Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

ricerco sniffer di rete

Malfunzionamenti della LAN, suggerimenti sulla condivisione e altro legato alle reti.

ricerco sniffer di rete

Messaggioda andrea677 » ven mag 27, 2011 1:22 pm

Stavo cercando uno sniffer di rete con questi requisiti:
mi capita di andare da clienti che hanno una ventina - trentina di Pc collegati ad una linea internet di basso profilo, tipo 2Mbs.
Praticamente se qualcuno inizia a fare dei download, che siano in http, ftp o programmi peer-to-peer, ovviamente vanno a saturare la banda e gli altri si lamentano di lentezza anche per la sola navigazione.
Vorrei trovare uno sniffer che facesse un tabulato o meglio ancora un grafico, del traffico che sta facendo, in modo da individuare in tempo reale quale o quali Pc della rete stanno utilizzando in modo sostanzioso la banda in quel momento.
Ho provato con Wireshark e PeekEthernet, ma non ho trovato una soluzione alle mie aspettative.

Chiedevo agli esperti in materia se conoscono qualcosa del genere, ovviamente una cosa non molto complicata.

Grazie, Andrea
Avatar utente
andrea677
Senior Member
Senior Member
 
Messaggi: 386
Iscritto il: ven lug 06, 2007 6:59 pm

Re: ricerco sniffer di rete

Messaggioda hashcat » ven mag 27, 2011 1:29 pm

andrea677 ha scritto:Stavo cercando uno sniffer di rete con questi requisiti:
mi capita di andare da clienti che hanno una ventina - trentina di Pc collegati ad una linea internet di basso profilo, tipo 2Mbs.
Praticamente se qualcuno inizia a fare dei download, che siano in http, ftp o programmi peer-to-peer, ovviamente vanno a saturare la banda e gli altri si lamentano di lentezza anche per la sola navigazione.
Vorrei trovare uno sniffer che facesse un tabulato o meglio ancora un grafico, del traffico che sta facendo, in modo da individuare in tempo reale quale o quali Pc della rete stanno utilizzando in modo sostanzioso la banda in quel momento.
Ho provato con Wireshark e PeekEthernet, ma non ho trovato una soluzione alle mie aspettative.

Chiedevo agli esperti in materia se conoscono qualcosa del genere, ovviamente una cosa non molto complicata.

Grazie, Andrea

La rete di cui tu parli è wireless o lan?

Se ho capito bene dovrebbe essera qualcosa di questo tipo:

http://www.MegaLab.it/7299/network-activity-indicator

Che però segnali la fonte (il computer) da cui proviene il traffico intenso
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: ricerco sniffer di rete

Messaggioda andrea677 » ven mag 27, 2011 3:57 pm

Si, esatto. Per traffico lan, visto che in un'azienda piccola o media, normalmente hanno tutti desktop in lan.
Però appunto cercavo qualcosa che mi segnalasse che in tempo reale, quel determinato pc, con quel ip address sorgente, sta facendo un traffico esagerato, magari anche per un virus sulla singola macchina.

Andrea
Avatar utente
andrea677
Senior Member
Senior Member
 
Messaggi: 386
Iscritto il: ven lug 06, 2007 6:59 pm


Re: ricerco sniffer di rete

Messaggioda hashcat » dom mag 29, 2011 4:34 pm

Questo sembra fare al caso tuo (gratuito):

Free Real-Time AppFlow Analyzer
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: ricerco sniffer di rete

Messaggioda andrea677 » dom mag 29, 2011 7:44 pm

Grazie, provo !
Andrea
Avatar utente
andrea677
Senior Member
Senior Member
 
Messaggi: 386
Iscritto il: ven lug 06, 2007 6:59 pm

Re: ricerco sniffer di rete

Messaggioda Xero » mer giu 01, 2011 6:04 pm

andrea677 ha scritto:Stavo cercando uno sniffer di rete con questi requisiti:
mi capita di andare da clienti che hanno una ventina - trentina di Pc collegati ad una linea internet di basso profilo, tipo 2Mbs.
Praticamente se qualcuno inizia a fare dei download, che siano in http, ftp o programmi peer-to-peer, ovviamente vanno a saturare la banda e gli altri si lamentano di lentezza anche per la sola navigazione.
Vorrei trovare uno sniffer che facesse un tabulato o meglio ancora un grafico, del traffico che sta facendo, in modo da individuare in tempo reale quale o quali Pc della rete stanno utilizzando in modo sostanzioso la banda in quel momento.
Ho provato con Wireshark e PeekEthernet, ma non ho trovato una soluzione alle mie aspettative.

Chiedevo agli esperti in materia se conoscono qualcosa del genere, ovviamente una cosa non molto complicata.

Grazie, Andrea


Con Wireshark puoi. Vai nella menu bar > Statics >I/O Graphs, e poi crea tanti filtri come quelli che vedi nello screenshot.

Immagine

il limite qui sta nel n. di grafici visualizzati, non so se può essere più di 5. In caso contrario potresti pensare di raggruppare gli host in un certo numero di gruppi (5 per l'appunto), mettendo in OR la stringa precedente (ip.dst == 192.168.1.10 || ip.dst == 192.168.1.11 || ip.dst == 192.168.1.12 ecc…), monitorare il gruppo o i gruppi che generano più traffico e ripetere la prova graficando il comportamento di ciascun host separatamente.
Ovviamente se usi ip.dst monitori il traffico in ingresso, se vuoi quello in uscita usa ip.src.

La soluzione più furba secondo me è però un'altra, sempre dal menu statics > Endpoints e vedi quale tra gli host ha il n. di pacchetti (o byte) ricevuti maggiore. A quel punto ti prendi i 5 host con più traffico e ripeti la procedura di prima con I/O Graphs, perché non è detto che più traffico complessivo corrisponda a maggiore attività, magari quell'host è semplicemente connesso da molto più tempo degli altri.

Immagine
twitter → http://twitter.com/Maurizio_D

«L'innovazione è una questione di priscio.» A. D'elia
Avatar utente
Xero
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5145
Iscritto il: mar giu 27, 2006 8:37 pm
Località: Provincia Di Matera / Bari

Re: ricerco sniffer di rete

Messaggioda andrea677 » gio giu 02, 2011 8:28 am

Si in effetti avevo considerato di vedere nelle statistiche quale pc aveva scambiato più pacchetti dal momento in cui inizio la misurazione. Stavo facendo alcune prove però sull'aspetto della connettività fisica degli apparati.
Mi spiego: inpianto tipico è composto da router, collegato al firewall, a sua volta collegato allo switch, da qui gli utenti.
Se mi metto su una porta dello switch per monitorare tutto il traffico che ha come destinatario il firewall (gateway) penso che non si possa fare direttamente, occorrerebbe mettersi su una porta dello switch configurata in "mirroring" ma non so come si fa questa configurazione e poi dipende dai modelli di switch.
In alternativa dovrei prendere un vecchio Hub ed inserirlo tra firewall e switch, e mettere lo sniffer sempre sull'Hub. Da quel che posso capire l'Hub dovrebbe avere un solo Bus e quindi farmi vedere tutto il traffico in transito.
Solo a questo punto dovrei andare ad esaminare le statistiche di pacchetti scambiati dai client sorgenti e vedere chi fa più traffico.
In effetti come consiglia Xero (grazie) basterebbe sapere ben configurare i filtri su Wireshark: devo mettermi a provare

Intanto grazie, Andrea
Avatar utente
andrea677
Senior Member
Senior Member
 
Messaggi: 386
Iscritto il: ven lug 06, 2007 6:59 pm

Re: ricerco sniffer di rete

Messaggioda Xero » gio giu 02, 2011 9:12 am

andrea677 ha scritto:Si in effetti avevo considerato di vedere nelle statistiche quale pc aveva scambiato più pacchetti dal momento in cui inizio la misurazione. Stavo facendo alcune prove però sull'aspetto della connettività fisica degli apparati.
Mi spiego: inpianto tipico è composto da router, collegato al firewall, a sua volta collegato allo switch, da qui gli utenti.
Se mi metto su una porta dello switch per monitorare tutto il traffico che ha come destinatario il firewall (gateway) penso che non si possa fare direttamente, occorrerebbe mettersi su una porta dello switch configurata in "mirroring" ma non so come si fa questa configurazione e poi dipende dai modelli di switch.
In alternativa dovrei prendere un vecchio Hub ed inserirlo tra firewall e switch, e mettere lo sniffer sempre sull'Hub. Da quel che posso capire l'Hub dovrebbe avere un solo Bus e quindi farmi vedere tutto il traffico in transito.
Intanto grazie, Andrea


In effetti non avevo pensato a come avere l'accesso al canale. Gli switch commerciali non li conosco per niente, ma se fosse possibile inoltrare una copia di tutto il traffico su una determinata porta avresti risolto [uhm]

La soluzione con l'Hub è la più veloce, perché come dici tu funziona da semplice "ripetitore" di segnale a livello fisico (riproducendo di fatto la topologia a bus).

Prova e fammi sapere che sono curioso [std]
twitter → http://twitter.com/Maurizio_D

«L'innovazione è una questione di priscio.» A. D'elia
Avatar utente
Xero
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5145
Iscritto il: mar giu 27, 2006 8:37 pm
Località: Provincia Di Matera / Bari

Re: ricerco sniffer di rete

Messaggioda Al3x » gio giu 02, 2011 9:49 am

se si tratta di apparati passivi non è possibile effettuare operazioni tipo il mirroring delle porte, solo quelli che hanno una console di gestione lo consentono. QUelli attivi invece offrono anche la possibilità di monitorare il traffico che passa dalle proprie porte senza l'uso di altri programmi esterni. I Cisco per esempio usano rmon (o meglio rmon2) ma trattandosi di uno standard immagino lo abbiano anche altri apparati di categoria medio-alta
http://en.wikipedia.org/wiki/RMON

slide sull'argomento
http://www.studioreti.it/slide/SNMP-RMON_I_C.pdf

altro materiale
http://www.tcpipguide.com/free/t_TCPIPR ... ngRMON.htm

software
http://www.networkinstruments.net/products/observer.asp
http://www.freedownloadscenter.com/Netw ... t_Map.html
http://www.freedownloadscenter.com/Netw ... atNMS.html

questo in particolare è gratuito e fornito dai produttori dei noti router mikrotik (ma funziona anche con altri devices)
http://www.mikrotik.com/thedude.php
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7411
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: ricerco sniffer di rete

Messaggioda Xero » ven giu 03, 2011 12:35 pm

[applauso+]

Aggiungerei LA fonte: http://tools.ietf.org/html/rfc2021
twitter → http://twitter.com/Maurizio_D

«L'innovazione è una questione di priscio.» A. D'elia
Avatar utente
Xero
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5145
Iscritto il: mar giu 27, 2006 8:37 pm
Località: Provincia Di Matera / Bari

Re: ricerco sniffer di rete

Messaggioda andrea677 » ven giu 03, 2011 3:05 pm

Ringrazio Al3x per l'alto saggio di professionalità ... ma per le mie capacità sei troppo avanti !

Oggi avendo un'oretta di tempo a disposizione ho fatto queste prove.
Router Cisco 877 adsl a cui ho collegato uno switch D-Link a 8 porte (quelli da negozio, quindi non professionale come Catalyst o Procurve) ed a questo ho collegato un "pc vittima" e un "pc monitor".
Sul router ho configurato l' Snmp server e sul "pc Monitor" PRTG Traffic Grapher
Dal "pc vittima" ho iniziato il download di una distro Ubuntu per creare traffico e PRTG ha iniziato a monitorare la banda
Ho quindi lanciato sia Wireshark sia Peek Ethernet come sniffer sul "pc monitor" : mi aspettavo di vedere un gran numero di pacchetti o bytes con indirizzo ip sorgente quello del "pc vittima" ma purtroppo non si vede nulla. Lo switch fa il suo lavoro creando un bus tra la porta del "pc vittima" e la porta del router, ma sulla porta del "pc monitor" non si vede nulla.

Ho poi riesumato un vecchio Hub 3Com e messo in mezzo tra router e switch e qui collegato anche qui il "pc monitor" , ovviamente lasciando il "pc vittima" sullo switch.
Ora si vede tutto il traffico in transito, gli sniffer mi dicono che il 99% del traffico è tra l' Ip address del "pc vittima" e l' Ip address del sito web da cui sto scaricando.
Il vecchio Hub basandosi su singolo bus mi permette il monitoraggio.

Direi che senza andare nei particolari, cioè esaminare se il "pc vittima" sta usando http,ftp, peer-to-peer, jdownloader o quant'altro, la prova mi è comunque servita per individuare chi stava utilizzando e saturando la banda adsl.

Saluti, Andrea
Avatar utente
andrea677
Senior Member
Senior Member
 
Messaggi: 386
Iscritto il: ven lug 06, 2007 6:59 pm


Torna a Reti e Internet

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising