Wireshark e portas espelhadas trazendo 10k + pacotes por segundo

2

Eu tenho a instalação do wireshark em uma máquina de monitoramento para monitorar o tráfego de internet em nossos escritórios (aproximadamente 40 máquinas). No entanto, sempre que eu começo o wireshark dentro de 30-40 segundos ele caiu - eu acho que devido ao grande volume de pacotes sendo recebidos em torno de 10.000+ por segundo. Existe alguma maneira de resolver isto? Eu tentei usar a opção de filtro perto da parte superior da tela, mas eu ainda tenho que permitir o monitoramento e por esse tempo muitos dados estão sendo passados para o computador para lidar ... eu acho!

    
por buzzmonkey 14.12.2012 / 13:51

2 respostas

6

Se você realmente estiver tentando rastrear toda a conexão à Internet do escritório, precisará de hardware e software com o tamanho correto. Você realmente quer que o wireshark funcione o tempo todo? Você precisa de uma inspeção completa de pacotes em todos os momentos? Dica - você provavelmente não.

Podes ser melhor servido por algo como o WebSense ou o SurfControl (para ver a que utilizadores de sites HTTP (S) estão a chegar) ou o Netflow (para identificar protocolos e top talkers), ou ambos?

Sem saber qual é o seu objetivo completo, quanto tráfego está passando por seu canal de internet e o desempenho da sua máquina de monitoramento, não podemos dizer como corrigir seu problema. Mas eu estou supondo que você está tentando resolver da maneira errada. O Wireshark é melhor usado para solução de problemas muito específicos, não como um toque de pacote para ser executado o tempo todo, para os problemas mais enfrentados por um escritório do seu tamanho.

    
por 14.12.2012 / 14:17
1

Não use filtros de exibição, mas use filtros de captura. Desta forma, o wireshark pode esquecer todos os pacotes nos quais você não está interessado.

Veja link para dicas de como para encontrar as opções de filtro de captura.

    
por 14.12.2012 / 15:43