LINUX.ORG.RU
ФорумGeneral

Задачка на анализ трафика

 


1

1

Кто хорошо умеет пользоваться Wireshark? Вобщем задача такая. Есть некоторое количество клиентов, подключённых к Интернету через маршрутизатор. Между собой они не общаются, однако активно передают и скачивают информацию из Интернета. MAC-адрес маршрутизатора, например 1c:bd:b9:e3:30:ef. Насколько я понимаю все приходящие ethernet-кадры должны иметь source-адрес 1c:bd:b9:e3:30:ef, кадры с другим адресом можно считать побочным трафиком. Задача, выяснить нет ли среди побочного трафика «мусора», не забивает ли он канал и откуда вообще сыпется. Вот я открываю Wireshark, говорю слушать интерфейс eth0, ставлю фильтр «eth.src != 1c:bd:b9:e3:30:ef» и нажимаю зелёную кнопку. Дальше что? Как это анализировать?

★★★★★

Ответ на: комментарий от sunny1983

Нарисуй схему/топологию сети, а то пока не очень понятно откуда может взяться трафик не от маршрутизатора

zolden ★★★★★
()
Ответ на: комментарий от zolden

Нарисуй схему/топологию сети, а то пока не очень понятно откуда может взяться трафик не от маршрутизатора

Если бы знал откуда берётся паразитный трафик я бы этот вопрос не задавал. Я же взялся дампить трафик как раз для того чтобы понять откуда это идёт. Предположений много. Я написал, что через маршрутизатор подключен не один, а несколько клиентов, но это я так написал, а если вдаваться в подробности (ё-моё, ты уже двадцатый кому мне приходится объяснять предысторию вопроса) то там целая система управляемых коммутаторов, подключённых по топологии «дерево».
http://i84.fastpic.ru/big/2016/0902/6c/dd4d3601dc6625194efab9d54e27fc6c.jpg
Схему привожу, но там маршрутизатор не указал, схема нарисована до корневого коммутатора, к маршрутизатору подключен непосредственно он.
Трафик не от маршрутизатора это:

  1. широковещательные ARP-запросы
  2. широковещательные DHCP-запрсы
  3. samba-трафик, который возникает сам по себе, если samba на каких-то клиентах не выключен
  4. работающие на каких-то из клиентах сканирующие программы, в том числе вредоносные
  5. мультикаст, который из-за неверной настройки какого-нибудь коммутатора сыпется на все порты
  6. широковещательный шторм, вызваный неисправностью какого-либо коммутатора

Возможны другие.

sunny1983 ★★★★★
() автор топика
Последнее исправление: sunny1983 (всего исправлений: 3)
Ответ на: комментарий от sunny1983

В таких неясных условиях анализ делается только последовательным наложением фильтров, другого пути нет.
Идёшь последовательно пакет за пакетом и исключаешь понятное/ненужное.
Если интересует наглядная картина в динамике, то удобно использовать Statistics-I/O Graph
Там накладываешь фильтры по адресам/портам, раскрашиваешь их в разные цвета и ловишь пики, постепенно уточняя/расширяя фильтры

zolden ★★★★★
()
Ответ на: комментарий от zolden

Вот я после нескольких минут слушанья трафика открыл Statistics-I/O Graph. И как этот граф раскрасить?

sunny1983 ★★★★★
() автор топика
Ответ на: комментарий от sunny1983

Внизу слева есть кнопка +
По ней добавляются строки
В каждой можно настроить отдельный фильтр и цвет

zolden ★★★★★
()
Ответ на: комментарий от sunny1983

Мультикаст особо не дебажил, гугл подсказывает такой вариант

По вайршарку рекомендую ещё вот эти ролики, особенно 4й ролик мне открыл глаза когда-то

zolden ★★★★★
()
Ответ на: комментарий от zolden

Мультикаст дебажить оказалось ненужным, потому как, поработав с фильтрами, я сделал выводы что весь трафик - это tcp-трафик, причём в основном это 80 порт. Я так понимаю - это означает, что мусорного трафика в сети нет. Я его пытался найти потому что у нас ежедневно лагает сеть по вечерам. Значит нужно искать другую причину.

sunny1983 ★★★★★
() автор топика
Ответ на: комментарий от sunny1983

Надо логи маршрутизатора смотреть, нет ли дропов или перегрузок...

zolden ★★★★★
()
Ответ на: комментарий от sunny1983

Перемещаемые профили катаются в конце рабочего дня?

slowpony ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General