查找 LAN 中的恶意网络使用情况

Question 1

我发现大多数似乎都是用于监控本地主机的网络访问，而不是同一网络上其他机器的访问。

这是因为它们在交换网络中几乎毫无用处。交换机会分离数据流量，因此主机理想情况下只会获取它想要获取的数据。如果您需要网络范围内的统计数据，则需要监控交换机的 RMON 统计计数器（仅在使用托管交换机时可用）。

也很有可能你没有看到瓶颈，但由于配置错误而导致传输错误（例如双工不匹配) 或电缆损坏。观察交换机的错误统计计数器应该会提供一些线索。

Answer

我发现大多数似乎都是用于监控本地主机的网络访问，而不是同一网络上其他机器的访问。

这是因为它们在交换网络中几乎毫无用处。交换机会分离数据流量，因此主机理想情况下只会获取它想要获取的数据。如果您需要网络范围内的统计数据，则需要监控交换机的 RMON 统计计数器（仅在使用托管交换机时可用）。

也很有可能你没有看到瓶颈，但由于配置错误而导致传输错误（例如双工不匹配) 或电缆损坏。观察交换机的错误统计计数器应该会提供一些线索。

Question 2

除了检查硬件之外，还要考虑调查OSI 第 8 层-那就是用户。

在某些情况下，员工会在工作站上使用文件共享应用程序或视频/音频流，这可能会对网络性能造成严重影响。

您是否考虑过在“正常”工作时间之后测试您的网络？

为了解决各种网络问题，我配置了一个中央 GNU/Linux 路由器，在其中我使用以下工具：网络流量监控以便监控当前网络使用情况并获取来自和发往网络上每个主机的流量的详细信息。

tcpdump 或 Wireshark 是调试神秘的网络问题和速度减慢的绝佳工具。

Answer

除了检查硬件之外，还要考虑调查OSI 第 8 层-那就是用户。

在某些情况下，员工会在工作站上使用文件共享应用程序或视频/音频流，这可能会对网络性能造成严重影响。

您是否考虑过在“正常”工作时间之后测试您的网络？

为了解决各种网络问题，我配置了一个中央 GNU/Linux 路由器，在其中我使用以下工具：网络流量监控以便监控当前网络使用情况并获取来自和发往网络上每个主机的流量的详细信息。

tcpdump 或 Wireshark 是调试神秘的网络问题和速度减慢的绝佳工具。

Question 3

使用 Wireshark 或 Tcpdump 来实际查看文件传输缓慢时发生的情况。问题可能与网络使用情况完全无关（很可能是第 7 层问题）。
隔离并重现问题：
- 只是一个客户端还是所有客户端？
- 是只有一台服务器还是所有服务器？
- 这种现象是经常发生还是偶尔发生？
- 您可以使用具体步骤来重现该问题吗？或者它只是“随机”发生？
您需要一个可管理的交换基础设施来收集有用的信息。RMON、SFlow 甚至 SNMP 提供的端口计数器或统计数据都将非常有用。

根据我的经验，人们经常将“速度慢”归咎于网络，但问题的根源却完全在其他地方。以下是一些例子：

在具有最小内存的工作站上运行的胖客户端应用程序
供应商在其设备上错误配置了路由
供应商将其设备配置为在我们的 DHCP 范围内具有静态地址，后来分配了这些地址的工作站出现“问题”
Youtube 很慢，因此网络也很慢。（是的，Youtube 很慢……因为我们限制了它）。
工作站配置错误，无法索引用户的网络共享
Internet Explorer 的更新破坏了与用于管理一些 COTS 嵌入式设备的古老（大约 2006 年）Web 服务器的向后兼容性。IE 不再发出“正确的”GET 请求，导致每个会话都被重置。固件升级改善了这种情况。

其他一些建议（一般是以下三者之一）：

首先检查物理层和数据链路层。十有八九，这是一条被人用办公椅反复碾过的跳线（顺便说一句，端口错误将显示在 SNMP 报告的交换机统计信息中……有用吗？）。或者搬家公司将卡车停在我们的无线网桥前面。查找不良端接（使用电缆测试仪）、不符合规格的电缆线路、双工不匹配或广播环路，特别是如果您无法物理控制所有交换基础设施。
第 7 层：查找客户端或服务器配置错误或不再相关的配置（Wireshark 是您的好朋友）。DNS 问题。白天是否在运行网络备份？或者是否正在应用 WSUS 更新？等等。
第 8 层：最后似乎总有人通过 NetFlix 观看视频（RMON 或 SFlow 会发现这一点）。

Answer

使用 Wireshark 或 Tcpdump 来实际查看文件传输缓慢时发生的情况。问题可能与网络使用情况完全无关（很可能是第 7 层问题）。
隔离并重现问题：
- 只是一个客户端还是所有客户端？
- 是只有一台服务器还是所有服务器？
- 这种现象是经常发生还是偶尔发生？
- 您可以使用具体步骤来重现该问题吗？或者它只是“随机”发生？
您需要一个可管理的交换基础设施来收集有用的信息。RMON、SFlow 甚至 SNMP 提供的端口计数器或统计数据都将非常有用。

根据我的经验，人们经常将“速度慢”归咎于网络，但问题的根源却完全在其他地方。以下是一些例子：

在具有最小内存的工作站上运行的胖客户端应用程序
供应商在其设备上错误配置了路由
供应商将其设备配置为在我们的 DHCP 范围内具有静态地址，后来分配了这些地址的工作站出现“问题”
Youtube 很慢，因此网络也很慢。（是的，Youtube 很慢……因为我们限制了它）。
工作站配置错误，无法索引用户的网络共享
Internet Explorer 的更新破坏了与用于管理一些 COTS 嵌入式设备的古老（大约 2006 年）Web 服务器的向后兼容性。IE 不再发出“正确的”GET 请求，导致每个会话都被重置。固件升级改善了这种情况。

其他一些建议（一般是以下三者之一）：

首先检查物理层和数据链路层。十有八九，这是一条被人用办公椅反复碾过的跳线（顺便说一句，端口错误将显示在 SNMP 报告的交换机统计信息中……有用吗？）。或者搬家公司将卡车停在我们的无线网桥前面。查找不良端接（使用电缆测试仪）、不符合规格的电缆线路、双工不匹配或广播环路，特别是如果您无法物理控制所有交换基础设施。
第 7 层：查找客户端或服务器配置错误或不再相关的配置（Wireshark 是您的好朋友）。DNS 问题。白天是否在运行网络备份？或者是否正在应用 WSUS 更新？等等。
第 8 层：最后似乎总有人通过 NetFlix 观看视频（RMON 或 SFlow 会发现这一点）。

Question 4

我建议您使用 syneticon-dj 建议的托管交换机，并配置本地服务器来监控其重要数据和流量，您可以使用 cacti 绘制其流量、cpu/内存使用情况等图表。您还可以将其配置为在阈值超过您配置的某个级别时发出警报，nagios 在此类警报任务中会更有用。

Answer

我建议您使用 syneticon-dj 建议的托管交换机，并配置本地服务器来监控其重要数据和流量，您可以使用 cacti 绘制其流量、cpu/内存使用情况等图表。您还可以将其配置为在阈值超过您配置的某个级别时发出警报，nagios 在此类警报任务中会更有用。

相关内容