Rastreo y análisis del uso de Internet a través de la duplicación de puertos

Meta

En mi red de aproximadamente 10 computadoras, me gustaría saber quién está usando cuántos datos de Internet . Mi límite de datos está terminando más rápido de lo que debería y necesito encontrar el host + la aplicación responsable.

Configuración actual : todos los hosts LAN y el enrutador se conectan a un conmutador administrado. El puerto al enrutador se refleja en un puerto conectado a una PC de monitoreo. Por lo tanto, todo el tráfico hacia/desde el enrutador (incluido el tráfico de Internet) se copia en este puerto.

Intento hasta ahora

En la PC del monitor, Wireshark puede recoger los paquetes que me interesan, por ejemplo, solicitudes HTTP GET realizadas por otros hosts en la LAN. Sin embargo, la salida de Wireshark es demasiado cruda para mi propósito. Agradecería cualquier indicación de una herramienta que, en cambio, pueda mostrar el volumen total de tráfico agrupado por cada host/IP.

Software probado

  1. ntopng - ¡Esto es exactamente lo que quiero! Sin embargo, no siempre funciona. En una PC con Windows, su servicio solo se ejecuta durante unos segundos y se detiene automáticamente por alguna razón. En otra máquina con Windows, no captura tráfico (elimina todos los paquetes). En una máquina Linux, parece que solo captura el tráfico del host local. En estas 3 máquinas, Wireshark todavía funciona exactamente como debería, por lo tanto, estoy seguro de que todos los paquetes que necesito analizar llegan a la NIC.
  2. Wireshark - Demasiado bajo nivel y detallado
  3. Eterape - Información limitada disponible
  4. PRTG : se actualiza solo cada 30 segundos, interfaz de usuario complicada y sobrecargada de funciones
  5. Networx : solo monitorea el tráfico de la PC local
  6. Medidor DU : solo monitorea el tráfico de la PC local
  7. Microsoft Message Analyzer : no detectó ningún tráfico
  8. Fiddler : solo recogió el tráfico HTTP de la PC local

Requisitos

  1. Debe ejecutarse en Windows o Linux. Ex preferido.
  2. No es un software que debe instalarse en cada host y luego informar a un registrador central
  3. No usar un firmware personalizado (por ejemplo, DD-WRT o Tomato) en el enrutador
  4. Presente el análisis de los paquetes capturados de una manera simple que me permite ver una lista de los principales hosts de uso de Internet (por volumen), su uso real (volumen), sobre qué protocolo de capa de aplicación y tal vez incluso qué servicio en Internet se estaba comunicando. con (por ejemplo, YouTube, Facebook, etc.)

Estoy dispuesto a pagar por una herramienta decente, pero debería cumplir con el requisito 4 anterior. Si cree que no he utilizado correctamente ninguna de las herramientas mencionadas anteriormente y cualquiera de ellas puede cumplir con todos mis requisitos, hágamelo saber.

Leyendo entre líneas: ¿tu router no te da esa información? Ya que ese sería el mejor lugar para obtenerlo, y también donde se podría establecer una cuota (si se desea; y sí, entendido que no desea un firmware personalizado).
Por cierto: a la espera de buenas respuestas: las 20 principales herramientas gratuitas de monitoreo y análisis de redes para administradores de sistemas mencionan, por ejemplo, Capsa Free y Pandora FMS , que parecen buenos candidatos.
@Izzy: Nuestro enrutador no proporciona esa información de la interfaz de usuario web. Podría probar con SNMP, pero después de leer siento que no obtendré toda la información que necesito. Buenas noticias: ¡Probé Capsa Free y funciona muy bien! Había revisado ese enlace antes, pero en medio de otros softwares personalmente irrelevantes en la lista, no me molesté en investigar cada uno de ellos individualmente. Gracias por señalarlo. Pandora FMS era demasiado grande para descargarlo, así que aún no lo he probado. Si Capsa continúa siendo útil esta semana, podría seguir y pagar la tarifa de la licencia ($ 1k!). Siéntase libre de publicar su respuesta a continuación para que pueda marcarla como tal.
También lo hizo. Si Capsa Professional es suficiente, puede ahorrar unos cientos de dólares. ¡Buena suerte!

Respuestas (1)

Capsa parece corresponder con sus requerimientos:

  • Debe ejecutarse en Windows o Linux. Anteriormente preferido: se ejecuta en Windows, al menos desde XP hasta Windows-8 son compatibles oficialmente.
  • No es un software que debe instalarse en cada host y luego informar a un registrador central: según lo leí, debe instalarse solo en una sola máquina. Desde allí, "olfatea" la red utilizando el llamado modo promiscuo de la tarjeta de red, pudiendo así capturar todos los paquetes de la red (local), incluidos aquellos que no están destinados a la máquina en la que se ejecuta.
  • No usar un firmware personalizado (por ejemplo, DD-WRT o Tomato) en el enrutador: no. Funciona con una amplia gama de diferentes adaptadores de red directamente desde la máquina de Windows, no se requieren modificaciones en su (s) enrutador (es).
  • Presente el análisis de los paquetes capturados de una manera simple […]: Capsa presenta un Dashboard con gráficos fáciles de entender, toda la "información principal" en un solo lugar, desde donde puede elegir profundizar. Incluso promete, por ejemplo, un "gráfico de secuencia de tiempo TCP intuitivo", y más.

También puede encontrar un resumen del producto en Wikipedia . Capsa viene en dos sabores: Gratis para profesores, estudiantes, geeks, nerds en un contexto no comercial, y uno pagado para uso comercial desde ~USD 700 (Professional Edition) hasta ~USD 1,000 (Enterprise). Se puede encontrar una comparación, por ejemplo, en el artículo mencionado de Wikipedia o, más completo, en el sitio web de ColaSoft .

Rastreo y análisis del uso de Internet a través de la duplicación de puertos
RespuestasAquíPolítica de privacidad1y, 0v