Ciao a tutti,
è da qualche tempo che mi trovo ad affrontare un problema con la rete che "gestisco", ossia sembrerebbe intasata per il 70% da traffico molto probabilmente inutile. Stiamo parlando di una rete LAN composta da circa 170 pc una 15ina di stampanti di rete altrettanti switch e qualche NAS. La mia scarsa conoscenza dei software per il controllo della rete però mi porta qui da voi a chiedere un consiglio o meglio un aiuto per capire cosa e come cercare. Ho installato e messo in funzione Wireshark il quale ha subito scansionato tutta la rete e ho salvato un file con tutto ciò che era stato acquisito fino a quel momento... il problema ora è capire cosa sto cercando perchè proprio non lo sò... cos'è che provoca l'inutile invio di pacchetti nella rete e soprattutto perchè! Spero di essere stato abbastanza completo nella spiegazione nel caso cercherò di esserlo ancor di più. Ringrazio tutti quelli che vorrano gentilmente darmi utili consigli !!

Personalmente ti consiglio MRGT con cui puoi tenere in monitor le porte degli switch e dei router via snmp.

provo a dare un occhiata per vedere di cosa si tratta... tieni conto comunque che di router ne ho solo uno in uscita dalla rete... il resto è tutto traffico interno.

Ricorda di abilitare snmp sullo/i switch.

come e' strutturata la rete?

Rete a stella... intendi questo come struttura??

struttura a stella... tipo misto con dorsali in fibra ottica ma tutto il resto in rame...switch 10/100/1000 ma anche solo 10/100 (aimè!!) server di dominio e bdc e un server wsus per aggiornamenti... non sò che altro possa esserti utile

Comincerei a cercare di capire cosa avviene sugli switch agli estremi delle dorsali, tanto per capire da dove arriva il traffico anomalo, sempre che tu non ne abbia gia' individuato sommariamente l'origine.

No Gino...
sono veramente a secco di pratica per quanto riguarda lo studio dei movimenti in rete mi sento proprio incapace... ho visto movimenti con wireshark tipo pacchetti ARP richieste broadcast con partenza stampanti di rete che non capisco... ma poi non saprei cosa altro tenere d'occhio!!!

Neanche io sono molto pratico ne aggiornato, l'ultima volta che ho avuto problemi che necessitavano di un'analisi del traffico sara' stato almeno 10 anni fa.
Cmq io fossi in te andrei prima a sistemare le periferiche che potrebbero fare questi casini. Le stampanti, per esempio, che non abbiano attive cazzate inutili. Disattiva tutti i protocolli che non servono ed elimina eventuali loro configurazioni di rete per l'accesso all'esterno.
Poi puoi cominciare a vedere qualcosa direttamente sugli switch che ti forniscono informazioni sul traffico delle varie porte.

Per analizzare il traffico basta conoscere i protocolli, se individui qualcosa che ti suona almeno strano, postalo e ne discutiamo.

ciao nuovoutente86,
una cosa che già mi suona strano ma non so se fa testo sono proprio le stampanti di rete che inviano broadcast in rete... è normale ??
Poi non so come leggere l'analisi qui sotto... sono normali queste percentuali??
http://www.sitohd.com/siti/10516/foto/111748.jpg

Grazie ...86

Dovresti specificare come hai fatto il rilevamento: da dove, cosa stava facendo il device che effettuava il rilevamento, la durata del rilevamento, giorno lavorativo o weekend.
Mi spiego: se il rilevamento e' durato 1 min durante un giorno lavorativo, allora hai problemi; se invece e' un rilevamento di 48 ore durante il weekend, e' normale. E' altrettanto importante sapere cos'altro faceva il device.

Ciao Stepvr hai ragione non sono stato molto dettagliato... allora per questo rilevamento ho predisposto una macchina dedicata è l'ho agganciata allo switch principale (centro stella?)... la tabella che ho pubblicato è il risultato di circa 2 giorni lavorativi... se ci sono altri dati che posso servire a fare chiarezza sono chiaramente a disposizione...
Grazie

Il rilevamento che hai fatto non e' molto significativo anche se risulta coerente e non mostra particolari problemi. Hai rilevato solo il traffico tra il device di rilevamento e la singola porta dello switch dove e' connesso ma in reata' essendo device dedicato ha generato pochissimo traffico UDP/TCP e in prevalenza su richiesta degli altri apparati di rete. In conclusione le percentuali sono coerenti compreso tutto il traffico UDP.
Per avere un quadro completo del traffico generato sulla rete devi agire in altro modo e con altri strumenti. Se fornisci il modello degli switch vediamo che si puo' fare.

Capisco Stepvr,
allora proverò a darti qualche informazione in più sulla struttura che "gestisco" anche se si tratta aimè di una varietà notevole di macchine di diverse tipologie marche e qualità... tieni conto in oltre che su 18 switch che ho nei diversi nodi ne ho 4 che non sono configurabili quindi non ho assegnato loro IP... marche e tipo:
- D-LINK DGS-1224T
- 3Com SuperStack 3C17701
- Allied Telesis AT-8000 series
- Intellinet 24 P + 2 Gigabit (di questi 4 sono talmente vecchi che non sono
configurabili)
I modelli intellinet tipo: 505093 sono configurabili gli altri invece no

Visto che puoi avere un sistema dedicato, ti consiglio di provare uno di questi software che sono in trial per 30gg con piena funzionalita', poi rimangono liberi con un limite sul numero di device gestibili e forse con qualche taglio di funzionalita'.
sito: http://www.manageengine.com/free-software-download.html

Il link indicato punta direttamente al riassunto prodotti ma per ognuno e' disponibile una live demo:

OpManager: se ti interessa tenere in monitor rete e sistemi
NetFlow Analyser: se ti interessa solo la rete
Altro se curiosando tra i prodotti e live demo vedi qualcosa di irresistibile (si fa per dire)

Su ogni device che vorrai tenere in monitor (compresi server e client se di interesse) dovrai abilitare il protocollo SNMP. La quantita' e qualita' dei dati dipende molto dalle capacita' dei device. Esempio: se si tratta di Cisco saprai vita, morte e miracoli, se si tratta di uno switch da supermercato saprai il minimo indispensabile.

Ciao Stepvr,
e scusa per il ritardo nella risposta ma sono stato un pò assente....
Grazie per le indicazioni... molto gentile adesso vedo di cosa si tratta e di provare qualcosa...grazie ancora

Visto che puoi avere un sistema dedicato, ti consiglio di provare uno di questi software che sono in trial per 30gg con piena funzionalita', poi rimangono liberi con un limite sul numero di device gestibili e forse con qualche taglio di funzionalita'.
sito: http://www.manageengine.com/free-software-download.html

Il link indicato punta direttamente al riassunto prodotti ma per ognuno e' disponibile una live demo:

OpManager: se ti interessa tenere in monitor rete e sistemi
NetFlow Analyser: se ti interessa solo la rete
Altro se curiosando tra i prodotti e live demo vedi qualcosa di irresistibile (si fa per dire)

Su ogni device che vorrai tenere in monitor (compresi server e client se di interesse) dovrai abilitare il protocollo SNMP. La quantita' e qualita' dei dati dipende molto dalle capacita' dei device. Esempio: se si tratta di Cisco saprai vita, morte e miracoli, se si tratta di uno switch da supermercato saprai il minimo indispensabile.

Stepvr grazie per il link è veramente ottimo OpManager è eccezionale... devo capire come configurarlo ma mi sembra che abbia 1000 funzioni e servizi... e non mi sembra l'unico programmino utile del sito....

Bene itanto grazie e spero di riuscire a utilizzarlo al meglio...

Add device: inserendo IP del device con SNMP attivo, fa tutto lui.
Nel caso in cui il programma non conoscesse il device, usera' il database MIB generico con ovvia limitazione nella qualita' e quantita' dei dati. Per avere il massimo dei dati, sempre che il costruttore lo metta a disposizione, e' possibile recuperare da internet il database MIB specifico. Poi si tratta prevalentemente di report e viste in cui puoi selezionare, ordinare e raggruppare i vari dati.

step... che tu sappia è possibile attivare SNMP attraverso GPO con Win server?? ma..? sto dando un occhiata perchè altrimenti farmi il giro di tutte le macchine la vedo dura!!!

Grazie

Tramite GPO puoi configurare il servizio SNMP ma il modulo deve essere già' presente sui client.
Non e' conveniente attivarlo su tutti i client ma solo sui computer ritenuti critici, quali server o computer e periferiche condivise. L'entita' del traffico generato in rete da ogni computer e' valutabile attraverso lo/gli switch. Solo in caso di evidenti anomalie si cerca il motivo.