MegaLab.it

Stavo cercando uno sniffer di rete con questi requisiti:
mi capita di andare da clienti che hanno una ventina - trentina di Pc collegati ad una linea internet di basso profilo, tipo 2Mbs.
Praticamente se qualcuno inizia a fare dei download, che siano in http, ftp o programmi peer-to-peer, ovviamente vanno a saturare la banda e gli altri si lamentano di lentezza anche per la sola navigazione.
Vorrei trovare uno sniffer che facesse un tabulato o meglio ancora un grafico, del traffico che sta facendo, in modo da individuare in tempo reale quale o quali Pc della rete stanno utilizzando in modo sostanzioso la banda in quel momento.
Ho provato con Wireshark e PeekEthernet, ma non ho trovato una soluzione alle mie aspettative.

Chiedevo agli esperti in materia se conoscono qualcosa del genere, ovviamente una cosa non molto complicata.

Grazie, Andrea

andrea677 ha scritto:Stavo cercando uno sniffer di rete con questi requisiti:
mi capita di andare da clienti che hanno una ventina - trentina di Pc collegati ad una linea internet di basso profilo, tipo 2Mbs.
Praticamente se qualcuno inizia a fare dei download, che siano in http, ftp o programmi peer-to-peer, ovviamente vanno a saturare la banda e gli altri si lamentano di lentezza anche per la sola navigazione.
Vorrei trovare uno sniffer che facesse un tabulato o meglio ancora un grafico, del traffico che sta facendo, in modo da individuare in tempo reale quale o quali Pc della rete stanno utilizzando in modo sostanzioso la banda in quel momento.
Ho provato con Wireshark e PeekEthernet, ma non ho trovato una soluzione alle mie aspettative.

Chiedevo agli esperti in materia se conoscono qualcosa del genere, ovviamente una cosa non molto complicata.

Grazie, Andrea

La rete di cui tu parli è wireless o lan?

Se ho capito bene dovrebbe essera qualcosa di questo tipo:

http://www.MegaLab.it/7299/network-activity-indicator

Che però segnali la fonte (il computer) da cui proviene il traffico intenso

Si, esatto. Per traffico lan, visto che in un'azienda piccola o media, normalmente hanno tutti desktop in lan.
Però appunto cercavo qualcosa che mi segnalasse che in tempo reale, quel determinato pc, con quel ip address sorgente, sta facendo un traffico esagerato, magari anche per un virus sulla singola macchina.

Andrea

Questo sembra fare al caso tuo (gratuito):

Free Real-Time AppFlow Analyzer

Grazie, provo !
Andrea

andrea677 ha scritto:Stavo cercando uno sniffer di rete con questi requisiti:
mi capita di andare da clienti che hanno una ventina - trentina di Pc collegati ad una linea internet di basso profilo, tipo 2Mbs.
Praticamente se qualcuno inizia a fare dei download, che siano in http, ftp o programmi peer-to-peer, ovviamente vanno a saturare la banda e gli altri si lamentano di lentezza anche per la sola navigazione.
Vorrei trovare uno sniffer che facesse un tabulato o meglio ancora un grafico, del traffico che sta facendo, in modo da individuare in tempo reale quale o quali Pc della rete stanno utilizzando in modo sostanzioso la banda in quel momento.
Ho provato con Wireshark e PeekEthernet, ma non ho trovato una soluzione alle mie aspettative.

Chiedevo agli esperti in materia se conoscono qualcosa del genere, ovviamente una cosa non molto complicata.

Grazie, Andrea

Con Wireshark puoi. Vai nella menu bar > Statics >I/O Graphs, e poi crea tanti filtri come quelli che vedi nello screenshot.



il limite qui sta nel n. di grafici visualizzati, non so se può essere più di 5. In caso contrario potresti pensare di raggruppare gli host in un certo numero di gruppi (5 per l'appunto), mettendo in OR la stringa precedente (ip.dst == 192.168.1.10 || ip.dst == 192.168.1.11 || ip.dst == 192.168.1.12 ecc…), monitorare il gruppo o i gruppi che generano più traffico e ripetere la prova graficando il comportamento di ciascun host separatamente.
Ovviamente se usi ip.dst monitori il traffico in ingresso, se vuoi quello in uscita usa ip.src.

La soluzione più furba secondo me è però un'altra, sempre dal menu statics > Endpoints e vedi quale tra gli host ha il n. di pacchetti (o byte) ricevuti maggiore. A quel punto ti prendi i 5 host con più traffico e ripeti la procedura di prima con I/O Graphs, perché non è detto che più traffico complessivo corrisponda a maggiore attività, magari quell'host è semplicemente connesso da molto più tempo degli altri.

Si in effetti avevo considerato di vedere nelle statistiche quale pc aveva scambiato più pacchetti dal momento in cui inizio la misurazione. Stavo facendo alcune prove però sull'aspetto della connettività fisica degli apparati.
Mi spiego: inpianto tipico è composto da router, collegato al firewall, a sua volta collegato allo switch, da qui gli utenti.
Se mi metto su una porta dello switch per monitorare tutto il traffico che ha come destinatario il firewall (gateway) penso che non si possa fare direttamente, occorrerebbe mettersi su una porta dello switch configurata in "mirroring" ma non so come si fa questa configurazione e poi dipende dai modelli di switch.
In alternativa dovrei prendere un vecchio Hub ed inserirlo tra firewall e switch, e mettere lo sniffer sempre sull'Hub. Da quel che posso capire l'Hub dovrebbe avere un solo Bus e quindi farmi vedere tutto il traffico in transito.
Solo a questo punto dovrei andare ad esaminare le statistiche di pacchetti scambiati dai client sorgenti e vedere chi fa più traffico.
In effetti come consiglia Xero (grazie) basterebbe sapere ben configurare i filtri su Wireshark: devo mettermi a provare

Intanto grazie, Andrea

andrea677 ha scritto:Si in effetti avevo considerato di vedere nelle statistiche quale pc aveva scambiato più pacchetti dal momento in cui inizio la misurazione. Stavo facendo alcune prove però sull'aspetto della connettività fisica degli apparati.
Mi spiego: inpianto tipico è composto da router, collegato al firewall, a sua volta collegato allo switch, da qui gli utenti.
Se mi metto su una porta dello switch per monitorare tutto il traffico che ha come destinatario il firewall (gateway) penso che non si possa fare direttamente, occorrerebbe mettersi su una porta dello switch configurata in "mirroring" ma non so come si fa questa configurazione e poi dipende dai modelli di switch.
In alternativa dovrei prendere un vecchio Hub ed inserirlo tra firewall e switch, e mettere lo sniffer sempre sull'Hub. Da quel che posso capire l'Hub dovrebbe avere un solo Bus e quindi farmi vedere tutto il traffico in transito.
Intanto grazie, Andrea

In effetti non avevo pensato a come avere l'accesso al canale. Gli switch commerciali non li conosco per niente, ma se fosse possibile inoltrare una copia di tutto il traffico su una determinata porta avresti risolto

La soluzione con l'Hub è la più veloce, perché come dici tu funziona da semplice "ripetitore" di segnale a livello fisico (riproducendo di fatto la topologia a bus).

Prova e fammi sapere che sono curioso

se si tratta di apparati passivi non è possibile effettuare operazioni tipo il mirroring delle porte, solo quelli che hanno una console di gestione lo consentono. QUelli attivi invece offrono anche la possibilità di monitorare il traffico che passa dalle proprie porte senza l'uso di altri programmi esterni. I Cisco per esempio usano rmon (o meglio rmon2) ma trattandosi di uno standard immagino lo abbiano anche altri apparati di categoria medio-alta
http://en.wikipedia.org/wiki/RMON

slide sull'argomento
http://www.studioreti.it/slide/SNMP-RMON_I_C.pdf

altro materiale
http://www.tcpipguide.com/free/t_TCPIPR ... ngRMON.htm

software
http://www.networkinstruments.net/products/observer.asp
http://www.freedownloadscenter.com/Netw ... t_Map.html
http://www.freedownloadscenter.com/Netw ... atNMS.html

questo in particolare è gratuito e fornito dai produttori dei noti router mikrotik (ma funziona anche con altri devices)
http://www.mikrotik.com/thedude.php

Aggiungerei LA fonte: http://tools.ietf.org/html/rfc2021

Ringrazio Al3x per l'alto saggio di professionalità ... ma per le mie capacità sei troppo avanti !

Oggi avendo un'oretta di tempo a disposizione ho fatto queste prove.
Router Cisco 877 adsl a cui ho collegato uno switch D-Link a 8 porte (quelli da negozio, quindi non professionale come Catalyst o Procurve) ed a questo ho collegato un "pc vittima" e un "pc monitor".
Sul router ho configurato l' Snmp server e sul "pc Monitor" PRTG Traffic Grapher
Dal "pc vittima" ho iniziato il download di una distro Ubuntu per creare traffico e PRTG ha iniziato a monitorare la banda
Ho quindi lanciato sia Wireshark sia Peek Ethernet come sniffer sul "pc monitor" : mi aspettavo di vedere un gran numero di pacchetti o bytes con indirizzo ip sorgente quello del "pc vittima" ma purtroppo non si vede nulla. Lo switch fa il suo lavoro creando un bus tra la porta del "pc vittima" e la porta del router, ma sulla porta del "pc monitor" non si vede nulla.

Ho poi riesumato un vecchio Hub 3Com e messo in mezzo tra router e switch e qui collegato anche qui il "pc monitor" , ovviamente lasciando il "pc vittima" sullo switch.
Ora si vede tutto il traffico in transito, gli sniffer mi dicono che il 99% del traffico è tra l' Ip address del "pc vittima" e l' Ip address del sito web da cui sto scaricando.
Il vecchio Hub basandosi su singolo bus mi permette il monitoraggio.

Direi che senza andare nei particolari, cioè esaminare se il "pc vittima" sta usando http,ftp, peer-to-peer, jdownloader o quant'altro, la prova mi è comunque servita per individuare chi stava utilizzando e saturando la banda adsl.

Saluti, Andrea