Наблюдение за сетью

Afaik можно сниффать и считать пакеты от каждого ip.

Настрой traffic shaping для канала, чтобы спать спокойно.

Afaik можно сниффать и считать пакеты от каждого ip.

Сервер сбора статистики по логам сниффинга писать самому или всё же уже что-то есть?

Настрой traffic shaping для канала, чтобы спать спокойно.

Немного предыстории: компы с виндой стоят у важных лиц: директора, бухгалтера, зам. директора. Есть щё всякие ноутбуки с семёркой. Комп директора недавно заразился, от него пошло заражение на все компы. Каспер на сервере пишет про сетевые атаки со всех win-компов. Вы понимаете, куда я грешу. Но шейпинг на канал директора или зам директора равносильно самоубийству.
На самом деле, легче найти проблему и ткнуть в неё пальцем, нежели пытаться объяснить, зачем я скорость ограничил.

Win2003 Server

1С штоле? Тогда я сразу тебе скажу, кто сеть забил, у самого такое было. Также само отпало.

А чем 1С виновата может быть? У нас она локально на серваке стоит и работают с ней в терминальном режиме.

Она с клиентами не общается?

Не-а, никак.. Чисто терминал. Разве что HASP стоит на другом компе, отделённом етим длинным каналом.

Ну, тогда предлагаю выборочно запускать tcpdump на разных компах при проблемах, как только увидишь непонятные пакеты, отключай сеть тому, кто отправил, и тому, кому было адресовано. Варварский, конечно метод, но проблему локализуешь.

Спасибо! Общую мыслю понял :) Под каждого клиента надо написать сборщик пакетов, а потом централизованный сбор статистики. Чувствую, отдельным проектом попахивает :)

abr_linux> Но шейпинг на канал директора или зам директора равносильно самоубийству.

Ты плохо понимаешь что такое traffic shaping. Почему сразу урезание? Первоочередная задача шейпинга, не ограничить, а гарантировать работу всех протоколов, в соответствии с приоритетами.

Ты плохо понимаешь что такое traffic shaping

Википедия, значит, тоже плохо знает. Есть ли какие-нть ссылки на почитать?

О! А что ж вы мне про zabbix не рассказали..

В общем, нашёл тут список систем мониторинга сети, выберу какое-нть кроссплатформенное и лёгкое решение :) Всем спасибо за идеи :)

Сам я в таких случаях iftop'ом смотрю, но это если есть место откуда он сможет всех увидеть. А так вобще поставь себе какой-нибудь шейпер/проксю/шлюз и можно без урезания канала и прочих пакостей - просто пропусти через них весь трафик и тогда тот же iftop тебе все динамически будет рассказывать.

Дак эта... Статистику по трафику снимай со свитчей. mrtg хотя-б

А что этот самый mrtg даст? На каком свиче сколько трафика идет - насколько понимаю в данной ситуации не это надо, а понять кто конкретно трафик гонит ;)

А так вобще поставь себе какой-нибудь шейпер/проксю/шлюз и можно без урезания канала и прочих пакостей

Довольно сложно - большой географический разнос между компами + перераспределить сеть так, чтобы лилось через один шлюз довольно сложно будет. Да и с учётом того, что у нас терминальный доступ с нескольких десятков машин + IP-камеры.. Не знаю, какой там шлюз должен будет потянуть ;) Централизованный сбор разрозненной статистики мне больше нравится.

На каком свиче сколько трафика идет - насколько понимаю в данной ситуации не это надо, а понять кто конкретно трафик гонит

Если брать заголовки пакетов с адресами источника и назначения, то идея не такая уж и плохая

А вобще я уже cacti установил. Правда, пока не могу понять, почему он не даёт статистику по трафику собирать. CPU Usage, Load Average и Memory Usage - пожалуйста, а с сетью что-то пока никак.

Так. Подожди. Ты говоришь что у тебя проблема с конкретным каналом, который соединяет 2 офиса, так? Тебе надо понять какая пакость этот канал заси^Wзабивает, так? Тогда, как я и сказал - пропускаешь весь трафик этого канала через какую-нибудь машину, без каких-либо преобразований (!) и абсолютно прозрачно (!), особых мощей это не потребует, но зато на этой машине ты сможешь увидеть через iftop кто, куда и сколько.

Я правильно тебя понял? Я понятно объяснил свою точку зрения?

З.Ы. А если тебе надобно статистику по всей сети, то тогда тебе надо ее забирать с тех точек, где происходит убиение данных об источнике/получателе (наты и прочая пакость) и сливать их в одну кучу, а это уже задачка куда повеселее.

Свою точку ты зрения объяснил, я тебя теперь понял. ;) При возможности машину на канал поставлю.
А так я мысль дальше развиваю, я в первом топике также спросил и про статистику всей сети.
ЗЫ. На самом деле, в моей ситуации даже не знаю, что легче: поставить везде снифферы трафика и собирать статистику, либо поставить машину на мой бедный канал. Поетому, воспользуюсь первым доступным из способов.

По статистике кури mrtg и подобные вещи - они помогают. Если сеть размазана географически, то в точках «концентрации» можно поставить такие вот прозрачные шлюзы и с них уже забирать статистику в какой-нибудь центр. А вобще все зависит от конкретной архитектуры, умности используемого оборудования, необходимого уровня детализации статистики и т.п. так что тут уже только направления указывать.

Ты ведь со свитча можешь снимать статистику трафика по каждому порту в отдельности, а не только по свитчу в целом. Вот тебе и будет показывать, кто трафиком канал забивает.

А пропускать весь трафик без острой необходимости через отдельный маршрутизатор только ради сбора статистики - идея не очень то плодотворная. Правильнее было бы на свитче зеркалировать трафик нужного порта на отдельный порт и там его анализировать.

довольно тонок - две витые пары, 300 метров, скорость гигабитная

А вообще-то может быть тебе лучше проложить оптику 10Гбит и забыть о проблеме на несколько лет?

А ты где? У нас тут сеть следит за тобой!