detection d'un gros downloadeur sur un reseau ?

detection d'un gros downloadeur sur un reseau ? - Windows & Software

Marsh Posté le 28-11-2001 à 12:06:42    

salut,
 
je suis dans une boite de 8 personnes, avec une LS64 pour connection internet
 
y a qqun de la boite qui télécharge comme un porc, et les autres (dont moi) n'arrivent plus à afficher une page web ...
 
c'est quoi la meilleure solution pour trouver le mec ? (les machines du reseau c'est moitié NT4, moitié W2K)
 
qqun a une idée de logiciel qui me sorte une courbe de bandwidth par minute et par utilisateur (machine) ?


---------------
Reckless inferior depraved repentant ruinous foul-mouthed revered master Rotoutou the great.
Reply

Marsh Posté le 28-11-2001 à 12:06:42   

Reply

Marsh Posté le 28-11-2001 à 12:07:12    

un ptit network monitoring ou autre sniffer.

Reply

Marsh Posté le 28-11-2001 à 12:14:05    

krapaud a écrit a écrit :

un ptit network monitoring ou autre sniffer.  




 
tu en a un de préferé ?


---------------
Reckless inferior depraved repentant ruinous foul-mouthed revered master Rotoutou the great.
Reply

Marsh Posté le 28-11-2001 à 12:45:28    

sniffer pro de NAI est très bien mais ne marche pas sous win2000

Reply

Marsh Posté le 28-11-2001 à 12:47:31    

si ya 8 pc pkoi tu va pas tout simplement voir le tray des 7 autres pc ?

Reply

Marsh Posté le 28-11-2001 à 12:49:52    

Krapaud, Sniffer Pro 4.5 ou plus fonctionne sous Win 2K

Reply

Marsh Posté le 28-11-2001 à 13:03:06    

je n'ai que
 

Citation :

Sniffer Pro 3.5
version 3.5
by Network Associates, Inc.


 
 ;)

Reply

Marsh Posté le 28-11-2001 à 13:12:26    

Sorry....:(  
 
De toute façon Sniffer Pro  8 postes en reseau, c'est démesuré.  En cherchant bien sur le net, on peut trouver des analyseurs de réseau en Freeware, certes pas aussi complet mais qui suffiront dans le cas présent.

Reply

Marsh Posté le 28-11-2001 à 13:13:06    

Vu le nombre de machines / utilisateurs, je pense que mettre les choses au point directement est aussi la meilleure solution.

Reply

Marsh Posté le 28-11-2001 à 13:13:58    

tiens...
 
et pour controler la bande passante attribuée à chaque poste d'un réseau ???
 
y'aurait un soft ?
 
:jap:


---------------
je vends des articles de pêche.
Reply

Marsh Posté le 28-11-2001 à 13:13:58   

Reply

Marsh Posté le 28-11-2001 à 13:15:01    

...
 
à propos du titre du topic :
 
tu as accès à l'armoire de brassage ? au serveur ? au proxy ? au routeur ?
 
hein ?


---------------
je vends des articles de pêche.
Reply

Marsh Posté le 28-11-2001 à 14:19:58    

vrobaina a écrit a écrit :

Sorry....:(  
 
De toute façon Sniffer Pro  8 postes en reseau, c'est démesuré.  En cherchant bien sur le net, on peut trouver des analyseurs de réseau en Freeware, certes pas aussi complet mais qui suffiront dans le cas présent.  




 
ne serait-ce que l'outil fourni avec NT ;)

Reply

Marsh Posté le 28-11-2001 à 14:20:52    

seti_home a écrit a écrit :

tiens...
 
et pour controler la bande passante attribuée à chaque poste d'un réseau ???
 
y'aurait un soft ?
 
:jap:  




 
 
vérifier combien ils en utilise, toujours avec des softs comme Sniffer Pro, mais si t'as alloué des quotas c'est plus simple ;)

Reply

Marsh Posté le 28-11-2001 à 14:41:55    

Une méthode qui marche pas mal en général, tu passes une note à tout le monde disant de ne pas faire de téléchargements abusifs. Si ca calme pas, tu coupes tout accès à tout le monde jusqu'à ce que le fautif se dénonce ou décide réllement de se calmer.

Reply

Marsh Posté le 28-11-2001 à 14:46:08    

Wolfman a écrit a écrit :

Une méthode qui marche pas mal en général, tu passes une note à tout le monde disant de ne pas faire de téléchargements abusifs. Si ca calme pas, tu coupes tout accès à tout le monde jusqu'à ce que le fautif se dénonce ou décide réllement de se calmer.  




 
oui, ou les 7 te claquent la gueule de concert...

Reply

Marsh Posté le 28-11-2001 à 14:47:11    

Ou alors les 6 vont claquer la gueule au 7ème pour son plus grand plaisir :D :lol:

Reply

Marsh Posté le 28-11-2001 à 14:47:44    

tu peux faire des 4 contre 4 aussi!

Reply

Marsh Posté le 28-11-2001 à 14:50:50    

:lol: il va y avoir de l'ambiance :D
 
Bon sinon tu as toujours la solution de faire un tour sur les différents ordinateurs. Regarde les historiques, si le gars est pas bien fin il pensera peut-être pas à effacer toutes les preuves. Il utilise peut-être aussi un logiciel de téléchargement !! Et enfin le plus simple : si il télécharge comme un targe, il doit bien stocker ses fichiers quelque part. Trouve le PC qui a un dossier de plusieurs Go et tu seras fixé :D

Reply

Marsh Posté le 28-11-2001 à 14:59:11    

plus simple : glisse lui un mail avec une url pleine de divx, warez & co et fais lui télécharger qq virus.
il s'arretera de lui même :D

Reply

Marsh Posté le 28-11-2001 à 15:57:32    

Nicko500 a écrit a écrit :

si ya 8 pc pkoi tu va pas tout simplement voir le tray des 7 autres pc ?  




 
parce que je suis tres poli :D
(et puis, comme on est en accès lan pour IP, comment differencier avec un netstat -e sur chaque machine un mec qui fais un transfert de fichier sur le reseau interne et celui qui telecharge sur le net)
 
bah en fait on a (en gros) un hub, et le routeur UUNET (refus total de UUNET de nous filer les logs ... ils veulent juste bien m'ouvrir le port SNMP mais j'ai pas trop envie d'installer un client SNMP (encore que je crois que je vais faire ça finalement ...)
 
tout le monde me dit qu'ils ont arreté de télécharger, et c'est bien possible ... y a plein d'autres problemes possibles, par exemple on heberge notre serveur web, peut etre que un gros download d'un mec externe empeche les ACK sortants pour les downloads de notre coté, ceci ralentissant la connection du point de vue des utilisateurs de mon reseau ...)
 
j'ai accés à tout, y a même un NT server dispo sur le domaine de collision que j'aimerais monitorer (ma machine est sur un switch, donc je peux pas placer la sonde RMON dessus)
 
enfin voila quoi ... personne connait le petit logiciel à deux francs qui m'affiche en temp réel les cumuls en ko des paquets TCP allant du routeur aux machines de mon reseau ? (je sais utiliser TCPDUMP et co, mais j'ai pas envie de regarder si le flag QOS d'un paquet est "on", ni de capturer 100 Mo de paquets et de trier à la papatte qui va où et de faire les cumuls et stats sur le bordel) ;)
 
a+


---------------
Reckless inferior depraved repentant ruinous foul-mouthed revered master Rotoutou the great.
Reply

Marsh Posté le 28-11-2001 à 16:07:39    

Va voir là :
http://people.ee.ethz.ch/~oetiker/ [...] /mrtg.html
 
tu peux connecter mrtg soit sur l'adresse Ip du routeur soit sur l'adresse Ip du Hub ou du switch s'il est administrable

 

[edtdd]--Message édité par JPA--[/edtdd]

Reply

Marsh Posté le 28-11-2001 à 16:28:57    

ya une méthode,  
 
avec tcpdump bien sur, mais avec un traitement apres en perl
 
tu ne regarde ke les trames ACK au nivo tcp, celui ki en emet le plus est un massdownloader. et tu na plus ka identifier son ip.
 
autre méthode, installe proxy sur une machine, et tu aura une vue sur tout le monde. proxy transparent de preference, les autres ne sauront meme pas kils sont tracés.
 
et enfin, puiske ta snifer pro, sans enregistrer les pakcets, tu ouvre le disk ou ta la vue sur les ip et leur traffic. plus le ligne est grosse, plus y a de débit. meme pas besoin de se casser en perl.


---------------
pussal powa
Reply

Marsh Posté le 28-11-2001 à 16:30:41    

pourquoi un mass downloader emettrait plus de ACK qu'un individu qui utilise le réseau interne à fond? (lan to lan)

Reply

Marsh Posté le 28-11-2001 à 16:35:04    

krapaud a écrit a écrit :

pourquoi un mass downloader emettrait plus de ACK qu'un individu qui utilise le réseau interne à fond? (lan to lan)  




si g bien compris, on DL sur le net non??? alors, fo bien kil ack tous les packets kils recoit. bien sur, les ack ont pour destination 0.0.0.0, celui ki en a tout le temps des dizaines de mega par heure de ack vers 0.0.0.0, ben il mass download. en visitant une page web ca genere pas autant.


---------------
pussal powa
Reply

Marsh Posté le 28-11-2001 à 16:52:04    

ouais mais des acks t'en as a chaque packets, que tu d/l du net ou depuis un serveur sur le lan ;)
 
par contre pour l'adresse de destination du ACK j'suis ok :)

Reply

Marsh Posté le 28-11-2001 à 16:57:32    

krapaud a écrit a écrit :

ouais mais des acks t'en as a chaque packets, que tu d/l du net ou depuis un serveur sur le lan ;)
 
par contre pour l'adresse de destination du ACK j'suis ok :)  




 
non ten as pas pour chaque packet, heureusement, si non le résal, il va se tirer une balle dans la tete, meme en optique.
 
c'est la l'interet de la fenetre d'anticipation. permettant de acker que la diernier packet d'un certain nombre de packet. le nombre consitue la fenetre d'anticipation.
 
ce concept est deja present en x25, il est aussi utilisé par tcp et bien d'autres. la fenetre d'anticipation est variable.


---------------
pussal powa
Reply

Marsh Posté le 28-11-2001 à 17:01:42    

ah oui, encore une chose,  
 
ma soluce de ack vers 0.0.0.0 nest pas sure
 
car, on peut faire du mass DL en tcp, mais aussi en udp, aukel cas, cette méthode ne marche plus.
 
mais sniffer a bien ce fameu disk de trafic ou tu monitore les trafic et la volumétrie en temps reel.
 
si non, si y a pas trop de trafic en lan, g une méthode du moyen age
 
regarde les led sur le switch, et tu verras bien ki est le coupable. repere qd meme avant la led ki correspond au routeur.
 
 :lol:  :lol:  :lol:  
 
ca marche un plus,


---------------
pussal powa
Reply

Marsh Posté le 28-11-2001 à 17:05:49    

theplayer-thelast a écrit a écrit :

 
 
non ten as pas pour chaque packet, heureusement, si non le résal, il va se tirer une balle dans la tete, meme en optique.
 
c'est la l'interet de la fenetre d'anticipation. permettant de acker que la diernier packet d'un certain nombre de packet. le nombre consitue la fenetre d'anticipation.
 
ce concept est deja present en x25, il est aussi utilisé par tcp et bien d'autres. la fenetre d'anticipation est variable.  




 
 :jap:

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed