服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 监控整个办公室的互联网stream量的最好方法是什么?
Intereting Posts
提取URL的主机名 如何重命名ESX 3.5服务器? 如何启用Exchange 2010 for IMAP(SSL和非SSL)? 如何在Centos 5.5上正确下载tomcat 6 创buildLDAP帐户时使用的用户名无效 添加第二个硬盘驱动器导致服务器间歇重新启动 局内PBX使用模拟电话线 以编程方式将EC2执行节点添加到Grid Engine群集 SSH连接超时,除非我从一个不同的服务器 – HISTCONTROL = ignoreBoth不工作debian lenny ESX简单的NAT路由器 ZFS(NexentaStor)和4k高级格式分区alignment 访问日志文件中消息的含义 有条件地将交换电子邮件转移到垃圾邮件 阻止对所有人的访问

监控整个办公室的互联网stream量的最好方法是什么?

我们目前有一个约28人的T3线,白天变得致命,所以我需要一些东西来帮助追踪为什么。 我假设有人正在下载他们可能不知道的东西。

我会build议不要使用wireshark来监视stream量。 你会得到太多的数据,但你很难分析数据。 如果您需要查看/疑难解答几台机器之间的交互,wireshark是伟大的。 作为监测工具,恕我直言,wireshark是不是你需要的工具。

  1. 剖析networkingstream量。 尝试一些实际的监测工具: http : //sectools.org/traffic-monitors.html 。 您正在寻找最高stream量types(可能是HTTP,但是谁知道),最高级Talker(应该是您的服务器,但是谁知道)以及可能的格式错误的stream量(大量的TCP重新传输,格式错误的数据包,非常小的高速率包可能不会看,但谁知道)

  2. 同时,与您的pipe理层合作制定networking资源使用策略。 一般而言,业务术语,计算机networking需要满足哪些业务需求,以及资源的适当用途是什么。 这件事是花钱的,所以它的存在必须有一个商业的理由。 贵公司有处理“小额现金”抽屉的政策,我敢打赌你的networking基础设施的成本更多。 要关注的重点不是抓人做坏事,而是看潜在的恶意行为,即恶化networkingfunction(即员工完成工作的能力)。 南方炒安全Podcast和PaulDotCom安全周刊涵盖了有关创build适当的安全策略的信息。

  3. @John_Rabotnik代理服务器的想法是伟大的。 实现Webstream量的代理服务器。 与传统的防火墙相比,代理服务器可以更好地了解所发生的事情,并更精确地控制允许的通信量(例如真实的网站)以及阻止的通信量(由20个随机字符组成的URL ] .COM)

  4. 让人们知道 – networking有问题。 您正在监视networkingstream量。 为他们提供注册networking速度的机制,并捕获足够的关于报告的元数据,以便总体上可以分析networking性能。 与同事沟通。 他们希望你做好工作,使他们能够做好工作。 你在同一个团队。

  5. 一般来说,阻止一切,然后允许什么应该被允许。 您从第一步开始的监控应该让您知道什么是需要允许的,通过您的networking使用/安全策略进行筛选。 你的政策还应该包括一个经理可以请求新的访问机制。

总之,第一步,交通监控(Nagios似乎是一个标准的工具)可以帮助你弄清楚,一般来说,怎么样才能阻止眼前的痛苦。 步骤2 – 5有助于防止将来出现问题。

28人饱和T3? 似乎不太可能(每个人都可以使用stream媒体整天,而不会接近)。您可能需要检查路由循环和其他types的networking错误configuration。 你也应该检查病毒。 如果你的本地networking上运行着一个小僵尸networking,那么这将很容易解释stream量。

你使用什么types的交换机/防火墙? 您可能已经有一些function来监视数据包通信。

编辑:我也是Wireshark的大粉丝(虽然我老了,所以我仍然认为在我脑海中“飘渺”)。 如果你打算使用它,最好的办法是把一台机器放在线上,这样所有的stream量都要经过它。 这将允许您运行详尽的日志logging,而无需将您的设备切换到混杂模式。

如果事实certificate,你需要一些stream量整形,你将有一个很好的位置来build立一个Snort的代理服务器……但我不打算安装一个。 我真的怀疑你的问题是带宽。

如果您有一台备用机器,您可以将其设置为互联网代理服务器 。 而不是通过路由器访问互联网的机器,他们通过代理服务器(使用路由器访问互联网)访问它。 这将logging所有的互联网stream量和它来自哪台机器。 你甚至可以阻止某些网站或文件types和许多其他很酷的东西。

代理服务器也将caching经常使用的网页,以便用户访问相同的网站,图像,下载等已经在代理服务器上,所以他们不需要再次重新下载。 这也可以为你节省一些带宽。

这可能需要一些设置,但如果你有时间和耐心,那绝对值得。 设置代理服务器可能超出了这个问题的范围,但是这里有几点让你开始:

  1. 在一台备用机器上安装Ubuntu操作系统(如果您对Linux感到满意,请获取服务器版本):

    http://www.ubuntu.com/desktop/get-ubuntu/download

  2. 通过打开terminal/控制台窗口并input以下命令,在计算机上安装squid代理服务器:

    sudo apt-get install squid

  3. 按你喜欢的方式configurationsquid,这里有一个在Ubuntu上设置它的指南。 您也可以检查鱿鱼网站的更多文件和设置帮助:

    https://help.ubuntu.com/9.04/serverguide/C/squid.html

  4. configuration您的客户端机器使用Ubuntu服务器作为他们的代理服务器访问互联网:

    http://support.microsoft.com/kb/135982

  5. 您可能想阻止路由器上的互联网访问到除代理服务器之外的所有计算机,以阻止狡猾的用户从路由器访问互联网并绕过代理服务器。

在Ubuntu上设置Squid代理服务器有很多帮助。

所有最好的,我希望你到底。

Wireshark将创build一个数据包捕获,您可以使用它来分析networkingstream量http://www.wireshark.org/

如果您需要更多地查看stream量,则可以使用filter根据大小,types等仅显示特定的stream量。

请参阅Daisetsu对软件解决scheme的回答。

由于显而易见的原因,大多数/某些国家/地区的法律要求您通知员工交通将受到监控。 但我想你已经知道了。

一个更低技术,但更less入侵的技术将视觉检查物理交换机闪烁的灯光:当networking变慢,有人可能使用了大量的带宽,所以他们的电缆LED指示灯会闪烁,相比其他人。 用28台电脑清除“无辜者”不应该花太长时间,有问题的用户可以通知他们的电脑行为不当,很快就会被你检查。

如果你不关心你的员工的隐私(他们可能会故意滥用你的带宽),他们要么签署了协议,要么本地pipe辖权允许你,你可以忽略这一步,并检查他们正在做什么,恕不另行通知, 当然。 但是除非你认为有人会让我主动伤害公司(例如违反法律,泄露信息),否则这可能会导致一个尴尬的局面(超高宽带是诱人的,网上有很多东西可以在网上下载每天,其中大部分你不应该在工作,但可能会被诱惑)。

http://www.clearfoundation.com/或http://sourceforge.net/apps/trac/ipcop/wiki

清楚的操作系统特别注意到他们的网站上的能力: http : //www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop

告诉我们更多关于您通常在电路中期望的交通types。 你有文件共享吗? 通过它访问邮箱? 通过它访问PST文件? 任何Access数据库? 本地服务器或远程服务器的用户? 还有什么我们需要知道的?

我不能相信没有人提到iptraf。