Guten Tag,
ich stehe vor dem Problem in einem kleineren Netzwerk den
Internettraffic zu analysieren.
Die einzelnen Rechner im Netzwerk sind mit billigen Switch
verbunden.
Zugang zum Internet hat das Netzwerk über einen billigen
Router zu einem Pc mit zwei NIC, welcher mit einem Switch
verbunden ist.
Das ist ein echter Glücksaff, denn wären Switch und Router in einem Gerät, könntest Du den Traffic nicht mitlesen. So geht es sehr einfach.
Ziel ist es, den aktuellen Traffic, gegliedert nach
IP-Adressen und wenn möglich, nach Programmen, darzustellen.
Jeder Netzwerksniffer kann das. Bei Windows Server ist einer dabei (Netzwerk-Monitor), den Microsoft allerdings ziemlich verkrüppelt hat. Man kann sich allerdings problemlos die unverkrüppelte Version von einer MIcrosoft SMS Server CD kratzen. Einfacher und ganz ohne Sperenzchen geht es mit dem freien Wireshark Tool. Google liefert den Rest.
Die Auswertung sollte übersichtlich und in nehe zu Echtzeit
dargestellt werden.
Echtzeit ist da, aber das mit den Programmen wird in dieser einfachen Form ein Wunschtaum bleiben, weil diese Information nirgends im Netzwerk aufscheint. IP Netze denken in MAC- und IP Adressen (damit kannst Du den Computer identifizieren) und Ports. Bei abgehenden Verbindungen ist der Port idR dynamisch.
Wenn also z.B. jemand auf pc „bla“ (=IP xxx.xxx.xxx.xxx, MAC xx:xx:xx:xx:xx:xx --> COmputer identifizieren ist also kein Problem) seinen Browser öffnet und surft, siehst Du im Wireshark dass auf PC bla jemand eine Verbindung von Port xyz zu Port 80 irgendeines Servers im Internet geöffnet hat. Du weißt also, dass jemand auf PC bla surft, aber Du kannst ohne aufwändige Detailanalyse der Pakete nicht festellen, ob er das mit Firefox oder mit Internet Explorer oder Opera tut, oder ob da gerade ein Virus irgendwas von einem bösen Webserver nachlädt, weil Du das Programm, das am Port xyz auf PC bla läuft von außen nicht identifizieren kannst. Und da der Ausgangsport immer dynamisch vergeben wird, kann die selbe Verbindung beim nächsten Mal auf Port abc laufen.
Abgesehen davon ist Wireshark - genauso wie die Microsoft Variante) nicht darauf eingerichtet, die Daten sinnvoll gegliedert für eine längere Archivierung aufzubereiten und dann periodisch wegzuspeichern. Du müsstest wohl oder übel den ganzen Verkehr aufzeichnen, und da kommen schnell ganz schöne Datenmengen zusammen.
Armin