Localizando o uso de rede maliciosa em uma LAN

Most I've found seem geared for monitoring the network access of the localhost, not the access of other machines on the same network.

Isso é porque eles seriam inúteis em uma rede comutada. O switch está separando o tráfego de dados para que um host idealmente receba apenas os dados que ele pretende obter. Se você precisar de estatísticas de toda a rede, você precisaria monitorar os contadores de estatísticas RMON de seus comutadores (disponíveis apenas se você estiver usando comutadores gerenciados).

Também é bem provável que você não esteja vendo um gargalo, mas erros na transmissão devido a uma configuração incorreta (por exemplo, um duplex incompatibilidade ) ou mau cabeamento. Observar os contadores de estatísticas de erros do seu switch deve fornecer algumas pistas.

Além de verificar o hardware, considere investigar o que acontece na OSI Layer 8 , ou seja, os usuários .

Há casos em que os funcionários usam aplicativos de compartilhamento de arquivos ou streaming de vídeo / áudio em suas estações de trabalho, algo que pode causar um sério impacto no desempenho de uma rede.

Você já pensou em testar sua rede após as horas de trabalho "normais"?

Para resolver vários problemas de rede, configurei um roteador central GNU / Linux, onde uso ferramentas como iptraf para monitorar o uso atual da rede e obter informações detalhadas sobre o tráfego originado e destinado a cada host na rede.

tcpdump ou Wireshark são ferramentas excelentes para depurar problemas de rede e lentidão misteriosos.

• Use o Wireshark ou o Tcpdump para ver realmente o que está acontecendo durante as transferências de arquivos lentas. O problema pode não estar relacionado ao uso da rede (pode muito bem ser o Layer-7).
• Isole e depois reproduza o problema:
  • É apenas um cliente ou todos os clientes?
  • É apenas um servidor ou todos os servidores?
  • Isso acontece o tempo todo ou apenas ocasionalmente?
  • Você pode usar etapas específicas para reproduzir o problema ou apenas "aleatoriamente" acontecer?
• Você precisa de uma infraestrutura de switching gerenciada para reunir informações úteis. Tanto RMON, SFlow ou até mesmo contadores de portas ou estatísticas entregues pelo SNMP serão extremamente úteis.

Na minha experiência, a rede é frequentemente acusada de "lentidão" quando a causa principal do problema está em outro lugar. Alguns exemplos:

• Um aplicativo cliente gordo em execução em uma estação de trabalho com memória mínima
• Um roteamento mal configurado do fornecedor em seus dispositivos
• Um fornecedor configurou seus dispositivos para ter endereços estáticos dentro de nosso intervalo de DHCP, estações de trabalho que posteriormente foram designadas a esses endereços tinham "problemas"
• O Youtube está lento, portanto a rede está lenta. (Sim, o Youtube está lento ... porque nós o aceleramos).
• Uma estação de trabalho foi configurada incorretamente para indexar os compartilhamentos de rede do usuário
• Uma atualização para o Internet Explorer quebrou a compatibilidade com um antigo servidor da Web (circa '06) usado para gerenciamento em alguns dispositivos incorporados COTS. O IE não estava mais fazendo a solicitação GET "correta", resultando na redefinição de cada sessão. Uma atualização de firmware melhorou as coisas.

Alguns outros conselhos (geralmente é um desses três):

1. Verifique a camada física e a camada de enlace de dados primeiro. Nove de dez vezes, é um patch cable que alguém correu repetidamente com a sua cadeira de escritório (a propósito, os erros de porta aparecerão nas estatísticas de switch reportadas por SNMP ... veja bem?). Ou a empresa de mudanças estacionou o caminhão na frente de uma de nossas pontes sem fio. Procure terminações defeituosas (use um testador de cabos), correções de cabos fora de especificação e incompatibilidades duplex ou loops de broadcast, especialmente se você não tiver controle físico sobre toda a infraestrutura de comutação.
2. Camada 7: Procure configurações ou configurações incorretas do cliente ou servidor que não são mais relevantes (o Wireshark é seu amigo aqui). Problemas de DNS. Os backups de rede estão sendo executados durante o dia? Ou atualizações do WSUS sendo aplicadas? Etc.
3. Layer-8: E finalmente, parece sempre haver alguém assistindo vídeos via NetFlix (o RMON ou o SFlow descobrirão isso).

How would I diagnose what's slowing down the network, and/or finding computers on the network using an unusually high amount of bandwidth?

Comece com a verificação de hardware, ou seja, largura de banda real da LAN, configurações de NIC, qualidade dos cabos e contatos, LA do servidor na transferência de arquivos, velocidade do HDD e (possíveis) erros. Mesmo "um par de minutos ..." para 100 + Mbytes arquivos é muito lenta transferência (para 100Mb LAN)

Eu sugiro que você use switches gerenciados como syneticon-dj sugerido, e que um servidor local seja configurado para monitorar seus sinais vitais e tráfegos, você pode usar cactos para representar graficamente seu tráfego, usos de CPU / memória e outros. Você também pode configurá-lo para enviar alertas quando os limites cruzarem algum nível que você configura, os nagios seriam mais úteis em tais tarefas de alerta.