Om UNI•C
Kontakt
Nyheder og nyhedsbreve
Publikationer
Job
English
Sitemap
Teknik
Oplæsning
SøgAnalysering af internettrafik
Fildeling og spam kan føre til overbelastning af en Sektornet opkobling pga. en stor mængde udadgående trafik. Nedenstående eksempel kan hjælpe til hvordan man finder frem til fejlkilden.
Sektornet Abuse
Som det kan ses på billedet, er denne 4,1 Mbit ADSL overbelastet af udadgående trafik fra lokalnetværket. Dette vises med den blå streg. Dvs. der ”uploades” data fra en eller flere pc’er på lokalnettet til en eller flere servere på internettet.
En ADSL-forbindelse er en asynkron dataforbindelse – i dette tilfælde 4,1 Mbit downstream og 768 Kbit upstream, og hvis alt udadgående (upstream) båndbredde er i brug, fungerer indadgående (downstream) båndbredde ikke. Derfor er det meget vigtigt at holde øje med sin trafikmåling via Værktøjskassen, hvis man synes at netværksforbindelsen virker langsom eller ustabil.
Lokalisering af problemet
For at finde frem til årsagen til problemet, er man nødt til at undersøge trafikmønsteret, og på den måde prøve at finde ud af om der er tale om lovlig eller ulovlig trafik.
I dette eksempel har vi gjort brug af 2 router opslagskommandoer, som er tilgængelige i Værktøjskassen:
I eksemplet nedenfor har vi brugt kommandoen show ip accounting, som viser hvor meget trafik (hvor mange pakker, samt hvor mange bytes) der flyttes mellem en source- og en destination IP-adresse.
IP accounting er aktiv indtil man slår det fra igen. For at få et datagrundlag, der viser noget brugbart, bør man lade det køre i ca. 5 minutter. Så vil de ”støjende” maskiner skille sig kraftigt ud. Det er dog vigtigt at slå funktionen fra igen, når man er færdig med sin fejlsøgning, da funktionen belaster routeren yderligere.
Som det kan ses fra dette output, sender serveren/pc’en med IP adressen 195.231.XXX.230 mange pakker/bytes:
|
Source |
Destination |
Packets |
Bytes |
|
195.231.XXX.230 |
195.231.218.167 |
2971 |
4020896 |
|
195.231.XXX.230 |
195.231.218.168 |
1953 |
2626202 |
Accounting data age is 1
Omregnet til megabytes er det henholdsvis 3,83 MB og 2,50 MB, hvilket er sket indenfor det sidste 1 minut, som det ses nederst i resultatet.
Følgende link kan bruges til at omregne fra bytes til megabytes.
Analyse af trafikken
For at kontrollere om trafikken er ulovlig eller på anden måde mistænkelig, ser vi nærmere på resultatet som vi får ud af kommandoen – hvor vi dog udelukkende kan spore downstream-trafik (download):
show ip inspect sessions
---
Session 81305C58 (195.231.XXX.206:1731)=>(80.69.226.133:80) tcp SIS_OPEN
Session 81306A68 (195.231.XXX.201:1150)=>(195.231.241.194:510) tcp SIS_OPEN
---
Første linje viser at pc’en med IP-adressen 195.231.XXX.206 er i kontakt med IP-adressen 80.69.226.133 på port 80. Ifølge www.ripe.net bliver denne IP-adresse ejet af SOL, så brugeren surfer måske på www.sol.dk.
Anden linie viser at pc’en med IP-adressen 195.231.XXX.201, kontakter IP-adressen 195.231.241.194 på port 510. En smule detektivarbejde afslører, at IP-adressen 195.231.241.194, som UNI•C ejer, hører under SkoleKom, samt tcp port 510 er den port FirstClass-klienten benytter. Dermed kan vi se at brugeren på denne pc er forbundet til SkoleKom vha. FirstClass.
På den måde analyserer man resultaterne fra routeren, når man skal finde årsagen til problemet. Meget tyder på at problemet skyldes den store mængde udgående trafik fra pc’en med IP-adressen 195.231.XXX.230. På maskinen kørte en fejlkonfigureret mailserver, som blev misbrugt af spammere til at udsende store mængder ulovlig post – derfor var linjen fuld belastet i udadgående retning.
Se hele resultatet af Show IP accounting.
Relaterede links
www.ripe.net - hvem er en given IP-adresse registreret til?
Port Knowledgebase - hvilke programmer benytter hvilke porte?
