Quem está usando nossa largura de banda?

16

Pude ver pelas estatísticas do nosso provedor de Internet que uma grande quantidade de largura de banda está sendo usada ao longo do dia, suspeito que seja alguém usando nosso roteador sem fio, embora eu não seja definitivo. Todos os nossos PCs executam vários tipos de janelas. Existem utilitários / sniffers que eu posso usar para detectar para onde está indo a largura de banda?

networking bandwidth wifi MrTelly
fonte
13
você está me dizendo que eu deveria esperar pelo networkloadfault.com? Eita, me dê um tempo já.
1174 MrTelly
BTW, nossa conexão sem fio é segura, é alguém que sabemos que está usando a largura de banda, nós simplesmente não sabemos quem é, pois tudo o que sabemos é legítimo de qualquer maneira, só precisamos saber a quem perguntar e saber que não acho que seja spam. empresa inteira é a resposta.
10119 MrTelly
7
Não precisa ser uma questão de servidor, mas sim uma questão de administrador de sistema - o que claramente é.
Você poderia fornecer sua marca e modelo sem fio? É mais fácil recomendar o que você pergunta se esses detalhes são conhecidos.
Sua configuração de rede seria uma informação altamente útil para isso. Não tenho certeza se essa é uma configuração de casa ou escritório, mas se é um negócio e seu roteador / firewall / controlador sem fio suporta dados IPFIX / Netflow, você pode ver todas as conversas.
Sclarson 12/05/09

Respostas:

15

Você pode instalar um PC em um hub (ou switch gerenciado que emule um hub) com o roteador e usar o Wireshark para capturar todo o tráfego. A partir daqui, você pode obter algumas métricas úteis para indicar seus consumidores de largura de banda.


fonte
Esse pode ser um desempenho decentemente dramático em uma rede corporativa.
Sclarson
13

Além da resposta de Jon B, também usei o ntop para ter uma boa idéia de para onde o tráfego está indo. Baixei um dispositivo virtual para facilitar a configuração.

Joseph
fonte
Apenas um aviso de toras de madeira se acumulam rapidamente.
reconbota
Você também pode usar o ntop para exportar fluxos de rede para uso em log. ntop.org/netflow.html Você também pode obter dados de netflow Tomato ou m0n0wall.
Sclarson
2

Você pode nos fornecer mais detalhes sobre sua configuração de rede? Eu posso propor duas abordagens diferentes:

  1. Dependendo do tipo de dispositivo sem fio que você possui, você poderá usar um aplicativo de gerenciamento de rede que use o SNMP para obter estatísticas do AP. A maioria dos pontos de acesso corporativos terá uma tabela MIB que rastreia a lista de clientes associados, sua qualidade de sinal e o número de bytes usados. Da mesma forma, seu roteador pode ter um MIB que rastreia o tráfego por endereço IP.

  2. Você pode usar um sniffer de tráfego com fio (wireshark, etherpeek) para assistir ao tráfego. Essas ferramentas geralmente podem oferecer uma análise detalhada do tráfego por usuário. Você precisaria farejar o tráfego antes que ele atinja seu roteador (se o seu roteador fizer NAT). Você pode usar um hub (embora esses sejam realmente difíceis de encontrar hoje em dia) ou ativar o espelhamento de porta em um switch gerenciado. Você também pode usar um sniffer sem fio, mas se a rede estiver criptografada, você terá uma idéia do volume de tráfego de cada usuário, e não de onde o tráfego é destinado.

Jason Luther
fonte
2

Dependendo da marca e do modelo do ponto de acesso / chave sem fio que você está usando, o Tomato pode ser exatamente o que você procura. Ele fornece um bom monitor de largura de banda , entre outras coisas.

Além disso, um pouco caro , mas parece que faria o que você quer também.


fonte
Adoro o Tomato e o uso há vários anos, mas acho que não faz isso por monitoramento de largura de banda do cliente. Estou errado?
1330 Gareth
Ainda não, nesse nível, de fato. Está chegando embora. No entanto, o atual monitoramento da largura de banda fornecerá medidas e o tempo associado a ele. Identificar um subconjunto específico de usuários deve ser mais fácil com a faixa de tempo / hora. Foi por isso que eu pedi originalmente a marca e o modelo do ponto de acesso ou switch sem fio. A Cisco possui pacotes de gerenciamento e monitoramento muito bons, mas eles funcionam apenas com o hardware.
1

Seu roteador provavelmente tem uma maneira de mostrar quais clientes estão conectados por ele, possivelmente como clientes DHCP. Isso identificaria quem está se conectando ao seu roteador sem fio, embora não indique necessariamente quem está usando sua largura de banda.

CoverosGene
fonte
11
Você está certo, ele me diz quem, mas não quanto
MrTelly 12/09/09
E usuários não autorizados não podem usar o DHCP, mas simplesmente escolhem um endereço IP não utilizado. Melhor consultar o roteador quanto à sua tabela ARP, isso seria mais difícil de forjar.
Bortzmeyer
1

Se você ainda não é, eu recomendo um programa como o Cacti (que pode ser usado em conjunto com ntop) para obter as estatísticas de tráfego de seus comutadores (e, esperançosamente, dos seus WAPs). Isso pode ajudá-lo a identificar quando e onde o tráfego é originário.

Além disso, ele também fornece uma boa idéia do fluxo de tráfego - e as anomalias no tráfego tendem a se destacar nos gráficos um pouco mais do que apenas navegar nos logs.

Chealion
fonte
1

Se o seu roteador suportar, você poderá ativar o monitoramento de fluxo de rede. Os fluxos mostram exatamente o que você está procurando.

jj33
fonte
0

A maioria dos roteadores sem fio registra MACs das placas WiFi conectadas, muitos também permitem monitorar quem está realmente conectado. Quanto à detecção de WiFi, a ferramenta padrão é o Kismet.

"Alguém" se refere a alguém que não está autorizado a usá-lo, quem está sequestrando seu sinal?

Para proteger seu WiFi, você deve seguir os seguintes passos:

  1. deter o script kiddies (não funcionará contra drivers de trabalho experientes):

    • Desligue a transmissão SSID
    • Limitar a conexão apenas à lista de MACs fornecida
    • Limite o DHCP apenas para MAC estático -> atribuições de IP

  2. use WPA2 (com EAP-PSK, use senha aleatória).

  3. para uma verdadeira segurança grave, use o WPA2 com o servidor de autenticação 802.1X.

vartec
fonte
A falsificação de MAC (# 2.2 e meio que # 2.3) NUNCA deve ser confiada, e na realidade não vale o tempo, eu hackeei muitas redes WIFI com ela ativada (puramente educacional, garanto) que a habilitou. Até a maioria das crianças de script sabe sobre essa causa, que é publicada em todo site / fórum de hackers WIFI. Definitivamente ir WPA2 + Radius Server ( "servidor de autenticação 802.1X"), este é, pela minha experiência, a única forma verdadeira de segurança, WEP e WPA ter sido batida
Unkwntech
Eu "hackeei" muitas redes WiFi escolhendo "conectar automaticamente a qualquer rede disponível". É verdade que o WPA2 é a única maneira segura, mas que pode estar indisponível, devido ao hardware legado. Um script-kiddie, procurando um passeio gratuito, escolherá uma rede desprotegida, e não uma fracamente protegida.
Vartec 13/05/09