Netzwerkverkehrsprotokoll

7387
Chris Becke

Hintergrund - In meinem "Heimnetzwerk" habe ich einen Linksys WTR45GL-Router, der meinen Internetzugang sowie einen WLAN-Zugangspunkt bereitstellt.

Angeschlossen Ich habe * 2 Windows-PCs (verkabelt) * Mindestens ein Laptop (verkabelt) * Einige 802.11-fähige Handheld-Konsolen (PSPs) * A Nintendo Wii * Einige Windows XP-PCs, die von den Leuten in der Einliegerwohnung verwendet werden.

Wo ich wohne, in Südafrika, ist eine monatliche Obergrenze von 1 GB zwar nicht teuer, aber teuer genug, dass ich sicher sein möchte, dass die gesamte Bandbreite, die von Geräten in meinem Netzwerk verwendet wird, ... nun ... legitim ist Nicht das Ergebnis von Nachbarn, die mein drahtloses Netzwerk, Malware oder nur das Ergebnis "liberaler" Download-Richtlinien in meiner Software beschädigen.

Ich habe den Linksys WRT45GL davon überzeugt, dass es benutzerdefinierte Firmwares (DD-WRT und Tomato) gab, die Bandbreitenverfolgung zuließen, aber es scheint keine Möglichkeit zu geben, ein Protokoll des Datenverkehrs zu erhalten, das untersucht werden kann (a). Welche lokalen Geräte waren die größten Verbraucher von Bandbreite und (b) mit welchen Geräten sie verbunden waren.

Welche Tools gibt es, um den Verkehr so ​​zu protokollieren, dass ich, wenn der OMG-Moment in dem Monat erreicht wird, in dem meine Bandbreite nicht mehr verfügbar ist, die Möglichkeit hat, herauszufinden, was alles aufgebraucht hat (und hoffentlich einige Korrekturmaßnahmen unternimmt)?

Lösungen, die ich ausprobiert habe:

  1. MRTG - Die Installation von MRTG ist kompliziert. Es muss auf einem Server-PC installiert werden, dh auf einem Webserver. Es ist auch "beschränkt" auf die SNMP-Überwachung. Das bedeutet, dass nur der Gesamtverkehr pro Schnittstelle erfasst werden kann. Yay - Ich kann bestätigen, dass ein Gb-Verkehr meinen Router durchquert. Das wusste ich bereits!

  2. Die kostenlose Version von PRTG ist zu begrenzt, um nützliche Funktionen zu nutzen. Oder die "Sensoren" ihrer Unterstützer sind zu begrenzt. Neben dem SNMP-Trapping wird auch das Packet-Sniffing durchgeführt, aber die Möglichkeit, in seinen Berichten einen Drilldown durchzuführen, fehlt. Zumindest kann es den Verkehr ein bisschen durch das Protokoll einschränken. Jetzt weiß ich, dass 80% meines Verkehrs HTTP ist. Immer noch keine Ahnung, was die Quellen und Ziele des HTTP-Verkehrs sind. Auch völlig unklar, wenn es möglich ist, den Verkehr über einen nicht gut bekannten Hafen zu messen.

  3. Auf dieser Wiki-Seite wird beschrieben, wie Sie (a) DD-WRT so konfigurieren, dass Datenverkehr mithilfe von RFlow und MACudp an einen Server im Netzwerk gesendet wird. (b) Auf dem Server muss RFlowCollector ausgeführt werden, der die Daten erfasst, eine eingeschränkte Überprüfung der Daten zulässt und (c) sie in eine mySQL-Datenbank speichert - wo sie dann mit Tools von Drittanbietern analysiert werden kann - oder (d) nur MSQL Query Analyzer.

Abgesehen von der Tatsache, dass RFlowCollector eine schlecht geschriebene Windows-GUI-App ist, die als Dienst nicht installiert werden kann: Das bedeutet, dass Daten nur erfasst werden können, solange ich physisch angemeldet bin. Oh ja, und sie verbraucht sogar 60% meiner CPU wenn es merkt, dass es angemeldet ist. Die eigene Benutzeroberfläche kann keine Drill-Down-Analyse der Daten durchführen (macht sie jedoch neugierig), sodass ich am Ende noch eine große mySQL-Datenbank mit "rohen" erfassten Daten zur Analyse habe.

  1. Wireshark wurde auch vorgeschlagen. Als Netzwerkprotokollanalysator gibt es sicherlich die Details auf niedriger Ebene an - solange ich mich im richtigen Netzwerksegment befinde, kann Wireshark verwendet werden, um eine umfassende Liste des gesamten TCP- und UDP-Verkehrs zu erstellen. Welches ist ein Problem. Wireshark ist einfach zu niedrig. Es gibt zu viele Daten.

Ist es wirklich so schwer zu versuchen, eine einfache Analyse der Bandbreite eines Netzwerks durchzuführen? Und mit einfachen Worten meine ich, wenn ich einen "Chunk" der Bandbreitennutzung auf meinem Router benutze, bitten Sie etwas, mir zu sagen, dass ich es (a) lokalen Hosts, (b) entfernten Hosts und (c) nach Protokoll zuordnen soll.

3
Bietet der Router nicht selbst ein Paketprotokoll? Traveling Tech Guy vor 14 Jahren 0
Es stellt ein Protokoll bereit, jedoch kein Protokoll auf Paketebene. Heimrouter verfügen einfach nicht über den Speicher, um diese Datenmenge zu protokollieren, weshalb rFlow verwendet wird, um die Verkehrsaufzeichnung auf ein anderes Gerät zu verschieben. Chris Becke vor 12 Jahren 0

2 Antworten auf die Frage

1
Peter Carrero

Sie können arpwatch und mrtg in Ihrem dd-wrt-Router ausführen. Dies sagt Ihnen Nummer 1, wenn sich ein neuer Client mit Ihrem AP verbindet und eine DHCP-Anforderung (durch arpwatch) und # 2 die von Ihnen verbrauchte Bandbreite (durch mrtg) ausgibt. Das Gesamtbandbreiten-Addon zu mrtg befindet sich unter bjorn.swift.is/traffic/

Vielleicht mache ich es falsch, aber MRTG sagt mir nichts, was ich noch nicht alles weiß. Ich weiß bereits, dass viel Verkehr durch meinen Router herrscht. Gibt es einen Weg, den ich nicht erkennen kann, der die Bandbreite pro lokalem Host einschränkt, sodass ich die Geräte meiner Geräte ermitteln kann, die für den Großteil meines Datenverkehrs verantwortlich sind? Chris Becke vor 13 Jahren 0
0
Chris Becke

NetFlow ist ein Protokoll, das auf DD-WRT "Standard" -Distributionen verfügbar ist, indem der "RFlow" -Dienst aktiviert wird. Der RFlow-Dienst kann auf einen PC im LAN gerichtet werden, auf dem ein Netflow-Logger oder ein Analysetool ausgeführt wird.

Der RFlow-Collector, den ich im ursprünglichen Beitrag erwähnt habe, ist Müll. Es gibt jedoch eine Reihe kostenloser Tools, die Netflow-Daten in Echtzeit in einer hübschen GUI anzeigen können. Die meisten sind jedoch in ihren kostenlosen Ausgaben erheblich eingeschränkt :(

Zu den "kostenlosen" Tools, die ich gefunden habe (alle sind "free-as-in-beer" -Versionen eines fürchterlich teuren, kommerziellen "Enterprise" -Produkts) mit eingeschränktem Funktionsumfang:

Verwandte Probleme