Para rastrear la fuente, primero necesita averiguar qué dispositivo está generando el tráfico. Lo mejor, en mi opinión, sería configurar un colector de flujo de algún tipo. En general, hay dos formas de hacer esto,
- Exportar flujos desde el dispositivo
- Análisis de software para generar flujos
La mayoría de los equipos de red de gama alta generarán algún tipo de registro de flujo, como sFlow, jFlow o NetFlow. Estos son producidos directamente por el enrutador y enviados a un colector. Luego, utilizará algún tipo de herramienta de análisis como herramientas de flujo o nfsen / nfdump para procesar los registros.
El uso de otros dispositivos implicará obtener una copia de todo el tráfico de alguna manera, por lo general, con un toque o configurando un puerto espejo / tramo / monitor en su dispositivo de borde. Un toque es un dispositivo físico que se coloca en línea con una conexión y duplicará eléctricamente las señales. El puerto espejo está configurado en el dispositivo de red en sí mismo y enviará una copia de todos los paquetes de un puerto de conmutador a otro. La mayoría de los dispositivos de "nivel empresarial" son compatibles con esto, pero para equipos de menor grado se puede requerir un toque.
Una vez que tenga una copia de los datos, necesitará algo que tome el flujo de tráfico y lo convierta en registros de flujo. Existen varios productos comerciales, pero estoy más familiarizado con el producto de código abierto Argus , producido por Qosient. Procesará los paquetes en una interfaz, como tcpdump, y producirá archivos de datos que constan de registros de flujo.
Ya sea que vaya con flujos de exportación, productos comerciales o Argus, ahora tiene todo lo que necesita para su análisis. Cualquiera de esas herramientas de recopilación contendrá todas las herramientas necesarias para producir informes de ancho de banda como desee. O cualquier tipo de informe que desee, realmente.
Estoy seguro de que esto suena como una exageración masiva, pero los resultados son fantásticos. Estos tipos de registros son invaluables para la solución de problemas de red, respuesta a incidentes, análisis forense, facturación, etc.