监控整个办公室的互联网流量的最佳方法是什么？

Question 1

我建议不要使用 wireshark 来监控流量。这样只会得到太多数据，但分析数据却很困难。如果您需要查看/排除几台机器之间的交互，wireshark 就很不错。作为监控工具，恕我直言，wireshark 并不是您所需要的工具。

分析网络流量。尝试一些实际的监控工具：http://sectools.org/traffic-monitors.html。您正在寻找流量类型（可能是 HTTP，但谁知道呢）、流量使用量最高者（应该是您的服务器，但谁知道呢）以及潜在的畸形流量（大量 TCP 重传、畸形数据包、高速率的极小数据包。可能看不到，但谁知道呢）
同时，与管理层合作制定网络资源使用政策。一般来说，从业务角度来说，计算机网络是为了满足哪些业务需求而存在的，以及资源的适当用途是什么。这东西要花钱，所以它的存在必须有商业理由。您的公司有处理“小额现金”抽屉的政策，我敢打赌您的网络基础设施的成本要高得多。要关注的关键不是抓住做坏事的人，而是注意潜在的恶意活动，这些活动正在降低网络功能（即员工完成工作的能力）。南方炸安全播客和PaulDotCom 安全周刊涵盖有关创建适当的安全策略的信息。
@John_Rabotnik 代理服务器的想法很棒。为网络流量实施代理服务器。与传统防火墙相比，代理服务器可以让你更好地了解正在发生的事情，并可以更精细地控制允许哪些流量（例如，真实网站）和阻止哪些流量（由 [20 个随机字符].com 组成的 URL）
让人们知道 - 网络有问题。您正在监控网络流量。为他们提供一种记录网络减速的机制，并捕获有关报告的足够元数据，以便从总体上分析网络性能。与您的同事沟通。他们希望您做好工作，这样他们才能做好工作。你们是同一支队伍。
一般而言，阻止一切，然后允许应该允许的内容。从第一步开始的监控应该让你知道需要允许什么，就像通过你的网络使用/安全策略过滤一样。你的策略还应该包括一种机制，通过该机制，管理员可以请求授予新的访问权限。

总而言之，第一步，流量监控（Nagios 似乎是一个标准工具）可以帮助您大致了解正在发生的事情，以停止眼前的痛苦。第 2 至 5 步有助于防止将来出现问题。

Answer

我建议不要使用 wireshark 来监控流量。这样只会得到太多数据，但分析数据却很困难。如果您需要查看/排除几台机器之间的交互，wireshark 就很不错。作为监控工具，恕我直言，wireshark 并不是您所需要的工具。

分析网络流量。尝试一些实际的监控工具：http://sectools.org/traffic-monitors.html。您正在寻找流量类型（可能是 HTTP，但谁知道呢）、流量使用量最高者（应该是您的服务器，但谁知道呢）以及潜在的畸形流量（大量 TCP 重传、畸形数据包、高速率的极小数据包。可能看不到，但谁知道呢）
同时，与管理层合作制定网络资源使用政策。一般来说，从业务角度来说，计算机网络是为了满足哪些业务需求而存在的，以及资源的适当用途是什么。这东西要花钱，所以它的存在必须有商业理由。您的公司有处理“小额现金”抽屉的政策，我敢打赌您的网络基础设施的成本要高得多。要关注的关键不是抓住做坏事的人，而是注意潜在的恶意活动，这些活动正在降低网络功能（即员工完成工作的能力）。南方炸安全播客和PaulDotCom 安全周刊涵盖有关创建适当的安全策略的信息。
@John_Rabotnik 代理服务器的想法很棒。为网络流量实施代理服务器。与传统防火墙相比，代理服务器可以让你更好地了解正在发生的事情，并可以更精细地控制允许哪些流量（例如，真实网站）和阻止哪些流量（由 [20 个随机字符].com 组成的 URL）
让人们知道 - 网络有问题。您正在监控网络流量。为他们提供一种记录网络减速的机制，并捕获有关报告的足够元数据，以便从总体上分析网络性能。与您的同事沟通。他们希望您做好工作，这样他们才能做好工作。你们是同一支队伍。
一般而言，阻止一切，然后允许应该允许的内容。从第一步开始的监控应该让你知道需要允许什么，就像通过你的网络使用/安全策略过滤一样。你的策略还应该包括一种机制，通过该机制，管理员可以请求授予新的访问权限。

总而言之，第一步，流量监控（Nagios 似乎是一个标准工具）可以帮助您大致了解正在发生的事情，以停止眼前的痛苦。第 2 至 5 步有助于防止将来出现问题。

Question 2

28 个人挤满一台 T3？这似乎不太可能（每个人都可以整天使用流媒体，但这还远远不够。）您可能需要检查路由循环和其他类型的网络配置错误。您还应该检查病毒。如果您的本地网络上运行着一个小型僵尸网络，那么这很容易解释流量。

您使用哪种类型的交换机/防火墙？您可能已经具备监控数据包流量的能力。

编辑：我也是 Wireshark 的忠实粉丝（虽然我已经老了，但我脑子里仍然认为它是“Ethereal”）。如果你要使用它，最好的方法是将一台机器放在线上，这样所有的流量都必须经过它。这样你就可以在不将设备切换到混杂模式的情况下运行详尽的日志记录。

如果事实证明您需要进行一些流量整形，那么您可以设置 Snort 代理...不过，我一开始并不想安装一个。我真的怀疑您的问题不是带宽问题。

Answer

28 个人挤满一台 T3？这似乎不太可能（每个人都可以整天使用流媒体，但这还远远不够。）您可能需要检查路由循环和其他类型的网络配置错误。您还应该检查病毒。如果您的本地网络上运行着一个小型僵尸网络，那么这很容易解释流量。

您使用哪种类型的交换机/防火墙？您可能已经具备监控数据包流量的能力。

编辑：我也是 Wireshark 的忠实粉丝（虽然我已经老了，但我脑子里仍然认为它是“Ethereal”）。如果你要使用它，最好的方法是将一台机器放在线上，这样所有的流量都必须经过它。这样你就可以在不将设备切换到混杂模式的情况下运行详尽的日志记录。

如果事实证明您需要进行一些流量整形，那么您可以设置 Snort 代理...不过，我一开始并不想安装一个。我真的怀疑您的问题不是带宽问题。

Question 3

如果你有一台闲置的机器，你可以将其设置为互联网代理服务器。这些机器不再通过路由器访问互联网，而是通过代理服务器（代理服务器使用路由器为它们访问互联网）访问互联网。这将记录所有互联网流量以及这些流量来自哪台机器。您甚至可以阻止某些网站或文件类型以及许多其他很酷的东西。

代理服务器还会缓存常用网页，这样用户访问相同的网站时，图片、下载等就已经在代理服务器上了，无需重新下载。这也可能为您节省一些带宽。

这可能需要一些设置，但如果你有时间和耐心，那么绝对值得一试。设置代理服务器可能超出了这个问题的范围，但这里有一些提示可以帮助你入门：

在备用机器上安装 Ubuntu 操作系统（如果您熟悉 Linux，请获取服务器版本）：

http://www.ubuntu.com/desktop/get-ubuntu/download
通过打开终端/控制台窗口并输入以下命令在机器上安装 squid 代理服务器：

sudo apt-get 安装 squid
按照你喜欢的方式配置 squid，这里有一个在 Ubuntu 上设置的指南。你也可以查看鱿鱼网站获得更多文档和设置帮助：

https://help.ubuntu.com/9.04/serverguide/C/squid.html
配置您的客户端机器以使用 Ubuntu 服务器作为其代理服务器来访问互联网：

http://support.microsoft.com/kb/135982
您可能希望阻止路由器上除代理服务器之外的所有机器的互联网访问，以阻止狡猾的用户从路由器访问互联网并绕过代理服务器。

关于在 Ubuntu 上设置 Squid 代理服务器，有很多帮助。

祝一切顺利，希望你能找到真相。

Answer

如果你有一台闲置的机器，你可以将其设置为互联网代理服务器。这些机器不再通过路由器访问互联网，而是通过代理服务器（代理服务器使用路由器为它们访问互联网）访问互联网。这将记录所有互联网流量以及这些流量来自哪台机器。您甚至可以阻止某些网站或文件类型以及许多其他很酷的东西。

代理服务器还会缓存常用网页，这样用户访问相同的网站时，图片、下载等就已经在代理服务器上了，无需重新下载。这也可能为您节省一些带宽。

这可能需要一些设置，但如果你有时间和耐心，那么绝对值得一试。设置代理服务器可能超出了这个问题的范围，但这里有一些提示可以帮助你入门：

在备用机器上安装 Ubuntu 操作系统（如果您熟悉 Linux，请获取服务器版本）：

http://www.ubuntu.com/desktop/get-ubuntu/download
通过打开终端/控制台窗口并输入以下命令在机器上安装 squid 代理服务器：

sudo apt-get 安装 squid
按照你喜欢的方式配置 squid，这里有一个在 Ubuntu 上设置的指南。你也可以查看鱿鱼网站获得更多文档和设置帮助：

https://help.ubuntu.com/9.04/serverguide/C/squid.html
配置您的客户端机器以使用 Ubuntu 服务器作为其代理服务器来访问互联网：

http://support.microsoft.com/kb/135982
您可能希望阻止路由器上除代理服务器之外的所有机器的互联网访问，以阻止狡猾的用户从路由器访问互联网并绕过代理服务器。

关于在 Ubuntu 上设置 Squid 代理服务器，有很多帮助。

祝一切顺利，希望你能找到真相。

Question 4

请参阅 Daisetsu 的回答以了解软件解决方案。

出于显而易见的原因，大多数/一些国家的法律要求你通知员工流量将受到监控。但我认为你已经知道这一点了。

更多低技术但侵入性较小一个方法是目视检查物理交换机的闪烁灯：当网络变慢时，有人可能正在使用大量带宽，因此他们的电缆的 LED 指示灯会比其他人的电缆闪烁得更厉害。使用 28 台计算机筛选出“无辜”的计算机应该不会花很长时间，并且可以告知相关用户他们的计算机行为异常，您将很快对其进行检查。

如果你不在乎员工的隐私（毕竟他们可能故意滥用你的带宽），而且他们签署了协议或当地司法机构允许你这样做，那么你可以忽略这一步，在不提前通知的情况下检查他们的行为。但除非你认为有人可能会主动损害公司（例如违反法律、泄露信息），否则这可能会导致尴尬的情况（超高宽带很诱人，网上有很多东西可以下载集体每天，其中大部分不应该在工作中但可能会受到诱惑）。

Answer

请参阅 Daisetsu 的回答以了解软件解决方案。

出于显而易见的原因，大多数/一些国家的法律要求你通知员工流量将受到监控。但我认为你已经知道这一点了。

更多低技术但侵入性较小一个方法是目视检查物理交换机的闪烁灯：当网络变慢时，有人可能正在使用大量带宽，因此他们的电缆的 LED 指示灯会比其他人的电缆闪烁得更厉害。使用 28 台计算机筛选出“无辜”的计算机应该不会花很长时间，并且可以告知相关用户他们的计算机行为异常，您将很快对其进行检查。

如果你不在乎员工的隐私（毕竟他们可能故意滥用你的带宽），而且他们签署了协议或当地司法机构允许你这样做，那么你可以忽略这一步，在不提前通知的情况下检查他们的行为。但除非你认为有人可能会主动损害公司（例如违反法律、泄露信息），否则这可能会导致尴尬的情况（超高宽带很诱人，网上有很多东西可以下载集体每天，其中大部分不应该在工作中但可能会受到诱惑）。

监控整个办公室的互联网流量的最佳方法是什么？

答案1

答案2

答案3

答案4

相关内容