Jak zlokalizować urządzenie obciążające sieć LAN z 40 komputerami?

Question

Witam Wszystkich!

Mam problem w swojej sieci LAN a chodzi o to, że czasami wysycony jest upload lub download i nie ma internetu. Nie wiem za bardzo jak wyłapać, który komputer/komputery robi mi problemy, gdyż urządzeń jest ok. 40. Są one podłączone do switch a on do routera. Router DSL bez mozliwości dzielenia łącza.

Proszę o pomoc doświadczonych użytkowników jak mogę zlokalizować źródło problemu.

bogiebog · Answer

Przepustowość łącza ? Router model ? Nie rozumiem, jedno łącze, 40 komputerów a router nie dzieli łącza ? Jakiś switch tam masz ? niektóre zarządzalne switch mają możliwość podawania całego ruchu na dany port.

lasochamarek · Answer

Jeśli chodzi o przepustowość łącza to DSL 8Mb. Router Cellpipe, który nie ma funkcji podziału łącza (taką informację uzyskalem od TP). Mój switch D-Link 24 portowy. A czy jest jakaś aplikacja, która pokaze mi IP urządzenia i ilość pakietów jakie są wysyłane lub odbierane?

bogiebog · Answer

Nie ma ponieważ switch separuje ruch, tzn ruch między A a netem nie jest widoczny dla B. Myśle że router jednak dzieli łącze (NAT-uje), no chyba że każdy z 40 urządzeń ma publiczny IP, a ma ? Dodano po 1 [minuty]: Myślę że potrzebujesz router z podziałem pasma, wpięty za twoim routerem, coś z tomato na pokładzie. (net) === [cell] === [router tomato] ==> switch

lasochamarek · Answer

Nie wszyscy mają wewnetrzne IP np. 10.0.0.2, 10.0.0.3.

bogiebog · Answer

Lista routerów pod tomato Dodano po 1 [minuty]: Parametry łącza Upload ? Download ?

lasochamarek · Answer

Domyślam się, że kolega proponuje mi wyrzucenie dotychczasowego routera i zastąpienia go nowym. Zdaje sobie sprawę, że to jest najlepsze rozwiązanie jednakże dalej będę upierał się przy aplikacji do monitoringu sieci gdyż na router będę musiał zorganizować kasę a na razie z tym cieniutko.

bogiebog · Answer

Może przeczytaj sobie co napisałem.

lasochamarek · Answer

nie za bardzo orientuje się co oznacza tomato

bogiebog · Answer

Wiesz jak ja się nie orientuję to budzę babcia i babcia mi doradza. Jak nie masz babci to masz wujka gugla. A poza tym podałem ci linki.

lasochamarek · Answer

sprawdziłem na google no i powiem szczerze chyba funkcja tomato rozwiązałaby całą sprawę. domyslam sie ze mogę sprawdzic cały ruch w sieci. tylko co mogę zrobić zastąpić ten co mam czy dodać go pod tym tpsy ? w sumie to już chyba moja sprawa jak go sobie podczepie. a wracając do jakiegoś softu?

bogiebog · Answer

Dodano po 1 [minuty]: Ty masz rzeczywiście 40 użytkowników aktywnych jednocześnie na tym łączu ?

lasochamarek · Answer

tak i z każdym tygodniem dochodzi nowy.

bogiebog · Answer

Się zastanawiam czy tomato wydoli z tablicą na 40 użytkowników, gulgaj. Pewnie tak, tylko kwestia jaki router (CPU Mhz) podepniesz.

lasochamarek · Answer

Moim zdaniem nie ma sensu oszczedzać na sprzecie skoro sieć się rozrasta. Domyślam się, że softu o ktory mi chodzi to raczej nie znajde (zaznaczam, że szperam po necie od kilku tygodni)

bogiebog · Answer

ehhh, soft taki nic ci nie da (o ile istnieje) ponieważ (piszę po raz 2gi) twój komputer _nie widzi_ całego ruchu internetowego. Tylko w routerze możesz 'zobaczyć' cały ruch internetowy.

Dodano po 57 [sekundy]:

lasochamarek napisał:
Moim zdaniem nie ma sensu oszczedzać na sprzecie skoro sieć się rozrasta.

Może jakiś stary PC (1Ghz) + linux na pokładzie. Usuwasz dyski i system startujesz z Pendriva.

lasochamarek · Answer

Dzisiaj zrobiłem bridge z mojego cellpipe i podłączyłem tp-linka tl wr0740n. na poczatku było wszystko ok. ale za jakas godzine dalej zaczely pingi rosnac. no to skorzystalem z funkcji qos i ustawilem przydzialy dla mojej sieci ( download na poziomie 2 mega i upload na 250 kilo). okazalo sie (po telefonie do tpsa) ze mam wykorzystany 2 mega downloadu z 8 ale pingi dalej wysokie. zaznacze ze w swojej sieci mam ok. 30 komputerow i 6 drukarek.

jimasek · Answer

Nie wiem czy WR740N jest dobrym rozwiązaniem dla tak rozbudowanej sieci, spróbuj wgrać DD-WRT masz więcej możliwości zarządzania i możliwość obejrzenia statystyk, tego co się dzieje w sieci i routerze.

lasochamarek · Answer

czy moj router pociagnie dd-wrt?

jimasek · Answer

TP-Link TL-WR740N v4 TP-Link TL-WR740N v1.0 Znajdziesz na moim chomiku w dziale Instrukcje/TP-Link/oprogramowanie, osobiście testowałem dla v4.

lasochamarek · Answer

Witam
Dzisiaj zrobilem maly test mojej sieci no i opiszę co mnie zaskoczyło.

Zamieniłem mój dotychczasowy router na IPCOPa no i bez zmian. Ciekawa rzecz jaką można zauważyć to praktycznie zero obciążenia łącza bo na IPCOPie nie miałem praktycznie zadnego ruchu a wewnątrz sieci pokazywało mi, że pingi mam po 300, 500 ms. Następna ciekawa rzecz to po odpieciu calej sieci lan i podpieciu jednego kompa bezposrednio pod router parametry byly praktycznie wzorcowe, po podpieciu sieci mialem 1/3 mozliwego transferu.

seb235 · Answer

Dopinaj kolejne urządzenia sprawdzając kolejno kiedy wystąpi problem. Wydaje mi się że coś masz nie tak z którymś klientem sieci

lasochamarek · Answer

Szukałem pomocy na google.pl i chyba najlepiej będzie jak powypinam każde urządzenie w celu sprawdzenia. Tylko mam pewne obawy, gdyż wysokie pingi nachodzą i odchodzą. Nie mam pewności czy wypne na pewno urządzenie, które mi sypie po sieci.

lasochamarek · Answer

Problem dalej powrócił chociaz zrobiłem następujące procedury:

- przeskanowałem wszystkie komputery programem antywirusowym.
- posprawdzałem patchcordy,
- postawiłem router ipcop.

Pingi zmniejszyły się, np. pingując www.wp.pl czasy mam na poziomie 30-50 ms.
Jednakze dalej zdarza się co jakiś czas, że wzrasta do 1000ms. Po jakieś chwili wraca do normy. Co można byłoby jeszcze zrobić.

seb235 · Answer

Mam propozycje, sprawdź czy ping wzrasta do twojego routera czy do brzegowego routera dostawcy, jeżeli do twojego to problem jest poważny i trzeba dojść ręcznie. Jeżeli do routera dostawcy to wystarczy że któreś z urządzeń coś wysyła i zapycha łącze. A wtedy rzecz jasna rosną pingi.

DSL 8Mb czyli wysył masz max 512 bez żadnego sensownego routera może się to zapychać i tutaj wiele nie zrobisz, pora chyba zainwestować w mikrotika choćby RB750 i zacząć coś sensownie planować ustawiać. Ja osobiście na potrzeby sieci domowej używam RB450G jest on znacznie droższy ale i znacznie mocniejszy

lasochamarek · Answer

Domyślam się, że może być to u mnie. Skanowałem sieć programami antywirusowymi i wykryło mi troche tego syfu. Wydaje mi się, że mój soft nie wyłapał wszystkiego. Mój router pokazuje, który komputer wysyła lub odbiera z którego portu i o to najczęstsze które się powtarzają.

- 53
- 80
- 587
- 443
- 110
- 57945
- 20318
- 40005
- 18293
- 52555
- 12350
- 18292
- 8250

Co do pierwszych pięciu to nie mam wątpliwości do czego one służą jednak kolejne to już nie jestem pewien czy jest ok.

Dodam jeszcze, że niekiedy mam problem z dostarczaniem emaili do ludzi. prawdopodobnie serwer pocztowy nas odrzuca ze niby rozsyłam spam

marek1712 · Answer

Te pozostałe porty nic nie mówią, bo to nie są tzw "well known ports". Mogą ich używać zarówno normalne programy, jak i malware.

Co do ruchu w sieci - jeśli jest to porządny switch zarządzany z obsługą SNMP to możesz pokusić się o skonfigurowanie MRTG. Z drugiej strony przy takiej przepustowości to wiele nie zobaczysz.

Jeśli lag wzrasta ot tak sobie do wysokich poziomów to bardzo prawdopodobne, że coś nachalnie wysyła dane i pakiety TCP ACK przychodzą z opóźnieniem (do zaobserwowania, gdy ktoś np. ostro korzysta z P2P).
Przychylam się też do opinii kolegów - przy takiej ilości komputerów warto już zastanowić się nad normalnym routerem (typu CISCO 8XX, 18XX).

EDIT - możesz poćwiczyć Wiresharkiem i podsłuchać które stacje wariują.
Pingi w LANie są normalne czy też wariują?

lasochamarek · Answer

Jesli chodzi o sieci to dopiero zaczynam poznawać ten swiat więc od razu powiem ze jeszcze jestem zielony. Zeskanowałem wszystkie kompy w sieci i efekt byl natychmiastowy pingi obniżyly się.

Jednakże dalej zdarza się, że ping natychmiast wariuje. Nie za bardzo wiem w jaki sposob to wylapac gdyż mam duzo połączeń na nastepujących portach m.in.

- 53
- 80
- 587

Syf typu malware, spamy ite bzdety korzystają z tych portów czy raczej korzystają ze swoich.

marek1712 · Answer

Bywa i tak, i tak.
Port 53 wykorzystywany jest do komunikacji z DNS. Jeśli twój DHCP podaje jako serwer nazw adres DNSa operatora, to będziesz miał dużo odwołań właśnie do niego (każde zapytanie, nawet o reklamę na stronach internetowych). Może być wykorzystywany do ataku DoS na serwer DNS ale to wątpliwe.
80 - czyli HTTP. Możliwy atak na jakiś serwer WWW. Ale raczej to normalny ruch połączeniowy ze stronami internetowymi.
587 - SMTP. Sprawdź dokładnie do jakich serwerów są wykonywane te połączenia. Port ten nie powinien znajdować się po stronie lokalnej - inaczej jakiś trojan urządził sobie open relay na którymś z komputerów.

Generalnie - przejedź po kolei DOKŁADNIE każdą maszynę programem antywirusowym (np. MSE). Dopiero wtedy można będzie szukać dalej przyczyn.

lasochamarek · Answer

Przeskanowałem każdą jednostkę Symantec Endpoint Protection oczywiście wykrył mi syf ale czym jeszcze skutecznym i polecanym można przeskanować kompy w celu głębszego odkurzania.

Jak zlokalizować urządzenie obciążające sieć LAN z 40 komputerami?

Jak zlokalizować, który komputer lub komputery w sieci LAN z ok. 40 stacjami obciążają łącze internetowe?

Post #1

Post #2

Post #3

Post #4

Post #5

Post #6

Post #7

Post #8

Post #9

Post #10

Post #11

Post #12

Post #13

Post #14

Post #15

Post #16

Post #17

Post #18

Post #19

Post #20

Post #21

Post #22

Post #23

Post #24

Post #25

Post #26

Post #27

Post #28

Post #29

Post #30

Podsumowanie tematu