iT邦幫忙

0

我公司的某個點的網路專線常常出現異常流量!

  • 分享至 

  • xImage

我公司有一條專線串到台積電廠內!因為裡面有我們的駐廠人員!
但是現在問題來了~近期常出現網路流量的異常狀況!時高時低的
都大概間隔30分中就一次高點!不知道要怎麼解決~本來以為是中毒
但是也查過所有電腦了~都沒有!!所以我在懷疑有user在亂稿!!
而且會有怪流量幾乎都是在下班時間~因為他們要24小時輪班!
請問各位大大!有什麼方法可以抓的到是那一台電腦在做這些怪怪的事?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
16
jessesym
iT邦好手 10 級 ‧ 2009-12-02 02:44:23
最佳解答

Hi y005017,

試試看用 "Sniffer" 抓看看是哪台電腦在作怪吧~ 我也是用此軟體找出"元兇"的
1)http://toget.pchome.com.tw/intro/network_tool/network_tool_monitor/18959.html

2)http://www.xkxz.com/download2.asp?id=2552&no=1

14
cafebug
iT邦高手 1 級 ‧ 2009-12-01 12:11:54

你要不要說一下這條專線接進去之後的topology接法 ? 資訊太少無法debug .. :)

14
nevermind
iT邦新手 3 級 ‧ 2009-12-01 14:21:23

間隔30分鐘就來個高點 @_@!! 那麼厲害~!? 可以受小弟一拜嗎~? 有沒有打算開班授課~?

我沒有暗示甚麼唷 XD

=以下才是正經話=

  1. 看駐廠人員電腦是否有加入網域,可遠端到他們電腦查看那段網路異常時間的Login User是誰
  2. 網路異常不知道你是從哪看來的~? MRTG ? 如果可以看到網路流量異常 因該可以看得出來異 常的流量是跑甚麼協定~? 或是去看 DA IP 知道跑甚麼協定或是DA IP應該可以收集到不少資訊

畢竟你提供的資訊有點少 所以也不太知道從哪幫你呢 :>

14
cklin
iT邦新手 2 級 ‧ 2009-12-02 09:43:10

建議掛 sniffer來分析網路封包的來源與目的位址 +1
不過不建議使用非法軟體,網路封包分析的免費軟體很多
手屈一指的是 Ethereal(新版名稱 Wireshark),用的人多,中文化、教學說明也多

如果有固定的時間點、固定的行為模式,
大多是程式造成的(這邊指的程式包含User自行開發的程式、定期備份軟體、資料同步軟體、惡意程式...等)
人為操作造成的網路流量通常不固定

12
sniperegg
iT邦新手 2 級 ‧ 2009-12-02 11:05:26

好奇問一下,樓主公司的防火牆是哪一家的?有無報表功能?
公司有裝L7的監控設備嗎?
如果有,那就好辦了,從防火牆報表去看哪一個內部IP在特定時段流量異常。
如果沒有,那就如同樓上大大說的,裝套sniffer去抓封包。
若您的廠區各網路點都有明確的位置,且交換器也是有網管的,那就更好了。
利用mrtg偵測各台交換器流量,每個port都製作流量表,哪個port對應到哪個辦公室哪個位置一目了然。
誰作怪,就知道,馬上拔線,讓使用者來報修。

14
snoopy01
iT邦新手 5 級 ‧ 2009-12-02 15:03:25

通常是有不知的固定task在執行, 可用netflow查看看是哪些機器再決定下一步, 不建議直接拔線, 除非已經嚴重影響正常運作. 另外, 請問你是哪家公司? 何不直接找台積電網路人員一起看看, 搞不好是他們的task!

16
powerop
iT邦研究生 4 級 ‧ 2009-12-03 13:13:14

推樓上 cklin 網友提到的 自由軟體 Wireshark ,不過我會把這個工具放在第三步驟。

第一步驟:找出一個所有封包會經過的節點
既然要監控流量,就要找一個點,是相關流量都會經過的。不然現在都是 switch 的環境,雖然 Wireshark 跨平台,很多作業系統都可以裝,妳高高興興的裝好,打開看到一堆封包,正在 嗨 的時候,才發現那些封包都是本機跟別人的流量,別台機器的流量都被 switch 區隔開啦!(看到少量別台機器的封包也先別急著高興,應該都是 broadcast 之類的)

所以如果環境有 switch ,就需要開一個 mirror port,把裝好 Wireshark 的電腦插上那個 port 。

不然,如果環境可以串一個 dumb hub 也行,這樣所有的流量都會經過這個 hub ,把那台裝好 Wireshark 的機器也插上去,就可以監控所有的封包囉。

第二步驟:安裝、使用 ntop ,找出流量異常的ip
Wireshark 這個好物可以看到流經的每一個封包的每一個bit,但是妳要先抓流量的大方向對吧?所以建議用 ntop 這個流量監控工具,各種主流的 Linux 發行版本應該都有,在套件庫裡面搜尋一下,勾選、安裝。
ntop 這個自由軟體,官方沒有提供編譯好的 MS Windows 版本,自己編譯我也不會,建議去下載 NTop_XTRA 這個別人編譯好的版本 NTop_XTRA_3_18_0.exe,雖然有點舊,但是能跑就好。

第三步驟:安裝、使用 Wireshark ,針對流量異常的ip去看實際封包內容
Wireshark 裝好、跑起來之後,在 filter 那邊輸入 ip.addr == 192.168.9.78 (請替換成流量異常的 ip),就可以實際看到那台作怪的機器到底在傳什麼東西囉。

cklin iT邦新手 2 級 ‧ 2009-12-03 14:20:18 檢舉

powerop大~果然夠Power
已經詳細地寫出整個偵測過程~

不過對於一條專線流量的〔緊急追查〕要動用到NTop這套工具有點太....拿著火箭打病毒
直接用Wireshark 的 Top Talker 功能即可。看看誰是最大發送來源。
直接排名Top Conversation Pair 就可以知道當時頻寬被誰佔走。

NTop拿來平常作統計分析頻寬的使用者就好,緊急事件還要再多一個步驟可能太慢了。

以上是小弟的淺見與平常被晶圓廠訓練出來的結果 ~(T_T)~
每次晶圓廠網路問題都被要求在半個小時內釐清來源,1個小時內隔離,2個小時內完修。
否則晶圓廠網路停工1個小時損失750萬就算在你頭上~

powerop iT邦研究生 4 級 ‧ 2009-12-03 22:40:23 檢舉

@cklin,

雖然我寫過數篇 Wireshark 相關的文章 (http://blog.roodo.com/ystuan/tag/155389/Wireshark),但是還有很多功能沒用過(像是你提到的 Top Talker 跟 Top Conversation Pair),嗯,來 iT邦 每天都可以學到新東西 :D

請問"串一個 dumb hub"的意思是?

如果以我們公司的狀況來說,我們的Firewall上有二張網卡,一張對外,一張對內,對內的網卡原本是插在Switch Hub上,現在只要拿一個不是Switch的Hub,把對內網卡先插在這個Hub上,再串到原本的Switch Hub上就可以了嗎?

另外,這樣是可以偵測到內網每個client的流量嗎?

謝謝

我要發表回答

立即登入回答