我的公司networking上每天早上九点半都发生了一些事情。 我不是系统pipe理员,但他不是一个ServerFault的人,所以我不知道networking的每一个方面,但我可以问问,如果后续是必要的。
症状如下:
我们已经将以下端口向公众公开:Web服务器,其他几个端口用于与我们的客户进行技术支持和VPN通信。 我们有一个思科ASA阻止其他一切。 我们有一个小的networking(任何时候less于50台电脑/ vms)。 一个Active Directory服务器和一些虚拟机服务器。 我们也托pipe我们自己的邮件服务器。
我认为这个问题是内部的,但是找出问题出在哪里的好方法是什么?
下载Wireshark( http://www.wireshark.org/ ),然后用它来观察networking上的stream量。 寻找新的stream量和交通量的任何大的峰值。
虽然这个工具为不熟悉networking的人提供了很多信息,但它仍然可以用来很容易地看到信息量,一些协议描述可能会指向你或你的pipe理员在正确的方向。
你也应该指出你的pipe理员在这个网站。 他可能会很高兴的资源。
如果您或系统pipe理员有权访问路由器/防火墙,则应提供一些附加信息。 如上所述的Wireshark也非常好(如TrueDuality所述)。 这个时间暗示着一个用户正在连接,并且有某种恶意软件或者stream行的networking正在使networking饱和。 您也可以检查是否有人正在运行Skype,而客户端是超级节点。 已经看到来自单个Skype客户端的大量stream量。 客户端必须被终止以确保没有stream量。
如果它是一个较小的办公室,应该很容易确定在相关时间login的人员。 有日志logging添加,监视DC成功login