我知道这看起来像其他一些问题,但他们似乎没有像我希望的那样得到完全的答复。
在我们的networking上,我们有一大堆连接到互联网的电脑。 现在在过去的几个星期里,似乎我们的下载带宽已经用完了。 现在我们有一个非常基本的工具来监视入站和出站stream量,这就是我知道它是入站(下载)stream量。 现在我需要弄清究竟是什么机器造成了这种情况,到目前为止,networking监控工具要么监控内部networkingstream量,这看起来像是“matrix”,要么就是使用总带宽,这就是我们所拥有的无论如何。
我需要一个工具,可以告诉我,我们的networking上哪台机器使用最多的互联网stream量(入站和出站),如果不是,为什么不呢?
我们有一个Windowsnetworking。 我们有非托pipe交换机。
要分析哪个设备正在生成/接收最多的stream量,您将需要可以收集这些统计数据的networking设备。
正如前面的回答中提到的,最简单的方法是使用托pipe交换机,这将允许您轮询每个端口上的stream量。
另一种方法是路由器,它可以在每个MAC地址级别上收集stream量统计数据,或以“NetFlow”格式导出networkingstream量,可以使用诸如NFSen
最后的方法是安装某种数据包嗅探器(例如运行Wireshark的PC)。 为了使这个工作在非托pipe交换机上,您需要安装stream量监听的PC(即configuration了L2转发的两个网卡),或者在交换机和路由器之间安装某种forms的以太网交换机。
您在networking中pipe理的networking硬件越less,您将需要更多的networking知识来收集统计信息。
您需要查看从您的networking交换机获取SNMP统计信息以找出哪个networking端口获取stream量。
常见的工具如Cacti和Munin可以为你绘制这个图。
如果你没有pipe理交换机,去一些!
除软件解决scheme之外,不涉及安装任何软件的一个选项是检查交换机上的哪个端口长时间闪烁最多。
如果晚上有人下载电影等大多数机器应该是空闲的,那么当大多数networking空闲时,你会很快看到这一点。 如果白天发生,那么可能很难说。
你可能想要加强你的防火墙阻止bittorrent等
作为networkingpipe理员和安全人员,我倾向于出站默认拒绝策略和代理服务器。
除此之外,我会第二个build议实施一个networkingstream收集器/分析仪。 现在,无法跨越不受pipe理的交换机上的端口,这意味着:
根据您的networking对您的业务的重要程度,pipe理型交换机甚至更小的SOHO商用防火墙对您的基础设施进行可靠的投资。 在解雇硬件作为一个选项之前,检查一些灰色市场供应商的价格。 我购买了Cisco 6500机箱,电源和单个主pipe,售价不到3k美元,用于实验室环境。
而不是使用像Wireshark这样的数据包嗅探器,你可能需要一个在NetFlows中处理的系统。 这是抽象networking连接的一种方法,以便您可以查看连接的来源,目的地,大小和使用寿命。
不同之处在于你并不在意用户是否用Westley Snipes下载了一些场景; 你只关心那个用户$ X是位猛烈的。
这样做的好处是,长时间存储这种方式的信息要实用得多。 就我而言,我可以在60GB的磁盘上存储三个月的NetFlows用于我的主要Internet连接。 这给了我一个更好的能力,以及时回头看看发生了什么事情…
我会设置一些类似于nfsen的东西( 这里是我在Linux上安装nfsen的注意事项 ),它可以获取防火墙设备内部所有stream量的副本。