Задачка на анализ трафика

1

1

Кто хорошо умеет пользоваться Wireshark? Вобщем задача такая. Есть некоторое количество клиентов, подключённых к Интернету через маршрутизатор. Между собой они не общаются, однако активно передают и скачивают информацию из Интернета. MAC-адрес маршрутизатора, например 1c:bd:b9:e3:30:ef. Насколько я понимаю все приходящие ethernet-кадры должны иметь source-адрес 1c:bd:b9:e3:30:ef, кадры с другим адресом можно считать побочным трафиком. Задача, выяснить нет ли среди побочного трафика «мусора», не забивает ли он канал и откуда вообще сыпется. Вот я открываю Wireshark, говорю слушать интерфейс eth0, ставлю фильтр «eth.src != 1c:bd:b9:e3:30:ef» и нажимаю зелёную кнопку. Дальше что? Как это анализировать?

Ссылка

←	Nvidia 870m греется в нерабочем состояни

Audacity некорректно отображает кнопки в окне программы (Fedora 24, GNOME)

→

Где ты дампишь трафик и «приходящие» куда кадры имеются в виду?

zolden ★★★★★
(06.09.16 09:13:27 MSK)

Ответ на: комментарий от zolden 06.09.16 09:13:27 MSK

На клиенте

sunny1983 ★★★★★
(06.09.16 09:15:26 MSK) автор топика

Ответ на: комментарий от sunny1983 06.09.16 09:15:26 MSK

Нарисуй схему/топологию сети, а то пока не очень понятно откуда может взяться трафик не от маршрутизатора

zolden ★★★★★
(06.09.16 10:54:45 MSK)

Ответ на: комментарий от zolden 06.09.16 10:54:45 MSK

Нарисуй схему/топологию сети, а то пока не очень понятно откуда может взяться трафик не от маршрутизатора

Если бы знал откуда берётся паразитный трафик я бы этот вопрос не задавал. Я же взялся дампить трафик как раз для того чтобы понять откуда это идёт. Предположений много. Я написал, что через маршрутизатор подключен не один, а несколько клиентов, но это я так написал, а если вдаваться в подробности (ё-моё, ты уже двадцатый кому мне приходится объяснять предысторию вопроса) то там целая система управляемых коммутаторов, подключённых по топологии «дерево».
http://i84.fastpic.ru/big/2016/0902/6c/dd4d3601dc6625194efab9d54e27fc6c.jpg
Схему привожу, но там маршрутизатор не указал, схема нарисована до корневого коммутатора, к маршрутизатору подключен непосредственно он.
Трафик не от маршрутизатора это:

широковещательные ARP-запросы
широковещательные DHCP-запрсы
samba-трафик, который возникает сам по себе, если samba на каких-то клиентах не выключен
работающие на каких-то из клиентах сканирующие программы, в том числе вредоносные
мультикаст, который из-за неверной настройки какого-нибудь коммутатора сыпется на все порты
широковещательный шторм, вызваный неисправностью какого-либо коммутатора

Возможны другие.

sunny1983 ★★★★★
(06.09.16 12:12:36 MSK) автор топика
Последнее исправление: sunny1983 06.09.16 12:15:25 MSK (всего исправлений: 3)

Ответ на: комментарий от sunny1983 06.09.16 12:12:36 MSK

В таких неясных условиях анализ делается только последовательным наложением фильтров, другого пути нет.
Идёшь последовательно пакет за пакетом и исключаешь понятное/ненужное.
Если интересует наглядная картина в динамике, то удобно использовать Statistics-I/O Graph
Там накладываешь фильтры по адресам/портам, раскрашиваешь их в разные цвета и ловишь пики, постепенно уточняя/расширяя фильтры

zolden ★★★★★
(06.09.16 15:53:53 MSK)

Ответ на: комментарий от zolden 06.09.16 15:53:53 MSK

Вот я после нескольких минут слушанья трафика открыл Statistics-I/O Graph. И как этот граф раскрасить?

sunny1983 ★★★★★
(06.09.16 17:18:08 MSK) автор топика

Ответ на: комментарий от sunny1983 06.09.16 17:18:08 MSK

Внизу слева есть кнопка +
По ней добавляются строки
В каждой можно настроить отдельный фильтр и цвет

zolden ★★★★★
(06.09.16 18:21:25 MSK)

Ответ на: комментарий от zolden 06.09.16 18:21:25 MSK

А мультикаст-трафик как обнаруживается? Так как и у броадкаста адрес ffffffffffff?

sunny1983 ★★★★★
(06.09.16 18:45:14 MSK) автор топика

Ответ на: комментарий от sunny1983 06.09.16 18:45:14 MSK

Мультикаст особо не дебажил, гугл подсказывает такой вариант

По вайршарку рекомендую ещё вот эти ролики, особенно 4й ролик мне открыл глаза когда-то

zolden ★★★★★
(06.09.16 18:54:14 MSK)

Ответ на: комментарий от zolden 06.09.16 18:54:14 MSK

Мультикаст дебажить оказалось ненужным, потому как, поработав с фильтрами, я сделал выводы что весь трафик - это tcp-трафик, причём в основном это 80 порт. Я так понимаю - это означает, что мусорного трафика в сети нет. Я его пытался найти потому что у нас ежедневно лагает сеть по вечерам. Значит нужно искать другую причину.

sunny1983 ★★★★★
(07.09.16 12:01:23 MSK) автор топика