[Tecnica] Fwd: Traffico in upload abnorme

Yusef Maali contact a yusefmaali.net
Mer 21 Ago 2013 09:52:21 BST


On 21/08/2013 10:03, luca mercurio wrote:
> Sto studiando wureshark per capire come individuare questa macchina ma
> ancora non ci ho chiappato niente.
> Voi sapete se c'č un tool all'interno di wireshark che faccia questo
> tipo di analisi e che mi permetta di individuare il colpevole?

Considera che gli switch isolano i domini di collisione, quindi con 
wireshark, sniffando la tua porta ethernet, non riesci a vedere il 
traffico in upload di altre macchine.
Puoi vedere solo i pacchetti mandati in broadcast, che ti serve a poco.


> Sto pure pensando che si tratti di uno switch difettoso (ne abbiamo 7 in
> funzione in tutta la scuola)

Molto probabile.
Paradossalmente, come dice Michele, potrebbe essere qualche switch 
cinese che avete preso per attaccare un pc in pių, ad esempio.

Invece di spegnere i pc, dovresti proprio staccare i cavi in modo da 
isolare le varie sezioni.

Visto che hai degli switch cisco, prova a guardare tramite le loro 
statistiche chi sta generando traffico. Sono molto dettagliate.

L'approccio pių brutale č scaricarti una qualsiasi ditro live per fare 
routing (ie. IPFire) e metterti nel mezzo tra il router telecom e tutto 
il resto. In quel modo hai tutti gli strumenti linux (ie. iptraf) per 
vedere da dove parte il traffico.



Maggiori informazioni sulla lista Tecnica