8
Wer lastet das Netzwerk am meisten aus? Mitschnitt Monitoring
Hallo,
haben aktuell ein Fimrennetz mit ca 15 PCs per LAN und Wifi angebunden.
Alles läuft über eine Fritzbox.
Nun haben wir zu einer bestimmten Uhrzeit des öfteren mal eine erhöhte Datenauslastung, die (vermutlich) von irgendeinem Mitarbeiter kommt.
Per Capture habe bereits einen wireshark mitschnitt machen können, frage wäre jetzt nur, wie kann ich diesen auswerten, sodass ich eine art Übeltäter finde. Klar wäre mit sowas wie ene topliste da am liebsten, ist das möglich? (:
Zudem gibt es da optional noch eine Möglichkeit mit Raspberry zB zu realisieren? TrafficShaper , der in Echtzeit sowas anzeigt?
Ich danke euch für eure Hilfe.
lg
haben aktuell ein Fimrennetz mit ca 15 PCs per LAN und Wifi angebunden.
Alles läuft über eine Fritzbox.
Nun haben wir zu einer bestimmten Uhrzeit des öfteren mal eine erhöhte Datenauslastung, die (vermutlich) von irgendeinem Mitarbeiter kommt.
Per Capture habe bereits einen wireshark mitschnitt machen können, frage wäre jetzt nur, wie kann ich diesen auswerten, sodass ich eine art Übeltäter finde. Klar wäre mit sowas wie ene topliste da am liebsten, ist das möglich? (:
Zudem gibt es da optional noch eine Möglichkeit mit Raspberry zB zu realisieren? TrafficShaper , der in Echtzeit sowas anzeigt?
Ich danke euch für eure Hilfe.
lg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 439996
Url: https://administrator.de/contentid/439996
Printed on: April 24, 2024 at 06:04 o'clock
8 Comments
Latest comment
Hallo,
ich nutze für sowas einen ausgemusterten PC mit minimalem Debian und 2 Netzwerkkarten + ntopng.
Der Wird dann einfach als Gateway zwischen das Netzwerk und das eigentliche Gateway geschaltet.
ntopng hat en Webinterface, welches dir dann genau den Traffic zu den einzelnen IP-Adressen anzeigt.
Gruß
bloody
ich nutze für sowas einen ausgemusterten PC mit minimalem Debian und 2 Netzwerkkarten + ntopng.
Der Wird dann einfach als Gateway zwischen das Netzwerk und das eigentliche Gateway geschaltet.
ntopng hat en Webinterface, welches dir dann genau den Traffic zu den einzelnen IP-Adressen anzeigt.
Gruß
bloody
Moin,
Wireshark kann entsprechend Auswertungen, sollten unter "Statistics" stehen. Du willst Conversations oder Endpoints.
Findet man übrigens auch heraus, wenn man sich mal die Doku/das Wiki ansieht: https://wiki.wireshark.org/Statistics
lg,
Slainte
PS: Bevor du jetzt anfängst, wild den Traffic auszuwerten: Datenschutz beachten!
Wireshark kann entsprechend Auswertungen, sollten unter "Statistics" stehen. Du willst Conversations oder Endpoints.
Findet man übrigens auch heraus, wenn man sich mal die Doku/das Wiki ansieht: https://wiki.wireshark.org/Statistics
lg,
Slainte
PS: Bevor du jetzt anfängst, wild den Traffic auszuwerten: Datenschutz beachten!
Hallo,
das mit dem Datenschutz war auch bei mir der erste Gedanke. Wenn da was privates mitgeschnitten wird, dann ist das mehr als gut.
Gibt es auf eurem Switch nicht die Möglichkeit nachzusehen? Wenn das nur zu einer bestimmten Uhrzeit passiert, vorher einfaches Zurücksetzen vom Datenvolumen.
Ich würde da eher zu PRTG greifen, das soll das nach der Werbung auch können : .... Sie können feststellen, wie viel Bandbreite je Verbindung verbraucht wird, welche Geräte, Programme oder Nutzer am meisten Traffic erzeugen.... (Auszug von der Webseite)
Peter
das mit dem Datenschutz war auch bei mir der erste Gedanke. Wenn da was privates mitgeschnitten wird, dann ist das mehr als gut.
Gibt es auf eurem Switch nicht die Möglichkeit nachzusehen? Wenn das nur zu einer bestimmten Uhrzeit passiert, vorher einfaches Zurücksetzen vom Datenvolumen.
Ich würde da eher zu PRTG greifen, das soll das nach der Werbung auch können : .... Sie können feststellen, wie viel Bandbreite je Verbindung verbraucht wird, welche Geräte, Programme oder Nutzer am meisten Traffic erzeugen.... (Auszug von der Webseite)
Peter
Das mit statistiken ist super, das kann ich so nutzen.
Wäre jetzt noch die frage wie ich live mitschneiden kann in wireshark? Beim download wird eine *.eth und eine .part datei angelegt . die .part wird beschrieben, nur leider kann ich diese nicht mit wireshark auomatisch refreshen. das programm sagt es kann mit diesem fileformat nichts anfangen. Problem ist halt dass die .eth datei 0 Byte hat.
wie kann ich direkt also mitschneiden?
Wäre jetzt noch die frage wie ich live mitschneiden kann in wireshark? Beim download wird eine *.eth und eine .part datei angelegt . die .part wird beschrieben, nur leider kann ich diese nicht mit wireshark auomatisch refreshen. das programm sagt es kann mit diesem fileformat nichts anfangen. Problem ist halt dass die .eth datei 0 Byte hat.
wie kann ich direkt also mitschneiden?
Wireshark ist nicht so ideal für eine Lastanalyse. Eher für den Inhalt. Das hilft dir also nicht wirklich.
Per SNMP die Port Statistiken des LAN Switches ansehen, das geht am schnellsten. Dort kannst du dann individuell sehen wer welche Last verursacht.
Leider bist du etwas oberflächlich, denn die Aussage "Datenauslastung" ist laienhaft und WischiWaschi. Keiner hier weiss ob du damit das lokale LAN oder den Internet Router bzw. Internet Leitung meinst.
Aber egal...du kannst es per SNMP im LAN auf dem Switch oder/und auch auf dem Router messen. Das geht beides und auch parallel wenn du möchtest.
Ganz schnell geht das z.B. mit dem kostenlosen STG Tool.
http://leonidvm.chat.ru
bzw.
RX Dropped Pkts Problem
Alternativ:
Wenn du einen Raspberry Pi hast dann installierst du dir schnell Observium drauf http://www.observium.org und fragst damit den Switch per SNMP ab.
Dort hast du dann alle Ports auf einem Blick und kannst den bösen Buhmann in 5 Minuten identifizieren !
Wenn du dann so den Top Talker identifiziert hast kannst du dann den Wireshark an diesen Port klemmen und dann genau sehen welche Applikation den Traffic verursacht.
Also immer strategisch vorgehen...
Grundlagen dazu findest du in diesem Tutorial:
Netzwerk Management Server mit Raspberry Pi
Per SNMP die Port Statistiken des LAN Switches ansehen, das geht am schnellsten. Dort kannst du dann individuell sehen wer welche Last verursacht.
Leider bist du etwas oberflächlich, denn die Aussage "Datenauslastung" ist laienhaft und WischiWaschi. Keiner hier weiss ob du damit das lokale LAN oder den Internet Router bzw. Internet Leitung meinst.
Aber egal...du kannst es per SNMP im LAN auf dem Switch oder/und auch auf dem Router messen. Das geht beides und auch parallel wenn du möchtest.
Ganz schnell geht das z.B. mit dem kostenlosen STG Tool.
http://leonidvm.chat.ru
bzw.
RX Dropped Pkts Problem
Alternativ:
Wenn du einen Raspberry Pi hast dann installierst du dir schnell Observium drauf http://www.observium.org und fragst damit den Switch per SNMP ab.
Dort hast du dann alle Ports auf einem Blick und kannst den bösen Buhmann in 5 Minuten identifizieren !
Wenn du dann so den Top Talker identifiziert hast kannst du dann den Wireshark an diesen Port klemmen und dann genau sehen welche Applikation den Traffic verursacht.
Also immer strategisch vorgehen...
Grundlagen dazu findest du in diesem Tutorial:
Netzwerk Management Server mit Raspberry Pi
Das mit statistiken ist super, das kann ich so nutzen.
Freud mich das es hilft.Weniger freud mich, das du den (dir) unangenehmen Teil des Posts ignorierst.. Naja, trotzdem schönen Freitag noch
Hallo,
Einfach Wireshark starten, die richtige Schnittstelle auswählen und los gehts. Der zeigt dir dann alles an was auf dieser Schnittstelle empfangen wird. Bedenke das in einem Netzwerl (LAN) mit einem/mehrere Switche du nur das siehst was für deren MAC bestimmt ist, aber auch manchmal auch sogenannte Broadcasts. Du brauchst also einen Switch wo du einen Portmirror definieren kannst um zb. den Port wo alles drüber läuft auswählen kannst und so den gesamten Traffic zu sehen. Oder bu versuchst noch einen HUB ausserhalb vom Museum zu bersorgen. Ansonsten gibt es auch TAPs gegen teueres geld anzuschaffen oder mithilfe von Linux selber zu bauen.
Beim download wird eine *.eth und eine .part datei angelegt
Solange der Mitschnitt stattfindet und es über mehrere Datein geht. .Part ist eine Kurzeform von Partial und bedeutet Teilweise. Du musst erst den Mittschnitt beenden, dann bekommst du auch eine Datei z.B. *.PCap-NG. Die kannst du dann in ein Wireshark oder andere geeignetes Programm dirket einlesen und offline betrachten.
http://www.neox-networks.com/produkte/garland-technology/netzwerk-taps/
https://www.ipnetshop.com/Netzwerk-Taps
Ob dies hier TAPs oder nur eine Netzwerkdose ist, Amazon halt.
https://www.amazon.de/s?k=network+tap
http://www.nwlab.net/art/taps/passiver-tap.html
https://www.mikrocontroller.net/topic/442174
Also den Datenverkehr am LAN Gateway Port mitscheiden und dann schauen welche IP bzw. MAC den großen Datenverkehr verursacht.
Gruß,
Peter
Einfach Wireshark starten, die richtige Schnittstelle auswählen und los gehts. Der zeigt dir dann alles an was auf dieser Schnittstelle empfangen wird. Bedenke das in einem Netzwerl (LAN) mit einem/mehrere Switche du nur das siehst was für deren MAC bestimmt ist, aber auch manchmal auch sogenannte Broadcasts. Du brauchst also einen Switch wo du einen Portmirror definieren kannst um zb. den Port wo alles drüber läuft auswählen kannst und so den gesamten Traffic zu sehen. Oder bu versuchst noch einen HUB ausserhalb vom Museum zu bersorgen. Ansonsten gibt es auch TAPs gegen teueres geld anzuschaffen oder mithilfe von Linux selber zu bauen.
Beim download wird eine *.eth und eine .part datei angelegt
Solange der Mitschnitt stattfindet und es über mehrere Datein geht. .Part ist eine Kurzeform von Partial und bedeutet Teilweise. Du musst erst den Mittschnitt beenden, dann bekommst du auch eine Datei z.B. *.PCap-NG. Die kannst du dann in ein Wireshark oder andere geeignetes Programm dirket einlesen und offline betrachten.
die .part wird beschrieben, nur leider kann ich diese nicht mit wireshark auomatisch refreshen. das programm sagt es kann mit diesem fileformat nichts anfangen. Problem ist halt dass die .eth datei 0 Byte hat.
Handbuch erst Lesen und schauen wie Dateien aufgezeichnet werden und benamst werden. Ein ZIP Programm macht es ähnlichwie kann ich direkt also mitschneiden?
Wireshark starten, Schnittstelle auswählen und dir anzeigen lassen was die Schnittstelle jetzt sieht. Und bedenke das du eher ein Switch hast als ein Hub.http://www.neox-networks.com/produkte/garland-technology/netzwerk-taps/
https://www.ipnetshop.com/Netzwerk-Taps
Ob dies hier TAPs oder nur eine Netzwerkdose ist, Amazon halt.
https://www.amazon.de/s?k=network+tap
http://www.nwlab.net/art/taps/passiver-tap.html
https://www.mikrocontroller.net/topic/442174
Also den Datenverkehr am LAN Gateway Port mitscheiden und dann schauen welche IP bzw. MAC den großen Datenverkehr verursacht.
Gruß,
Peter
Hallo, zum thema Datenschutz habt ihr vollkommen recht. Letztendlich kam das dann weniger in frage, weil scheint ja keine Lösung zu geben bzgl des Livemitschnitts also direkt in wireshark und in verbindung mit Fritzbox?
Kam also dir Lösung von aqui genau zum richtigen zeitpunkt
Kam also dir Lösung von aqui genau zum richtigen zeitpunkt
