Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 34254 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verursacher für hohen Traffic ausfindig machen, wie?

funkyice
Servus zusammen,

immer wieder stelle ich fest, dass das Aufrufen von Internetseiten sehr langsam geht. Wir haben eine 10 MBit Standleitung bei der Telekom. Das ist nun kein Tempowunder, aber normalerweise lassen sich Websiten ohne größere Ladezeiten aufrufen.
Ein Blick in die Auswertungen signalisierte mir einen ernorm hohen Down-Traffic. Ich würde nun gern herausfinden wer oder was diesen verursacht, habe das aber noch nicht herausfinden können.
Es läuft wohl ein Webradio irgendwo, aber hier wird der aktuelle Traffic mit nur 81 MB angegeben für heute.

Wir haben eine ASTARO bzw. Sophos UTM9 im Einsatz.
Weiß jmd. wie das funktioniert bzw. wie man nähere Infos bekommt?

Danke und viele Grüße
Sebastian


This thread was automatically locked due to age.
Parents
  • 0
    Hallo,

    Das geht ganz toll mit der Conosle:
    Putty  (Shell Zugriff muss natürlich aktiv sein..)

    bitte diese Befehle:

    loginuser

    su
     eingeben

    iftop -i  eth0 

    Nun bekommst du eingehenden und ausgehenden Traffic angezeigt. 
    Natürlich mit der Aufgeschlüsselten IP-Adresse...
    Ist auf den ersten Blick etwas verwirrend, die Pfeile geben die Richtung an und die weißen Balken sollen
    wohl die "auslastung visualisieren".

    Anstatt eth0 kannst du natürlich die Schnittstelle deiner Wahl eingeben.

    Verlassen mit STRG+C

    Hier findet Ihr sehr viele nützliche Consolenbefehle(komischer Seitenaufbau.. nicht wundern)
    https://valentin-laett.ch/projekte/sophos-utm_tipps.php

    Grüße
  • 0 in reply to Fragensteller
    Hallo,

    Das geht ganz toll mit der Conosle:
    Putty  (Shell Zugriff muss natürlich aktiv sein..)

    bitte diese Befehle:

    loginuser

    su
     eingeben

    iftop -i  eth0 

    Nun bekommst du eingehenden und ausgehenden Traffic angezeigt. 
    Natürlich mit der Aufgeschlüsselten IP-Adresse...
    Ist auf den ersten Blick etwas verwirrend, die Pfeile geben die Richtung an und die weißen Balken sollen
    wohl die "auslastung visualisieren".

    Anstatt eth0 kannst du natürlich die Schnittstelle deiner Wahl eingeben.

    Verlassen mit STRG+C

    Hier findet Ihr sehr viele nützliche Consolenbefehle(komischer Seitenaufbau.. nicht wundern)
    https://valentin-laett.ch/projekte/sophos-utm_tipps.php

    Grüße


    Hi, danke für den Tipp. Ich kannte mich bislang nicht mit dem Zugriff via Console aus - daher hatte ich etwas gebraucht, bis ich eingeloggt war. [:D]
    Ich habe mal getan, was du gesagt hast, allerdings erscheint auch hier keine interne IP-Adresse, nur die externen IP's bzw. Domains werden angezeigt (siehe Screenshot 1). Eigentlich ist das nur eine andere Ansicht für den Flow-Monitor auf gleichen Schnittstelle (siehe Screenshot 2). 
    Hat vielleicht noch jemand eine andere Idee für das Problem?! Was kann man sonst noch machen um den Traffic bezogen auf die internen IPs anzuzeigen?
  • 0 in reply to bohmer
    Hallo,

    wähle bitte die Schnittstelle aus die sich an das betroffene Netzwerk richtet.
    Bei uns ist es eth0 (Firmennetz)... dann siehst du zwar auch traffic der von einem Netz ins andere wandert, aber dafür  die internen Adressen aufgeschlüsselt.

    es ist eben nicht die gleiche Ansicht, da hier der Uncallsified Traffic nach Adressen aufgeschlüsselt wird auch jende die von der Protokollierung ausgeschlossen wurden
    Im Flow Monitor geht das nur wenn die IP-Adressen in der UTM als Netzwerkhosts hinterlegt wurden. 
    (Zumindest ist das mein Wissensstand)

    Bitte die Schnittstellen durchprobieren und herausfinden wer den Traffic verursacht.


    So wie mir das aussieht hast du direkt die DSL Schnittstelle gewählt.
    Richtig ist es wenn links das entfernte Netzwerk steht und rechts die interne IP-Adresse

    Gruß
  • 0 in reply to Fragensteller
    Hallo,

    wähle bitte die Schnittstelle aus die sich an das betroffene Netzwerk richtet.
    Bei uns ist es eth0 (Firmennetz)... dann siehst du zwar auch traffic der von einem Netz ins andere wandert, aber dafür  die internen Adressen aufgeschlüsselt.

    es ist eben nicht die gleiche Ansicht, da hier der Uncallsified Traffic nach Adressen aufgeschlüsselt wird auch jende die von der Protokollierung ausgeschlossen wurden
    Im Flow Monitor geht das nur wenn die IP-Adressen in der UTM als Netzwerkhosts hinterlegt wurden. 
    (Zumindest ist das mein Wissensstand)

    Bitte die Schnittstellen durchprobieren und herausfinden wer den Traffic verursacht.


    So wie mir das aussieht hast du direkt die DSL Schnittstelle gewählt.
    Richtig ist es wenn links das entfernte Netzwerk steht und rechts die interne IP-Adresse

    Gruß


    Danke für deine Hilfe. Leider komme ich so immer noch nicht weiter. 
    Wenn ich aber die Eth00-Schnittstelle, also für das interne Netz nehme, sehe ich auch nur "normale Downloads oder Internetverkehr", also das was ich sehe, wenn ich den Flow-Monitor auf Eth00 "Ausgehend" aktiviere. Ich habe ja das Problem, dass ich zwischen der Eth00 (internes Netz) und Eth01 (WAN) eine Differenz von 4-5 Mbit/sek. habe -und ich diesen Download nicht ausfindig machen kann. 
    Nachfolgend mal der Screenshot von den beiden Netzwerkschnittstellen, zur gleichen Zeit, wo ein Download über WAN (von 4-5 Mbit) erfolgt ist.
Reply
  • 0 in reply to Fragensteller
    Hallo,

    wähle bitte die Schnittstelle aus die sich an das betroffene Netzwerk richtet.
    Bei uns ist es eth0 (Firmennetz)... dann siehst du zwar auch traffic der von einem Netz ins andere wandert, aber dafür  die internen Adressen aufgeschlüsselt.

    es ist eben nicht die gleiche Ansicht, da hier der Uncallsified Traffic nach Adressen aufgeschlüsselt wird auch jende die von der Protokollierung ausgeschlossen wurden
    Im Flow Monitor geht das nur wenn die IP-Adressen in der UTM als Netzwerkhosts hinterlegt wurden. 
    (Zumindest ist das mein Wissensstand)

    Bitte die Schnittstellen durchprobieren und herausfinden wer den Traffic verursacht.


    So wie mir das aussieht hast du direkt die DSL Schnittstelle gewählt.
    Richtig ist es wenn links das entfernte Netzwerk steht und rechts die interne IP-Adresse

    Gruß


    Danke für deine Hilfe. Leider komme ich so immer noch nicht weiter. 
    Wenn ich aber die Eth00-Schnittstelle, also für das interne Netz nehme, sehe ich auch nur "normale Downloads oder Internetverkehr", also das was ich sehe, wenn ich den Flow-Monitor auf Eth00 "Ausgehend" aktiviere. Ich habe ja das Problem, dass ich zwischen der Eth00 (internes Netz) und Eth01 (WAN) eine Differenz von 4-5 Mbit/sek. habe -und ich diesen Download nicht ausfindig machen kann. 
    Nachfolgend mal der Screenshot von den beiden Netzwerkschnittstellen, zur gleichen Zeit, wo ein Download über WAN (von 4-5 Mbit) erfolgt ist.
Children
  • 0 in reply to bohmer
    Hallo,

    ja diese technik verwenden wir bei uns nur um herauszufinden wer hauptsächlich die Leitung dicht macht. Wenn du natürlich nach gewissen nicht "auffindbaren" Größen suchst wird es hier schwirig.

    Ich denke das Problem ist, das du nur von ETH00 zu Wan prüfst. Wenn du aber mehrere Schnittstellen mit Internetzugang verwendest werden eben genau diese nicht auftauchen [8-)]

    Man müsste hier von Wan Schnittstelle zu www loggen. Problem.. hier tauchen keine interne Adressen auf [:@]

    Sorry auch wir konnten dieses Problem nicht lösen.
Cookie Information Banner