¿Quién está usando nuestro ancho de banda?

16

Puedo ver por las estadísticas de nuestro ISP que se usa una gran cantidad de ancho de banda durante todo el día, sospecho que es alguien que usa nuestro enrutador inalámbrico, aunque no estoy seguro. Todas nuestras PC ejecutan varios tipos de ventanas, ¿hay utilidades / rastreadores que pueda usar para detectar a dónde va el ancho de banda?

networking bandwidth wifi MrTelly
fuente
13
¿Me estás diciendo que debería esperar a networkloadfault.com? Dios mío, dame un descanso ya.
MrTelly
Por cierto, nuestra conexión inalámbrica es segura, es alguien que conocemos que está usando el ancho de banda, simplemente no sabemos quién es, por lo que sabemos que es legítimo de todos modos, solo necesitamos saber a quién preguntar, y sabemos que no creo que envíe spam Toda la compañía es la respuesta.
MrTelly
77
No tiene que ser una pregunta de servidor, tiene que ser una pregunta de administrador de sistemas, que claramente es así.
¿Podría proporcionar su marca y modelo inalámbrico? Es más fácil recomendar lo que pregunta si se conocen esos detalles.
La configuración de su red sería una información muy útil para esto. No estoy seguro de si se trata de una configuración de hogar u oficina, pero si es un negocio y su enrutador / firewall / controlador inalámbrico admite datos IPFIX / Netflow, puede ver cada conversación que tenga lugar.
sclarson

Respuestas:

15

Puede instalar una PC en un concentrador (o conmutador administrado que emula un concentrador) con el enrutador y usar Wireshark para capturar todo el tráfico. Desde aquí, puede obtener algunas métricas útiles para señalar sus cerdos de ancho de banda.


fuente
Ese podría ser un éxito de rendimiento bastante dramático en una red corporativa.
sclarson
13

Además de la respuesta de Jon B, también he usado ntop para tener una buena idea de hacia dónde va el tráfico. Descargué un dispositivo virtual para que sea más fácil de configurar.

José
fuente
Solo una advertencia Los registros de Ntop se apilan rápidamente.
Reconbot
También puede usar ntop para exportar flujos de red para registrar el uso. ntop.org/netflow.html También puede obtener datos de netflow Tomato o m0n0wall.
sclarson
2

¿Puede darnos más detalles sobre la configuración de su red? Puedo proponer dos enfoques diferentes:

  1. Dependiendo del tipo de dispositivo inalámbrico que tenga, es posible que pueda usar una aplicación de administración de red que use SNMP para desplegar estadísticas del AP. La mayoría de los AP empresariales tendrán una tabla MIB que rastrea la lista de clientes asociados, su calidad de señal y la cantidad de bytes utilizados. Del mismo modo, su enrutador puede tener una MIB que rastrea el tráfico por dirección IP.

  2. Puede usar un rastreador de tráfico con cable (wireshark, etherpeek) para observar el tráfico. Esas herramientas generalmente pueden brindarle un desglose del tráfico por usuario. Tendría que rastrear el tráfico antes de que llegue a su enrutador (si su enrutador es NAT). Puede usar un concentrador (aunque estos son realmente difíciles de encontrar en estos días) o activar la duplicación de puertos en un conmutador administrado. También puede usar un sniffer inalámbrico, pero si la red está encriptada, solo tendrá una idea del volumen de tráfico de cada usuario, no del destino del tráfico.

Jason Luther
fuente
2

Dependiendo de la marca y modelo del punto de acceso inalámbrico / interruptor que esté utilizando, Tomato podría ser justo lo que busca. Proporciona un buen monitor de ancho de banda , entre otras cosas.

Además, es un poco costoso , pero parece que también haría lo que quieres.


fuente
Amo Tomato y lo he usado durante varios años, pero no creo que lo haga por monitoreo de ancho de banda por cliente. ¿Me equivoco?
Gareth
Todavía no, a ese nivel, de hecho. Sin embargo, está llegando. Sin embargo, el monitoreo actual del ancho de banda proporcionará medidas y el tiempo asociado con él. Identificar un subconjunto específico de usuarios debería ser más fácil tener bandw./time. Es por eso que originalmente pregunté la marca y el modelo del AP o conmutador inalámbrico. Cisco tiene muy buenos paquetes de administración y monitoreo, pero solo funcionan con su hardware.
1

Es probable que su enrutador tenga una manera de mostrar qué clientes están conectados a través de él, posiblemente como clientes DHCP. Eso identificaría quién se está conectando a su enrutador inalámbrico, aunque no necesariamente le dirá quién estaba usando su ancho de banda.

CoverosGene
fuente
1
Tienes razón, me dice quién, pero no cuánto
MrTelly
Y los usuarios no autorizados pueden no usar DHCP en absoluto, sino simplemente elegir una dirección IP no utilizada. Es mejor consultar el enrutador para su tabla ARP, esto sería más difícil de falsificar.
bortzmeyer
1

Si aún no lo ha hecho, recomiendo encarecidamente un programa como Cacti (que se puede usar junto con ntop) para obtener las estadísticas de tráfico de sus conmutadores (y con suerte también sus WAP). Esto puede ayudarlo a determinar cuándo y dónde se origina el tráfico.

Además, también le dará una buena idea del flujo de tráfico, y las anomalías en el tráfico tienden a destacarse en los gráficos un poco más que solo navegar por los registros.

Chealion
fuente
1

Si su enrutador lo admite, puede activar el monitoreo de flujo de red. Los flujos le mostrarán exactamente lo que está buscando.

jj33
fuente
0

La mayoría de los enrutadores inalámbricos registran los MAC de las tarjetas WiFi conectadas, muchos también permiten monitorear quién está realmente conectado. En cuanto a la detección de WiFi, la herramienta estándar es Kismet.

"Alguien" se refiere a alguien que en realidad no está autorizado para usarlo, ¿quién está secuestrando su señal?

Para proteger su WiFi, debe seguir los siguientes pasos:

  1. disuadir script-kiddies (no funcionará contra controladores de trabajo experimentados)

    • Apague su transmisión SSID
    • Limite la conexión solo a la lista dada de MAC
    • Limite DHCP solo a MAC estática -> Asignaciones de IP

  2. use WPA2 (con EAP-PSK, use frase de contraseña aleatoria).

  3. Para una seguridad real, use WPA2 con el servidor de autenticación 802.1X.

vartec
fuente
La suplantación de MAC (# 2.2 y un poco '# 2.3) NUNCA se debe confiar, y en realidad no vale la pena, he pirateado muchas redes WIFI con esta habilitada (puramente educativa, le aseguro) que la tenía habilitada. Incluso la mayoría de los script kiddies conocen esta causa, ya que está publicada en todos los sitios web / foros de piratería WIFI. Definitivamente vaya a WPA2 + Radius Server ("servidor de autenticación 802.1X"), esta es, según mi experiencia, la única forma real de seguridad, WEP y WPA han sido superados
Unkwntech
He "pirateado" muchas redes WiFi eligiendo "conectarse automáticamente a cualquier red disponible". Es cierto que el WPA2 es la única forma segura, pero que podría no estar disponible debido al hardware heredado. Un script kiddie, en busca de un viaje gratis, elegirá una red desprotegida, en lugar de incluso una débilmente protegida.
vartec