с такой возможностью, ставить его в разрыв, занимая два порта и зеркалировать трафик на третий порт. Большинство последних управляемых D-Link-ов на это способны, возможно найдется у вас такой. К порту, выступающему в качестве зеркала, и цеплять ноут или ПК для мониторинга. В wireshark после захвата пакетов легче всего провести анализ через Conversations. Это в меню Statistics. Там в таблице можно отфильтровать трафик по пакетам или байтам. Сразу станет ясно, кто грузит больше всего.
Как вариант, если нет железки с зеркалированием, может подойти хаб. Но это сейчас большааая редкость. И при его использовании пропускная способность на время сбора пакетов упадет.
Поднимите программный маршрутизатор/межсетевой экран на МикроТик x86 (придётся таки потратиться на лицуху). Там всё и увидите. В Torch. Или выделяя правила на firewall по трафикам.