Как отследить что забивает канал?

Question

[hixr0k]

Проблема в следующем, порядка 30-40 компов постоянно что то качают с файлового сервера и этим сильно забивают канал, проблема сохраняется даже ночью когда никто за компьютерами не работает. ПО везде стандартное, каких задач в планировщиках не увидел.
Всё что смог найти процесс system по 445 порту постоянно выкачивает, а из за чего это происходит понять не могу, всю голову сломал.
Прав администратора на сервере нет, не знаю правда поможет это как то в анализе или нет. Пробовал смотреть через Wireshark, но знаний не хватает для понимания всей информации.

Comments

[EvilSide]

Порт 445 используется Windows для совместной работы с файлами. Чтобы закрыть этот порт, следует блокировать File and Printer Sharing for Microsoft Networks.

Сервер у вас Шарой является ? Или принт сервером ?

[hixr0k]

EvilSide, только шара, принтеров нет

[EvilSide]

hixr0k, если я не ошибаюсь, то SMB протокол в таком виде работает шировокещательным образом и собирает со всех клиентов данные

[hixr0k]

EvilSide, каждый комп в течении минут 15 выкачивает в среднем от 400 мб до 800 мб кажется как то многовато. Файловое хранилище хоть и находится в другой сети ну думаю не должно влиять, в других сетях с хранилищем таких проблем нет

[zersh]

может сервер настроен как сервер обновлений для остальных компьютеров?

[hixr0k]

zersh, нет. WSUS'ом он для компов не является

[hixr0k]

Сегодня попытался посмотреть пакеты через WireShark, в пакетах проскакивала такая информация :

Find Request File: pcross\My Documents\Downloads SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: pcross\My Documents\Downloads SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *

Погуглил нашел похожий вопрос https://serverfault.com/questions/455998/smb2-traf..., если я правильно понял там была проблема из за квот которые установлены для шар на сервере. Неужели и правда может быть такая проблема из за установленных квот ?

Answer 1

[hixr0k]

Роман Какие компы известно, даже процесс известен (выше писал). Не понятно почему компы выкачивают что то постоянно, даже когда человек не работает за компом.
Upd: Вообщем всё дело оказалось в том, что не были установлены критические обновы на касперского, где как раз этот баг и исправили.

Comments

[Роман]

процесс system это вероятно общий системный процесс, который инициализируется каким-то приложением и нужно покопаться глубже в этих компьютерах что именно его запускает, есть маленький шанс что словили шифровальщик и он выкачивает данные перед тем как начать вымогать денежку

[hixr0k]

Роман, А как можно посмотреть каким именно приложением инициализируется это процесс, который в дальнейшим и грузит канал, софт какой то специальный ?

[Роман]

hixr0k, попробуйте Process Monitor, эта прога позволяет отслеживать используемые ресурсы и файлы программами, может получится выловить и вашу проблему

Answer 2

[Роман]

Попросите у администратора сервера статистику с каких IP адресов идет нагрузка на канал и кто сколько трафика потребляет и будет вам понятно какой или какие именно ПК этим занимаются. Ну или же окажется что у вас просто канал маловат для 40 компов.

Comments

[Александр]

"Возникла ошибка, обратитесь к своему системному администратору"
То чувство, когда ты системный администратор и у тебя нет своего =(

Answer 3

[KlausMorgan]

По моему вы сами же и ответили на ваш вопрос. Так как это файл сервер попробуйте посмотреть какие папки открыты и кем. Вы знаете что трафик поступает на х пк, начните закрывать подключения пока не закроете то что потребляет.