Jak sprawdzi

Pietro54 · Post autor: **Pietro54** » 22 października 2009, 22:47

Mam pytanie ponieważ ostatnio jest problem w mojej sieci, jak sprawdzić co leci po konkretnych portach? Ponieważ wysyłanie danych w azureusie rzędu 10kb potrafi kompletnie zamulić moje łącze, mam wrażenie że coś się wpycha do kolejek priorytetowych.
Natomiast co ciekawe ping i dig właściwie nic nie wykrywają a strony wloką się jak krew z nosa.

Kod: Zaznacz cały

Query time: 25 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Oct 21 09:27:48 2009
;; MSG SIZE  rcvd: 150

serwer:/etc/firewall# ping wp.pl
PING wp.pl (212.77.100.101) 56(84) bytes of data.
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=1 ttl=248 time=27.3 ms
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=2 ttl=248 time=38.1 ms
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=3 ttl=248 time=25.9 ms
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=4 ttl=248 time=25.5 ms
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=5 ttl=248 time=29.3 ms
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=6 ttl=248 time=33.5 ms
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=7 ttl=248 time=26.2 ms

Będę wdzięczny za pomoc.

winnetou · Post autor: **winnetou** » 22 października 2009, 23:25

Dziękuje...

Ister · Post autor: **Ister** » 23 października 2009, 09:10

Ja polecam jeszcze iptraf. Bardzo sympatyczne narzędzie do kontrolowania co się aktualnie w sieci dzieje. Np. masz bieżące statystyki ruchu z rozbiciem na połączenia. Możesz posortować i zobaczyć co aktualnie zabiera Ci największą część łącza, dokładniej jaki adres i jakie porty. A to już wystarczy przynajmniej do lokalizacji usługi.

Pietro54 · Post autor: **Pietro54** » 23 października 2009, 09:45

Mam iptrafa, z tym że ja go chyba nie umiem w ten sposób jak mówisz wykorzystać, sam zaraz poszukam jakiś podpowiedzi w internecie, ale jakbyś miał coś w rodzaju poradnika to byłbym wdzięczny.

Ister · Post autor: **Ister** » 23 października 2009, 10:40

Generalnie ja tam korzystam przede wszystkim z dwóch funkcji, obie w momencie obciążenia łącza:

1. IP traffic monitor
Pozwala śledzić Ci bieżące pakiety. To jest wygodne jak podejrzewasz, że chodzi coś na przykład na jakimś dziwnym porcie. Tu możesz np zobaczyć z jakimi adresami się łączy przykładowo wspomniany azureus
2. LAN station monitor
Tutaj monitorujesz bieżące natężenie ruchu. I to jest właśnie opcja, które w tej chwili Cię interesuje. Uruchamiasz ją (wybierając strzałkami bądź naciskając L), wybierasz interfejs, który Ci się nie podoba (np u mnie będzie to eth0 lub wlan0 dla połączeń ze światem w zależności czy ciągnę po kablu, czy bezprzewodowo) i po chwili pojawia Ci się zestawienie aktywnych połączeń. Zestawienie jest na bieżąco uzupełnianie. Znajdujesz co mocno obciąża (możesz sortować według różnych zasad, użyj do tego celu s), zapisujesz sobie hwaddr największych "zapychaczy", następnie przechodzisz do IP traffic monitor, za pomocą m zmieniasz, żeby wyświetlały się MAC adresy i odnajdujesz co Ci tak zapycha (jaki port, jaki adres IP). Pamiętaj tylko, że wcześniej dostęp do MAC adresów w LAN station monitor trzeba włączyć w konfiguracji.

Mam nadzieję, że napisałem dość jasno. Jak nie to pisz, wyjaśnię, gdzie będą wątpliwości.

Pietro54 · Post autor: **Pietro54** » 23 października 2009, 11:00

Wszedłem w ,,Statistical breakdowns'' i ,,sorty by tcp udp port'', zaczynają się schody.
U mnie azerus pracuje na pełnych obrotach a iptraf nie wyłapuje tego. Wyłapuje ślicznie, że leci ruch na porcie 22, ssh, jak włączam przeglądarkę uruchamia się port 80, to działa, gdy włączyłem azerusa, pojawiło się sporo nowych portów, z tym że ,,iptraf'' nie wykrywał na nich ruchu.

Nagrałem specjalnie filmik, w późniejszej fazie odpalam azerusa, który już nawiązał jakieś połączenia, śle jak i odbiera co pokazane na filmiku, a iptraf tego zdaje się nie zauważać.
http://www.youtube.com/watch?v=-bHiIPWpjy0

[Dodano: 2009-10-23, 11:29]
Starałem się zrobić tak jak mówiłeś, z tym że Ja w tym chaosie nie mogę się ogarnąć?
Jakbyś mi chociaż podpowiedział jak usunąć całą resztę i zostawić tylko konkretny adres, bo ja wiem kto jest powodem zamieszania. Ja, z tym że chciałbym zobaczyć jak ten mój azerus omija kolejki.

Ister · Post autor: **Ister** » 23 października 2009, 11:31

,,Statistical breakdowns'' nic Ci nie daje. Pisałem których dwóch opcji masz użyć do lokalizacji co Ci zapycha łącze. Spróbuj i zobacz czy tam widać ten ruch. Musi tam być widoczny.

Pietro54 · Post autor: **Pietro54** » 23 października 2009, 13:33

Tak, zrobiłem tak jak mówiłeś i w Iptrafic monitor na 99% to jest, ale jest problem taki iż chciałbym odseparować wszystkie niepotrzebne mac adresy.
Bo gdy zbiera się choć dwóch delikwentów ciągnących p2p to po prostu jest nieczytelne, zbyt duża ilość wpisów tcp jak i udp. Czy da się to jakoś odseparować?

Ister · Post autor: **Ister** » 23 października 2009, 20:11

Na pewno masz możliwość filtrowania, ale przyznaję, że nigdy tego nie robiłem (nie miałem takiej potrzeby). Masz tam zakładkę z filtrami, gdzie ustawiasz co chcesz widzieć.
Z drugiej strony nie wiem co to dla Ciebie znaczy duża ilość wpisów, ja często pracowałem na gdzieś tak setce wpisów. Kwestia wprawy ;-)

Pietro54 · Post autor: **Pietro54** » 24 października 2009, 16:24

Przyznam, że troszkę nie mogę sobie poradzić z tym filtrowaniem, stworzyłem taki filtr:

Ale dalej wyłapuje mi inne ip z sieci?

http://articles.techrepublic.com.com/51 ... 32953.html

Starałem się wzorować na tej stronie ale coś chyba jednak robię nie tak, nie macie może pomysłu?

Jak sprawdzi

Jak sprawdzić co leci po konkretnych portach?