Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Жду совета. Нужна помощь по анализу трафика в локалке, пойманого снифером, кто то гадит в сетке
 
Здрасте, есть локальная сеть компов под 100. Полностью хаотичная, на простых свичах. Есть в ней парочка прокси серверов с АДСЛ инетом. Иногда бывают проблемы, сеть виснет, пакеты долго идут, всё плохо пингуется.
Есть популярный снифер Wireshark , я сделал парочку захватов трафика в спокойном режиме, и в режиме зависания сети.
 Вопрос, как можно определить причину зависаний, то есть это чьито грязные делишки или просто проблемы топологии. ведь есть такое понятие как мультикаст шторм . На что можно обратить внимание, или может есть какиенибудь методы анализа трафика.
 
Посмотреть наличие пакетов с бродкастом, а также поддельных arp-пакетов
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Цитата
серый serg пишет:
Здрасте, есть локальная сеть компов под 100. Полностью хаотичная, на простых свичах. Есть в ней парочка прокси серверов с АДСЛ инетом. Иногда бывают проблемы, сеть виснет, пакеты долго идут, всё плохо пингуется.

Есть популярный снифер Wireshark , я сделал парочку захватов трафика в спокойном режиме, и в режиме зависания сети.

 Вопрос, как можно определить причину зависаний, то есть это чьито грязные делишки или просто проблемы топологии. ведь есть такое понятие как мультикаст шторм . На что можно обратить внимание, или может есть какиенибудь методы анализа трафика.
Ты админ этой сети? Тогда, для начала, тебе имеет смысл построить план твоей хаотичной сети. В виде графа, в узлах которого указать и описать всё имеющееся активное оборудование. Затем нагуглить ТТХ этого оборудования и определить узкие места с точки зрения трафика: скажем, вот есть свитч на N портов, у которого на коробке заявлена общая пропускная способность столько-то гигабит/с, а на самом деле от него нужно больше, т.к. в него понатыкано несколько крупных ветвистых сетей. В результате станет видно, какое оборудование, м.быть, имеет смысл переставить местами, какое заменить на более производительное, где топология сети ненужным образом отличается от классической звезды (понаделаны ненужные петли) и т.п.

Если нет возможности создать такой план сети - значит нет возможности и что-то улучшать в такой сети, т.к. для этого нужно увидеть всю картину целиком и в деталях.

После выяснения плана сети уже можно будет разбираться с:
- внутренними сетевыми службами и их возможными проблемами (dhcp, dns, wins и т.п.);
- точками внешних подключений - шлюзами, проксями, модемами, маршрутизаторами и т.д.
 
ну и что толку снифать трафик с любого нода подключенного к тупому свитчу? Компьютер на свитче может видеть только широковещательные сообщения  и пакеты адресованные к нему самому( по MAC-у), ну и разве что случайные пакеты, предназначенные не известно для кого. Вам бы мог помочь зеркальный порт на активных свитчах, делая отражение трафика со всех портов. Либо ARP poisoning, с переправкой пакетов на определенный компьютер в сети. И здается мне, что у вас просто петли в сети, с такой то "не умной" архитектурой, большим количеством машин и при отсутствии Spanning tree.Также малварь может быть причиной флуда в сети. Кстати, вы не написали какая ось доминирует, могу предположить, что винда. Можно Каином поснифить.
 
Capricon
дело то  в том что сеть 99% времени работает стабильно. зависания носят кратковременый характер, непериодический, что как бы намекает на чьюто причастность.
 у меня тоже такой вопрос возникает, можно ли сниферингом общего трафика выследить хакера или ещё какую заразу. Щас ведь дофига прог всяких гадских, любой остолоп может юзать:(.
 И да , все компы на винде, окромя мну:).  И что за КАИН такой?
 
Цитата
серый serg пишет:
И да , все компы на винде, окромя мну:).И что за КАИН такой?

Cain-and-Abel -читайте, в инете полно инфы
 
только не в рабочее время - сеть завалит. С каином конечно вам не найти машину "злоумышленника", вы сами им станете, но в вечернее время посмотреть что творится полезно.
Изменено: capricorn - 04.02.2011 08:00:17
Страницы: 1
Читают тему