[Tecnica] Fwd: Traffico in upload abnorme
Yusef Maali
contact a yusefmaali.net
Mer 21 Ago 2013 09:52:21 BST
On 21/08/2013 10:03, luca mercurio wrote:
> Sto studiando wureshark per capire come individuare questa macchina ma
> ancora non ci ho chiappato niente.
> Voi sapete se c'č un tool all'interno di wireshark che faccia questo
> tipo di analisi e che mi permetta di individuare il colpevole?
Considera che gli switch isolano i domini di collisione, quindi con
wireshark, sniffando la tua porta ethernet, non riesci a vedere il
traffico in upload di altre macchine.
Puoi vedere solo i pacchetti mandati in broadcast, che ti serve a poco.
> Sto pure pensando che si tratti di uno switch difettoso (ne abbiamo 7 in
> funzione in tutta la scuola)
Molto probabile.
Paradossalmente, come dice Michele, potrebbe essere qualche switch
cinese che avete preso per attaccare un pc in pių, ad esempio.
Invece di spegnere i pc, dovresti proprio staccare i cavi in modo da
isolare le varie sezioni.
Visto che hai degli switch cisco, prova a guardare tramite le loro
statistiche chi sta generando traffico. Sono molto dettagliate.
L'approccio pių brutale č scaricarti una qualsiasi ditro live per fare
routing (ie. IPFire) e metterti nel mezzo tra il router telecom e tutto
il resto. In quel modo hai tutti gli strumenti linux (ie. iptraf) per
vedere da dove parte il traffico.
Maggiori informazioni sulla lista
Tecnica