Re: Trovare un pc in rete che genera troppo traffico
Domenico Rotella ha scritto lo scorso 20/01/2012 12:12: Il giorno 20 gennaio 2012 10:48, Marco Bertorello ma...@bertorello.ns0.it mailto:ma...@bertorello.ns0.it ha scritto: Forse arrivo tardi, ma hai provato jnettop (c'è anche in debian): http://jnettop.kubs.info/wiki/ Installato sul gw (o su un pc dedicato messo fra il gw e il resto della rete) dovrebbe aiutarti ad individuare il PC ciao -- Marco Bertorello System Administrator http://bertorello.ns0.it prima di sgomberarci sgombratevi il cervello noi siamo la comunità toglietevi il cappello Questo programma non lo conoscevo, provo ad installarlo, tanto dal cliente non riesco ad andare subito, ma magari blocco il pc dal firewall. Questo computer fra l'altro mi satura la banda verso internet, non la rete locale, e tutti i computers escono attraverso il mio firewall debian. Adesso provo. Grazie. Domenico. A volte virus e trojan creano delle interfacce virtuali, e basta un netdiscover per individuarle (sono quelle con IP duplicati); altrimenti, hai mai provato snort? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f1d158f.4090...@gmail.com
Re: Trovare un pc in rete che genera troppo traffico
Se la rete è sotto switch usiamo ettercap e facciamo arp-poisoning Alternativa (giusto per dire qualcosa di diverso): Se avete uno switch gestito risponderà alla domanda direttamente il bios dello switch, poi se è L3 avrete anche maggiori informazioni. Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120120093547.m52...@corep.it
Re: Trovare un pc in rete che genera troppo traffico
Il 19 gennaio 2012 14:32, Domenico Rotella rotella.domen...@gmail.com ha scritto: Buongiorno a tutti, ho un piccolo problema con la rete di un cliente. Ho un host che probabilmente a causa di un virus, consuma 3/4 della banda disponibile. Sto cercando un tool che mi permetta di monitorare il traffico di rete per capire quale sia l'host incriminato. Ho trovato vnstat, ma misura il traffico su tutta l'interfaccia e non per singolo host. Conoscete un programma che faccia questo ? Ovvio potrei anche sniffare la rete con ethereal ma sarebbe decisamente più complicato. Forse arrivo tardi, ma hai provato jnettop (c'è anche in debian): http://jnettop.kubs.info/wiki/ Installato sul gw (o su un pc dedicato messo fra il gw e il resto della rete) dovrebbe aiutarti ad individuare il PC ciao -- Marco Bertorello System Administrator http://bertorello.ns0.it prima di sgomberarci sgombratevi il cervello noi siamo la comunità toglietevi il cappello -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CALymkU4suefYVJ6gwU1fEcrvmN5OCi_uRfU-_d_-kxnC1F=l...@mail.gmail.com
Re: Trovare un pc in rete che genera troppo traffico
Il giorno 20 gennaio 2012 10:48, Marco Bertorello ma...@bertorello.ns0.itha scritto: Forse arrivo tardi, ma hai provato jnettop (c'è anche in debian): http://jnettop.kubs.info/wiki/ Installato sul gw (o su un pc dedicato messo fra il gw e il resto della rete) dovrebbe aiutarti ad individuare il PC ciao -- Marco Bertorello System Administrator http://bertorello.ns0.it prima di sgomberarci sgombratevi il cervello noi siamo la comunità toglietevi il cappello Questo programma non lo conoscevo, provo ad installarlo, tanto dal cliente non riesco ad andare subito, ma magari blocco il pc dal firewall. Questo computer fra l'altro mi satura la banda verso internet, non la rete locale, e tutti i computers escono attraverso il mio firewall debian. Adesso provo. Grazie. Domenico. -- --- Eliminato l'impossibile ciò che resta per quanto improbabile è la verità. Conan Doyle.
Re: Trovare un pc in rete che genera troppo traffico
wireshark su un nodo a caso della rete, con l'interfaccia di rete in modalità promiscua se tutti i nodi sono lasciati in idle dovresti individuare il colpevole in pochi secondi luca -- Chiave pubblica http://luca.costantino.googlepages.com/luca.costantino.asc Prima di tutto vennero a prendere gli zingari e fui contento, perché rubacchiavano. Poi vennero a prendere gli ebrei e stetti zitto, perché mi stavano antipatici. Poi vennero a prendere gli omosessuali, e fui sollevato, perché mi erano fastidiosi. Poi vennero a prendere i comunisti, e io non dissi niente, perché non ero comunista. Un giorno vennero a prendere me, e non c’era rimasto nessuno a protestare. (Martin Niemöller) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/ca+vfghzsj5h-o0psdlpxgcobu2h_rvsujpsyubyymowx91p...@mail.gmail.com
Re: Trovare un pc in rete che genera troppo traffico
Il giorno 19 gennaio 2012 14:34, Luca Costantino luca.costant...@gmail.comha scritto: wireshark su un nodo a caso della rete, con l'interfaccia di rete in modalità promiscua se tutti i nodi sono lasciati in idle dovresti individuare il colpevole in pochi secondi luca -- Chiave pubblica http://luca.costantino.googlepages.com/luca.costantino.asc Prima di tutto vennero a prendere gli zingari e fui contento, perché rubacchiavano. Poi vennero a prendere gli ebrei e stetti zitto, perché mi stavano antipatici. Poi vennero a prendere gli omosessuali, e fui sollevato, perché mi erano fastidiosi. Poi vennero a prendere i comunisti, e io non dissi niente, perché non ero comunista. Un giorno vennero a prendere me, e non c’era rimasto nessuno a protestare. (Martin Niemöller) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/ca+vfghzsj5h-o0psdlpxgcobu2h_rvsujpsyubyymowx91p...@mail.gmail.com Vero, grazie, solo che sul server in questione non ho X, lo controllo da remoto via ssh. Ho trovato ipband che funziona da console e lo sto provando, in teoria dovrebbe fare ciò che mi serve. Vi aggiorno, casomai servisse a qualcuno un giorno Ciao. -- --- Eliminato l'impossibile ciò che resta per quanto improbabile è la verità. Conan Doyle.
Re: Trovare un pc in rete che genera troppo traffico
Vero, grazie, solo che sul server in questione non ho X, lo controllo da remoto via ssh. Ho trovato ipband che funziona da console e lo sto provando, in teoria dovrebbe fare ciò che mi serve. Vi aggiorno, casomai servisse a qualcuno un giorno Ciao. prova anche iptraf. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f1821b1.9050...@gmail.com
Re: Trovare un pc in rete che genera troppo traffico
On 19/01/2012 14:44, Domenico Rotella wrote: Vero, grazie, solo che sul server in questione non ho X, lo controllo da remoto via ssh. Ho trovato ipband che funziona da console e lo sto provando, in teoria dovrebbe fare ciò che mi serve. Vi aggiorno, casomai servisse a qualcuno un giorno Ciao. tshark ?? o in ogni caso puoi fare un dump con un qualsiasi sniffer (tcpdump, dsniff,tshark etc) e analizzarlo successivamente via grafica su un altro computer se ti piace di più!
Re: Trovare un pc in rete che genera troppo traffico
Luca Costantino scrisse in data 19/01/2012 14:34: wireshark su un nodo a caso della rete, con l'interfaccia di rete in modalità promiscua se tutti i nodi sono lasciati in idle dovresti individuare il colpevole in pochi secondi Anche se la rete e sotto switch? Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f1827fd.4020...@riminilug.it
Re: Trovare un pc in rete che genera troppo traffico
In data giovedì 19 gennaio 2012 14:34:13, Luca Costantino ha scritto: wireshark su un nodo a caso della rete, con l'interfaccia di rete in modalità promiscua se tutti i nodi sono lasciati in idle dovresti individuare il colpevole in pochi secondi se i computer sono attaccati ad uno switch non credo, ognumo riceve solo il proprio trafficocredo, almeno dipende dal tipo di traffico che genera. Se non sono richieste broadcast non dovrebbe vederle. La soluzione potrebbe essere trovare un vecchio hub, metterlo prima della switch/router e da lì vedere chi è il colpevole... -- Giancarlo Martini (Replace 'AAA' with @) mailto:giancarlomartiniAAAkatamail.com Registered Linux user number 367542 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201201191536.52757.giancarlomart...@katamail.com
Re: Trovare un pc in rete che genera troppo traffico
Il giorno 19 gennaio 2012 15:27, SubSoNiK subso...@insicuri.net ha scritto: tshark ?? o in ogni caso puoi fare un dump con un qualsiasi sniffer (tcpdump, dsniff,tshark etc) e analizzarlo successivamente via grafica su un altro computer se ti piace di più! Credo di aver trovato il cattivo, usando iptraf e ipband. Comunque non è la grafica ad essere importante, solo che che nella rete ho un server a cui si collegano vari negozi per usare un software e quindi la rete è abbastanza piena di traffico, era giusto trovare un programma che in qualche modo mi permettesse di monitorare i singoli host. Grazie. Domenico. -- --- Eliminato l'impossibile ciò che resta per quanto improbabile è la verità. Conan Doyle.
Re: Trovare un pc in rete che genera troppo traffico
On 19/01/2012 14:34, Luca Costantino wrote: wireshark su un nodo a caso della rete, con l'interfaccia di rete in modalità promiscua se tutti i nodi sono lasciati in idle dovresti individuare il colpevole in pochi secondi luca Tieni presente che il tutto ti funziona solo se nella tua rete ci sono hub e non switch. Con gli switch la modalita' promiscua ti serve a poco e finiresti con lo sniffare solamente il traffico di broadcast e non chi genera effettivamente traffico. R -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f1828a0.90...@univr.it
Re: Trovare un pc in rete che genera troppo traffico
On 19/01/2012 15:26, Piviul wrote: Anche se la rete e sotto switch? Se la rete è sotto switch usiamo ettercap e facciamo arp-poisoning ;) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f182af3.6060...@insicuri.net