Tráfico sospechoso 'upstream'

6

Estamos viendo cantidades inusuales de tráfico en sentido ascendente en nuestra conexión WAN, durante el día en que nuestro sistema puede superar (o intentar superar) el límite de 1Mbps impuesto en la conexión.

Tengo PRTG netmon que proporciona las cifras, pero no puedo identificar a dónde va de / a (o el protocolo real que es 'otro').

¿Cómo puedo identificar este tráfico? ¿Dónde debería estar conectado mi rastreador de puerto?

Red basada en VM / Windows → Cortafuegos Sonicwall TZ170 → Módem DSL Speedtouch → Demon Internet

    
pregunta Bill 15.09.2012 - 04:36
fuente

2 respuestas

8

Para rastrear la fuente, primero necesita averiguar qué dispositivo está generando el tráfico. Lo mejor, en mi opinión, sería configurar un colector de flujo de algún tipo. En general, hay dos formas de hacer esto,

  • Exportar flujos desde el dispositivo
  • Análisis de software para generar flujos

La mayoría de los equipos de red de gama alta generarán algún tipo de registro de flujo, como sFlow, jFlow o NetFlow. Estos son producidos directamente por el enrutador y enviados a un colector. Luego, utilizará algún tipo de herramienta de análisis como herramientas de flujo o nfsen / nfdump para procesar los registros.

El uso de otros dispositivos implicará obtener una copia de todo el tráfico de alguna manera, por lo general, con un toque o configurando un puerto espejo / tramo / monitor en su dispositivo de borde. Un toque es un dispositivo físico que se coloca en línea con una conexión y duplicará eléctricamente las señales. El puerto espejo está configurado en el dispositivo de red en sí mismo y enviará una copia de todos los paquetes de un puerto de conmutador a otro. La mayoría de los dispositivos de "nivel empresarial" son compatibles con esto, pero para equipos de menor grado se puede requerir un toque.

Una vez que tenga una copia de los datos, necesitará algo que tome el flujo de tráfico y lo convierta en registros de flujo. Existen varios productos comerciales, pero estoy más familiarizado con el producto de código abierto Argus , producido por Qosient. Procesará los paquetes en una interfaz, como tcpdump, y producirá archivos de datos que constan de registros de flujo.

Ya sea que vaya con flujos de exportación, productos comerciales o Argus, ahora tiene todo lo que necesita para su análisis. Cualquiera de esas herramientas de recopilación contendrá todas las herramientas necesarias para producir informes de ancho de banda como desee. O cualquier tipo de informe que desee, realmente.

Estoy seguro de que esto suena como una exageración masiva, pero los resultados son fantásticos. Estos tipos de registros son invaluables para la solución de problemas de red, respuesta a incidentes, análisis forense, facturación, etc.

    
respondido por el Scott Pack 15.09.2012 - 19:02
fuente
3

En términos de rastrear esto, me gustaría comenzar por observar el volumen de tráfico y luego reducir las direcciones de origen / destino.

Probablemente el mejor lugar para comenzar sea en el dispositivo Firewall. Es probable que haya algún nivel de monitoreo disponible para mostrar qué puertos están generando qué volumen de tráfico. A partir de eso, debería poder tener una idea de qué puerto sería mejor para detectar el tráfico (por ejemplo, al comenzar con el puerto que genera el mayor tráfico ascendente)

Según el diseño de su red, esto podría llevarlo a un sistema o conjunto de sistemas específico, pero debería poder conectar un detector de puertos al puerto del cortafuegos identificado con Wirehark o similar a ese puerto una vez que lo haya identificado. que debería proporcionarle información sobre las direcciones IP de origen / destino y los protocolos en uso ...

    
respondido por el Rоry McCune 15.09.2012 - 23:29
fuente

Lea otras preguntas en las etiquetas