¿Necesita ayuda para determinar qué está comiendo mi connection a Internet en el trabajo

Soy el administrador de la networking de mi empresa y actualmente tenemos una connection T1 a Internet, pero sólo están recibiendo velocidades de alnetworkingedor de 150kbps hacia abajo y cerca de 1,5 Up. No estoy seguro de cómo averiguar qué máquina en mi networking podría estar haciendo algo que no debería o posiblemente tiene un virus. Tenemos cerca de 100 PCs en nuestra networking para cargar software en cada uno sería un desnudo. ¿Hay alguna herramienta de networking que pueda utilizar que me dirá qué máquina está utilizando todo el ancho de banda para que pueda ver si es posible que tenga un virus. Estoy aquí en el trabajo esta noche siendo el único aquí y la connection a Internet es terrible por lo que es por eso que estoy pensando que posiblemente tenga una computadora infectada y simplemente no se dan count.

¡Gracias!

Suena como una networking más pequeña por lo que para mantenerlo simple Yo haría un duro comprobar si realmente hay un problema interno, por ejemplo, desconectarlo por un time y conectar un único PC a la ASA – para ver si las suposiciones son correctas. Si es así, desenterrar las herramientas sugeridas – si no, el problema está fuera de su networking ^^

(esto requiere un time de inactividad, pero supongo que hay windows de mantenimiento alnetworkingedor de esto)

Necesitará una copy de su tráfico de networking saliente … y podrá utilizar herramientas como ntop ( http://www.ntop.org/ ) para supervisar el uso del ancho de banda.

darkstat debe hacer un buen trabajo de dejar que en que rápidamente y suponiendo que tiene un server de security BSD / Linux que debe ser capaz de build no hay problema.

Puesto que sólo te interesa el tráfico que transita por el T1, he aquí lo que te sugiero:

Hay un número de maneras diferentes de lograr esto pero quizás la cosa más fácil a hacer es instalar PRTG (asumiendo que usted está funcionando una cierta versión de Windows) en su estación de trabajo. En PRTG configurar un sensor de inhalación de packages. En el conmutador que su ASA conecta para configurar un monitor de puerto para reflejar tráfico en el puerto de conmutador ASA al puerto en el que se ejecuta el equipo PRTG. Esto le mostrará no sólo el volumen total de tráfico que transita por el puerto del conmutador ASA (hacia y desde el Internet a través del T1), sino que también le mostrará el volumen de tráfico basado en el protocolo, el origen y el destino. Si no sabe cómo configurar un monitor de puerto o si su conmutador no admite supervisión de puerto, puede conectar un concentrador entre el ASA y el conmutador y conectar su máquina PRTG al mismo concentrador para ver todo el tráfico que transita por el ASA.

EDITAR

Alguna información adicional basada en su comentario a mi respuesta:

Si no tiene un conmutador administrado, tendrá que utilizar un concentrador (o puede comprar un conmutador administrado barato que admita la supervisión de puertos y lo utilice en lugar de un concentrador).

Intentaré no complicar más esto. Si tiene un concentrador, haga lo siguiente: Desenchufe el cable de networking que va desde el conmutador al ASA y enchúfelo entre el conmutador y el concentrador. Luego, con otro cable de networking, enchúfelo entre el concentrador y el ASA. Básicamente, está insertando el concentrador entre el conmutador y el ASA. A continuación, conecte su computadora PRTG en el concentrador. Debido a que un hub inunda el tráfico a cada puerto, todo el tráfico que va entre el switch y el ASA será visto por PRTG que se ejecuta en la estación de trabajo. Así que aquí está un pequeño diagtwig de lo que necesita configurar:

SWITCH <———> HUB <———> ASA

ESTACIÓN DE TRABAJO <— ^

Las líneas <—> y <— ^ son conexiones de networking (cables).

El ASA puede enviar datos de flujo de networking (aunque es posible que tenga que actualizarlo primero). Puede utilizarlo con cualquier software que pueda recibir netflow (como ntop).

En un pellizco podría intentar ejecutar show conn y search algo fuera de lo común.

Apuesto a que este problema se resolvió hace mucho time, pero en caso de que alguien necesita algo similar, te sugiero que utilice un orderador portátil que ejecuta Wireshark .

Simplemente déjelo funcionar por un time para comprobar quién está consumiendo su ancho de banda. El único problema es encontrar dónde lo conecta. Si tiene un concentrador, puede conectarlo entre el enrutador y el conmutador LAN. De lo contrario podría ser un poco difícil. En un switch de Cisco tendría que configurar un puerto SPAN:

 ! Port connected to your router monitor session 1 source interface Gi0/1 ! Port connected on you laptor running Wireshark monitor session 1 destination interface Gi0/20 

SUGERENCIA: Para evitar get una gran cantidad de datos, limite cada package capturado a 96 bytes (debería ajustarlo al número más pequeño que mostraría todo el encabezado de protocolo que esté parsing) ya que no necesita conocer el contenido de su carga útil (al less en el primer análisis):

Opciones de Wireshark Capture

Luego, después de capturar una cantidad justa de datos, vaya a Statistics > Conversations , clasifique por la columna Bytes y voilà, usted captura al malo.