Analizzare traffico in uscita in reti lan

[Desmond75]

Ciao a tutti, ho un problemino da risolvere.

Mi trovo all'interno di una rete aziendale LAN, e dai log di sistema mi risulta un notevole traffico in uscita, ma non riesco a capire quale PC me lo genera.

Esistono programmini in grado di monitorare la rete e potermi aiutare?

Thx a tutti.
Ciao

[12pippopluto34]

Quote:

Originariamente inviato da Desmond75

Ciao a tutti, ho un problemino da risolvere.

Mi trovo all'interno di una rete aziendale LAN, e dai log di sistema mi risulta un notevole traffico in uscita, ma non riesco a capire quale PC me lo genera.

Esistono programmini in grado di monitorare la rete e potermi aiutare?

Thx a tutti.
Ciao

AFAIR sui vari Win2K/XP/2K3 basta installare il protocollo ''Driver Network Monitor'', che rende possibile fare cio' che t'interessa.

Comunque se invece preferisci sw di terze parti, ce ne sono di ottimi, anzi forse sono i migliori, pescando nel mondo Open Source (che in questo campo e' estremamente prolifico!).
Ti segnalo questo:
Ethereal - The world's most popular network protocol analyzer; si commenta da solo!

Attenzione!
Per farlo funzionare devi installare prima il pacchetto WinPcap per lo sniffing della rete.

[CH1CC0]

Beh, potendo salire sui router, sicuramente hai qualche tool che ti dice chi sta facendo traffico.

Volendo guardare dal pc, puoi installare un programmino di tipo sniffer per vedere chi è che "parla troppo".

Tra i vari programmi che puoi trovare, consiglio ethereal (freeware e non troppo complicato) oppure Sniffer di NAI (a pagamento, ma semplice e abbastanza completo)

[12pippopluto34]

Quote:

Originariamente inviato da CH1CC0

[cut]

Tra i vari programmi che puoi trovare, consiglio ethereal (freeware e non troppo complicato)

[cut]

Aaaarghh!!!

Free Software, ovvero Software Libero, non freeware!

[Desmond75]

Grazie per gli aiuti, ora provo i programmi e vi faccio sapere.

La situazione sta così (giusto per chiarire le idee): Ho un router principale, un netgear GD814, poi ho un cubo che mi fà da server WEB, con istallato linux (che per mia tremenda sfortuna non conosco) e una sottospecie di applicazione che mi fa gestione della posta, dei vari blocchi internet ecc... ecc..
A questo punto qualche report su quello che succede ce l'ho, ma non sono report sintetici sono papiri e papiri di roba che non sò decifrare.
Se conoscete qualche metodo per poter controllare la cosa a livello di router ditemelo, farei molto prima.
A questo punto il cubo si allaccia alla LAN ed è lui che permette l'accesso ad internet.
Ora uno dei PC in lan mi genera un traffico che non dovrebbe generare.

Cmq. ora provo con i programmi che mi avete consigliato.
Grazie a tutti.

[12pippopluto34]

Quote:

Originariamente inviato da Desmond75

[cut]

Se conoscete qualche metodo per poter controllare la cosa a livello di router ditemelo, farei molto prima.

...beh!
Dipende dal modello del router; cerca il manuale online se non ce l'hai disponibile e guarda se possiede qualcosa che faccia al caso.

Quote:

A questo punto il cubo si allaccia alla LAN ed è lui che permette l'accesso ad internet.

Bingo!
Se solo tu conoscessi Linux e potresti mettere le mani sopra tale macchina, saresti a cavallo.
In quanto, se non suppongo male, credo che tale dispositivo ti faccia, oltre che da gateway, anche da firewall, proxy web, ecc...
Quindi per la sicurezza ci dovrebbe essere gia' tutto, o al limite ce lo puoi mettere tu, previa cognizione di causa, ovviamente!

Quote:

Ora uno dei PC in lan mi genera un traffico che non dovrebbe generare.

Beh, se hai individuato la macchina incriminata, hai gia' detto tutto.
Prendine possesso e controlla che non abbia sw P2P installati, che non sia infettata da qualche worm/trojan/spyware, ecc...

Quote:

Cmq. ora provo con i programmi che mi avete consigliato.
Grazie a tutti.

Fai pure!
Sono veramente una manna, se utilizzati correttamente!

[Desmond75]

Quote:

Originariamente inviato da 12pippopluto34

...beh!
Dipende dal modello del router; cerca il manuale online se non ce l'hai disponibile e guarda se possiede qualcosa che faccia al caso.

Il manuale ce l'ho, ma non segnala nulla riguardo a reportistica, solo configurazione di funzionamento, cmq. provo a cercare in internet se trovo qualcosa.

Quote:

Originariamente inviato da 12pippopluto34

Bingo!
Se solo tu conoscessi Linux e potresti mettere le mani sopra tale macchina, saresti a cavallo.
In quanto, se non suppongo male, credo che tale dispositivo ti faccia, oltre che da gateway, anche da firewall, proxy web, ecc...
Quindi per la sicurezza ci dovrebbe essere gia' tutto, o al limite ce lo puoi mettere tu, previa cognizione di causa, ovviamente!

Le mani sulla macchina ce le posso mettere, ne ho il pieno controllo e suppuni bene in quanto il dispositivo fà da tutto quello che hai elencato più qualcosa in +, però non sò assolutamente nulla di Linux è qui la fregatura.
Ho un interfaccia web che mi permette di modificare e configurare le impostazioni, ho anche un una sezione di reportistica ma i risultati che propone sono molto lunghi e non sò neanche esattamente le voci di filtro che cosa filtrano, coloro i quali me l'hanno installata dichiarano che non si può ricavare le informazioni che voglio da suddetti report se non facendo un lavoro certosino di spulciare i singoli report. BHA.......

Quote:

Originariamente inviato da 12pippopluto34

Beh, se hai individuato la macchina incriminata, hai gia' detto tutto.
Prendine possesso e controlla che non abbia sw P2P installati, che non sia infettata da qualche worm/trojan/spyware, ecc...

La macchina non l'ho ancora individuata, sono quasi sicuro che qualcuno sta usando P2P, ma non sò chi esattamente.
Sto usando in questo momento Ethereal, ma non capisco bene i risultati che mi dà.
Io faccio così, lancio il capture dal mio pc e lo lascio aperto per circa 5 min buoni.
Poi il programma mi fornisce una serie di indirizzi di partenza e una serie di indirizzi di destinazione, come faccio a riconoscere il normale traffico internet dal traffico P2P?
E come faccio a sapere quale è in uscita e quale in entrata?

grazie a tutti per l'aiuto

[KEIJI MAEDA]

Ciao ragazzi, quello che cerco io è un programma che mi dia da un lato i singoli indirizzi ip e da un altro la banda in upload e download in tempo reale che occupano attraverso una data interfaccia ( ad esempio l' indirizzo ip del router ).

[Stev-O]

Quote:

Originariamente inviato da Desmond75

Il manuale ce l'ho, ma non segnala nulla riguardo a reportistica, solo configurazione di funzionamento, cmq. provo a cercare in internet se trovo qualcosa.


Le mani sulla macchina ce le posso mettere, ne ho il pieno controllo e suppuni bene in quanto il dispositivo fà da tutto quello che hai elencato più qualcosa in +, però non sò assolutamente nulla di Linux è qui la fregatura.
Ho un interfaccia web che mi permette di modificare e configurare le impostazioni, ho anche un una sezione di reportistica ma i risultati che propone sono molto lunghi e non sò neanche esattamente le voci di filtro che cosa filtrano, coloro i quali me l'hanno installata dichiarano che non si può ricavare le informazioni che voglio da suddetti report se non facendo un lavoro certosino di spulciare i singoli report. BHA.......



La macchina non l'ho ancora individuata, sono quasi sicuro che qualcuno sta usando P2P, ma non sò chi esattamente.
Sto usando in questo momento Ethereal, ma non capisco bene i risultati che mi dà.
Io faccio così, lancio il capture dal mio pc e lo lascio aperto per circa 5 min buoni.
Poi il programma mi fornisce una serie di indirizzi di partenza e una serie di indirizzi di destinazione, come faccio a riconoscere il normale traffico internet dal traffico P2P?
E come faccio a sapere quale è in uscita e quale in entrata?

grazie a tutti per l'aiuto

è un traffico che di solito avviene su porte alte per esempi la 4462 e 4472, ma non è detto: per bloccare il p2p basta chiudere tutte le porte in entrata e tutte le porte in uscita ad eccezione di quelle basilari: 80, 53, 21, 23, 443, 103, 100

[Stev-O]

Quote:

Originariamente inviato da 12pippopluto34

AFAIR sui vari Win2K/XP/2K3 basta installare il protocollo ''Driver Network Monitor'', che rende possibile fare cio' che t'interessa.

Comunque se invece preferisci sw di terze parti, ce ne sono di ottimi, anzi forse sono i migliori, pescando nel mondo Open Source (che in questo campo e' estremamente prolifico!).
Ti segnalo questo:
Ethereal - The world's most popular network protocol analyzer; si commenta da solo!

Attenzione!
Per farlo funzionare devi installare prima il pacchetto WinPcap per lo sniffing della rete.

hai linkato la beta: c'e' anche la 3.1 definitiva http://www.winpcap.org/install/bin/WinPcap_3_1.exe