azhur Опубликовано 1 декабря, 2012 · Жалоба Юзеры забили в полку ВПН-ку от удаленного офиса в центр, хочется понять - чем. Есть возможность завернуть копию потока, включающего в себя впн-трафик, через спан с3550 на комп. Собственно вопрос - какой софтиной его принять, отфильтровать и проанализировать? Отдельные пакеты не интересуют, нужна статистика по соединениям (или даже протоколам: веб, почта, rdp и т.д.) и занимаемой ими полосе. Поток для анализа - детский, мегабит 10, не больше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 1 декабря, 2012 · Жалоба trafshow, ntop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 1 декабря, 2012 · Жалоба Jnettop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 декабря, 2012 · Жалоба На микротик можно завернуть и посмотреть через Torch. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 1 декабря, 2012 · Жалоба trafshow, ntop Jnettop Как я и подозревал, абсолютное большинство вариантов - для линукса. Ноута с линуксом нет, только если обычный системник на узел тащить, что несколько неудобно, так что поиск продолжается. Особенно если что-то виндовое найдётся. На микротик можно завернуть и посмотреть через Torch. Покупать ради этого микротик? Или искать на что роутерос накатить? Уж лучше линукс с предыдущими вариантами. Сам пока нашёл вот такое чудо: _http://www.riverbed.com/us/products/cascade/wireshark_enhancements/cascade_pilot_personal_edition.php Триалки для разового решения вопроса хватит наверно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 1 декабря, 2012 · Жалоба wireshark - чо, некошерен уже? Вроде как декапсуляцию умеет уже давно + по дампу вполне себе можно посмотреть сессии/эндпоинты, и отсортировать их по траффику... Ну и всыпать розгами виновнику, качавшему порно в рабочее время по казенному каналу... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 1 декабря, 2012 · Жалоба wireshark - чо, некошерен уже? Wireshark вполне кошерен, возможно я им просто не умею пользоваться толком. Подскажите, как в нём просмотреть соединения с занимаемой ими полосой, а не пакеты? Нужен в идеале именно pps|bps, усреднённый за некие интервалы. качавшему порно в рабочее время по казенному каналу Ну врятли там порно, разве что его на файловый сервак центрального офиса "добрые люди" вывалили. =) А возможно вообще никакого криминала нет, просто с шириной необходимого канала промахнулись. Но надо убедиться, да и для начальства аргументы на расширение понадобятся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flow Опубликовано 1 декабря, 2012 · Жалоба wireshark - чо, некошерен уже? Wireshark вполне кошерен, возможно я им просто не умею пользоваться толком. Подскажите, как в нём просмотреть соединения с занимаемой ими полосой, а не пакеты? Нужен в идеале именно pps|bps, усреднённый за некие интервалы. качавшему порно в рабочее время по казенному каналу Ну врятли там порно, разве что его на файловый сервак центрального офиса "добрые люди" вывалили. =) А возможно вообще никакого криминала нет, просто с шириной необходимого канала промахнулись. Но надо убедиться, да и для начальства аргументы на расширение понадобятся. При включенном захвате идем в Statistics -> IO Graphs, по Y-axis выбираем Bytes/Tick?? Там же можно попробовать фильтры вкорячить судя по виду ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 1 декабря, 2012 · Жалоба Подскажите, как в нём просмотреть соединения с занимаемой ими полосой, а не пакеты? statistics-> conversations; statistics-> endpoints... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 1 декабря, 2012 · Жалоба откиньте с канала фловы на ntop в офис Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shvlad1 Опубликовано 2 декабря, 2012 · Жалоба Самое простое - ip accounting на интерфейсе Включить на интерфейсе на пару минут, найти качальщика и навалять ему - на все про все 5 минут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...