Здравствуйте, я начинающий системный администратор, работаю в больнице.(2 дня) )
Суть в чем - у нас канал интернета на 1гбит\с. Со всей больницы поступали жалобы на медленную работу интернета\локальной сети.
Звонили провайдеру там ответили что у нас забит канал, днем и ночью на прием и отправку без перерыва идут пакеты.
Есть мнение что заражен один или несколько пк( Касперский не обновлялся с 14 года, не работает с 17, лицензия есть до 20 года, но антивирь не может обновить базы, пока жду ответа от тех-поддержки необходимо своими руками со всем разобраться), необходимо найти какие именно пк заражены.
Поставил на сервер WireShark и NetworkMonitor, но что делать дальше? Да я перехватываю все соединения, но что с этим делать? Как проанализировать трафик, какие фильтры использовать чтобы найти жрущий трафик пк?
Upd: Монитор ресурсов на сервере показывает 15-20 мегабит в сек. использования сети, насколько я понимаю сюда не входит использование сети другими пк. Хотя странно потому что сервак используется как шлюз к интернету, да и общие документы на нем.
Заранее спасибо.
UPD: Монитор трафика показал что процесс httpd.exe с порта 4904 наотсылал на 10 гигов трафика, 17 млн пакетов, 700bps и с порта 13624 примерно те же значения, как узнать с какого конкретно пк это идет?
Андрей Шубин, Основной шлюз(по крайней мере при подключенные компы в сети на него ссылаются, DHCP и DNS сервер так же на нем)- Сервер(Depo) с WinServer 2008r2, на нем стоит WireShark,
Канал 1гбит это может просто канал от сервера до ближайшего провайдерского коммутатора а реальная скорость в интернет ограничена тарифным планом до 20мбит? Если так то 20мбит это мало, надо настраивать шейпинг, не давать одному компьютеру весь канал занимать.
Aricce, отключить всех остальных от интернета и проверить скорость на сайте www.speedtest.net/ru
или спросить у провайдера какой у вас тариф и скорость или если есть логин пароль то посмотреть в личном кабинете
Для этой задачи сниффер ставить совершенно необязательно. Хватит программки подсчета трафика на компах сети.
"10-Страйк: Учет Трафика" подойдет.
Особенно если есть права админа на сетевых компах (в домене, например), тогда можно будет опросить счетчики трафика по сети через wmi.
Звонили провайдеру там ответили что у нас забит канал, днем и ночью на прием и отправку без перерыва идут пакеты.
... канал интернета на 1гбит\с
... сервере показывает 15-20 мегабит в сек.
Значит дело в канале (включая оборудование до сервера), а не сервере.
Константин Цветков, В интернетах пишут, что Network Monitor больше не рекомендуется к использованию Microsoft и является устаревшим инструментом и был замещен на Microsoft Message Analyzer.
А у меня наверное глупая мысль, поскольку я ни разу не сисадмин и не программист. А вдруг у них в больнице общедоступный Wi-Fi и все желающие им пользуются, перегружая канал? Качают торренты днем и ночью.
А может у них есть видеонаблюдение. Хотя оно, наверное, такой нагрузки не даст, плюс трафик останется внутри локальной сети.
Asparagales, WiFi есть, но закрытый, и в очень маленькой области+ на сервере пул из 255 адресов, из них большая часть свободна прямо сейчас. Константин Цветков, не смог найти то о чем вы говорили( Ezhyg, доступ есть к двум сервакам(бухгалтерскому, но с него вроде как не выйти в интернет), к общему(на котором dhcp и dns) и к маршрутизатору tplink tl-er6020, на котором ограничение выставил brandswitch в 1 сотую канала(по ощущениям ничего не поменялось), но я даже не уверен что от провайдера кабель идет именно к нему, тут полный бардак либо я чего-то не понимаю, коммутаторы, какие-то роутеры (на некоторых написано НЕРАБОТАЕТ маркером, хотя мигают, к некоторым ведет только кабель lan, и все разбросанно по всему зданию, первый сисадмин был кондитером, второй костоправом)
Звонили провайдеру там ответили что у нас забит канал, днем и ночью на прием и отправку без перерыва идут пакеты.
Звони ещё раз, объясни ситуацию, "я новенький, пока ещё не полностью вступил в права, в сетке бардак, подскажите, люди добрые, хотя бы, куда пакеты-то идут?!"
ну или сам через личный кабинет, статистика же ведётся, часто, пусть и не всегда (точнее всегда, но не всегда доступна).
Монитор ресурсов на сервере показывает 15-20 мегабит в сек. использования сети, насколько я понимаю сюда не входит использование сети другими пк.
Не факт.
Неизвестно как у вас построена сеть может кто-то выходит в интернет минуя ваш шлюз.
Как реализовано подключение к провайдеру? Оптика, витая пара? Куда физически приходит провод от првовайдера? Какое оборудование стоит между проводом провайдера и вашим шлюзом?
Простой
