Sniffing und Analyse der Internetnutzung über Port Mirroring

Tor

In meinem Netzwerk von etwa 10 Computern möchte ich wissen, wer wie viele Internetdaten verwendet . Meine Datenobergrenze endet schneller als sie sollte und ich muss den verantwortlichen Host und die verantwortliche Anwendung finden.

Aktuelle Einrichtung : Alle LAN-Hosts und der Router verbinden sich mit einem Managed Switch. Der Port zum Router wird auf einen Port gespiegelt , der mit einem Überwachungs-PC verbunden ist. Somit wird der gesamte Datenverkehr zum/vom Router (einschließlich Internetverkehr) auf diesen Port kopiert.

Versuch so weit

Auf dem Monitor-PC kann Wireshark die Pakete abholen, an denen ich interessiert bin, z. B. HTTP GET-Anforderungen, die von anderen Hosts im LAN gestellt werden. Allerdings ist die Wireshark-Ausgabe für meine Zwecke zu roh. Ich würde mich über Hinweise zu einem Tool freuen, das stattdessen das Gesamtvolumen des Datenverkehrs gruppiert nach jedem Host/IP anzeigen kann.

Software ausprobiert

  1. ntopng - Das ist genau das, was ich will! Es funktioniert jedoch nicht immer. Auf einem Windows-PC läuft der Dienst nur wenige Sekunden und stoppt aus irgendeinem Grund automatisch. Auf einem anderen Windows-Rechner erfasst es keinen Datenverkehr (verwirft alle Pakete). Auf einem Linux-Rechner scheint es nur den Datenverkehr des lokalen Hosts zu erfassen. Auf all diesen 3 Maschinen funktioniert Wireshark immer noch genau so, wie es sollte, daher bin ich sicher, dass alle Pakete, die ich analysieren muss, die NIC erreichen.
  2. Wireshark - Zu niedrig und wortreich
  3. Etherape - Begrenzte Informationen verfügbar
  4. PRTG – Updates nur alle 30 Sekunden, komplizierte Benutzeroberfläche und überfunktioniert
  5. Networx - überwacht nur den Datenverkehr des lokalen PCs
  6. DU Meter - überwacht nur den Datenverkehr des lokalen PCs
  7. Microsoft Message Analyzer - hat keinen Datenverkehr erfasst
  8. Fiddler - hat nur den HTTP-Verkehr des lokalen PCs aufgenommen

Anforderungen

  1. Muss unter Windows oder Linux ausgeführt werden. Ehemalige bevorzugt.
  2. Keine Software, die auf jedem Host installiert und dann an einen zentralen Logger gemeldet werden muss
  3. Verwenden Sie keine benutzerdefinierte Firmware (z. B. DD-WRT oder Tomato) auf dem Router
  4. Präsentieren Sie die Analyse der erfassten Pakete auf einfache Weise, die es mir ermöglicht, eine Liste der Hosts mit der höchsten Internetnutzung (nach Volumen), ihrer tatsächlichen Nutzung (Volumen), über welches Protokoll der Anwendungsschicht und vielleicht sogar über welchen Dienst im Internet kommuniziert wurde, anzuzeigen mit (zB YouTube, Facebook, etc.)

Bin bereit, für ein anständiges Tool zu bezahlen, aber es sollte die Anforderung 4. oben erfüllen. Wenn Sie der Meinung sind, dass ich keines der oben genannten Tools richtig verwendet habe und alle meine Anforderungen von einem von ihnen erfüllt werden können, lassen Sie es mich bitte wissen.

Zwischen den Zeilen lesen: Ihr Router gibt Ihnen diese Informationen nicht? Denn das wäre der beste Ort, um es zu bekommen – und auch, wo ein Kontingent eingerichtet werden könnte (falls das gewünscht wird; und ja, verstanden, dass Sie keine benutzerdefinierte Firmware darauf haben möchten).
Übrigens: Während wir auf gute Antworten warten: Die Top 20 der kostenlosen Netzwerküberwachungs- und Analysetools für Systemadministratoren erwähnen zB Capsa Free und Pandora FMS , die wie gute Kandidaten aussehen.
@Izzy: Unser Router stellt diese Informationen nicht über die Web-Benutzeroberfläche bereit. Ich könnte SNMP ausprobieren, aber vom Lesen habe ich das Gefühl, dass ich nicht alle Informationen bekomme, die ich brauche. Gute Nachrichten: Ich habe Capsa Free ausprobiert und es funktioniert gut! Ich hatte diesen Link bereits früher überprüft, aber inmitten anderer persönlich irrelevanter Software in der Liste habe ich mir nicht die Mühe gemacht, jede von ihnen einzeln zu untersuchen. Vielen Dank für den Hinweis. Pandora FMS war zu groß zum Herunterladen, also habe ich es noch nicht ausprobiert. Wenn Capsa diese Woche weiterhin hilfreich ist, bleibe ich vielleicht einfach dabei und zahle die Lizenzgebühr (1.000 $!). Fühlen Sie sich frei, Ihre Antwort unten zu posten, damit ich sie so markieren kann.
Habe es getan. Wenn Capsa Professional ausreicht, können Sie ein paar hundert Euro sparen. Viel Glück!

Antworten (1)

Capsa scheint Ihren Anforderungen zu entsprechen:

  • Muss unter Windows oder Linux ausgeführt werden. Ehemaliges bevorzugt: Läuft unter Windows, zumindest von XP bis Windows-8 werden offiziell unterstützt.
  • Keine Software, die auf jedem Host installiert und dann an einen zentralen Logger gemeldet werden muss: Wie ich gelesen habe, muss sie nur auf einer einzigen Maschine installiert werden. Von dort „schnüffelt“ es im sogenannten Promiscuous-Modus der Netzwerkkarte im Netzwerk und kann so alle Pakete des (lokalen) Netzwerks erbeuten – auch solche, die nicht für den Rechner bestimmt sind, auf dem es läuft.
  • Verwenden Sie keine benutzerdefinierte Firmware (z. B. DD-WRT oder Tomato) auf dem Router: Nein. Es funktioniert mit einer breiten Palette unterschiedlicher Netzwerkadapter direkt vom Windows-Rechner aus, ohne dass Änderungen an Ihrem/Ihren Router(n) erforderlich sind.
  • Präsentieren Sie die Analyse der erfassten Pakete auf einfache Weise […]: Capsa bietet ein Dashboard mit leicht verständlichen Grafiken, alle „wichtigen Informationen“ an einem Ort – von wo aus Sie tiefer graben können. Es verspricht sogar zB ein "Intuitives TCP-Timing-Sequence-Chart" und mehr.

Eine Produktübersicht finden Sie auch bei Wikipedia . Capsa gibt es in zwei Varianten: Kostenlos für Lehrer, Studenten, Geeks, Nerds in einem nicht-kommerziellen Kontext – und eine kostenpflichtige für die kommerzielle Nutzung ab ~700 USD (Professional Edition) bis ~1.000 USD (Enterprise). Einen Vergleich findet man zB im erwähnten Wikipedia-Artikel – oder, vollständiger, auf der Website von ColaSoft .

Sniffing und Analyse der Internetnutzung über Port Mirroring
AntwortenHierDatenschutz-Bestimmungen1y, 0v