Hoher Internet Traffic

[Spike]

Hi,

seit 1 Woche ist unsere Internetleitung überlastet, sprich sehr langsam. Anscheinend liegt es nicht am Provider sondern irgendein Rechner hier im Netz erzeugt wohl einen immensen Traffic.

Wir nutzen den Router SMC 7008ABR welcher keine Möglichkeiten bietet dem auf die Schliche zu kommen. Hier kann ich z. B. einen "Syslog Server" angeben, an den ein Log geschickt wird. K.a. ob das hier weiter hilft.

Frage: Gibt es ein einfach verständliches Tool um zu sehen welcher Rechner den Traffic verursacht? Nicht das wir hier eine Spamschleuder im Netz haben oder jemand P2P betreibt. Ich bin leider kein Sysint und wenn möglich sollte das Tool eine leicht verständliche Oberfläche haben. Ich habe z.B. Wireshark ausprobiert, werde aber aus den ganzen Protokollen etc nicht schlau. Wenn es ein Tool gibt welches mir einfach sagen könnte welche IP wie viel Traffic in den letzten 15 Minuten erzeugt hat, wäre mir schon sehr geholfen.

[Navy]

etherape hilft.

[Spike]

Ganz vergessen: Windows XP fähig wäre nett.

[dgr243]

einfach einen wireshark mitschnitt zwischen router und netzwerk machen. 15 minuten sollten da reichen

dann im wireshark Statistics --> Endpoints oder Statistics --> Conversations und schon siehste wer in dem gesnifften zeitraum wieviel und welchen traffic gemacht hat.

aber daran denken, dass das datenschutzrechtlich nicht unbedingt unbedenklich ist. also beachten!

[Spike]

Danke, das sieht doch gut aus. Ich möchte nicht "schnüffeln" in dem Sinne andere auszuspionieren sondern nur gucken ob hier im LAN ein Rechner konstant übermäßig viel Traffic hat (kann ja auch ein Sicherheitsleck sein). Ist das auch bedenklich? Ist natürlich die Frage was passiert wenn wirklich ein P2P Programm dahinter steckt ...

Weil aktuell ist unser Internetzugang faktisch nicht nutzbar.

[michaelmeier]

Ich möchte nicht "schnüffeln" in dem Sinne andere auszuspionieren sondern nur gucken ob hier im LAN ein Rechner konstant übermäßig viel Traffic hat

Also der Anlass, aus dem heraus man mitsnifft, ist eigentlich völlig irrelevant. Fakt ist, dass es so möglich ist, personenbezogene Daten auszuwerten bzw. Mitarbeiter zu überwachen. Je nach Betriebsvereinbarung ist man da ziemlich schnell am Allerwertesten.

Nicht umsonst ist man als Admin immer mit einem Bein im Knast.

BTW: sind das nicht inzwischen auch "Hacker-Tools", die mitlerweile verboten sind? Oder ist das Gesetz noch nicht durch?

[MarZ^k]

Also der Anlass, aus dem heraus man mitsnifft, ist eigentlich völlig irrelevant. Fakt ist, dass es so möglich ist, personenbezogene Daten auszuwerten bzw. Mitarbeiter zu überwachen. Je nach Betriebsvereinbarung ist man da ziemlich schnell am Allerwertesten.

Nicht umsonst ist man als Admin immer mit einem Bein im Knast.

BTW: sind das nicht inzwischen auch "Hacker-Tools", die mitlerweile verboten sind? Oder ist das Gesetz noch nicht durch?

Das Gesetz ist durch.

[Crash2001]

Ob du den Traffic analysieren darfst, hängt davon ab, ob die User nur rein für die Arbeit das Internet nutzen dürfen, oder ob privates surfen erlaubt ist. Falls rein für ihre arbeit, sollte eine entsprechende Klausel im Arbeitsvertrag existieren oder du es dir schriftlich geben lassen.

Sogenannte "Hacker-Tools" dürfen afaik benutzt werden, wenn man ein berufliches Interesse daran hat und man für das Netz zuständig ist, bzw den Auftrag hat, dieses zu analysieren und zu warten.

[michaelmeier]

Sogenannte "Hacker-Tools" dürfen afaik benutzt werden, wenn man ein berufliches Interesse daran hat und man für das Netz zuständig ist, bzw den Auftrag hat, dieses zu analysieren und zu warten.

naja, das kommt ganz darauf an, wie man das Gesetz interpretiert.

Fangen wir mal harmlos an. Netzwerk sniffen - gerade am Internetgateway -heißt u.U. auch Passwörter für http-Seiten greppen.

Dazu §202a Abs 1 Strafgesetzbuch:

§ 202a

Ausspähen von Daten(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Ist das da schon erfüllt?

Besser §202b Strafgesetzbuch:

§ 202b

Abfangen von DatenWer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

damit wäre man dann in jedem Fall dran.

Der neue Paragraf ist dabei eher uninteressant.

Wie dem auch sei: als Admin sage ich: hey, wenn es dem Job dient - dann muss man mal ne Runde Gesetze dehnen.

Aber es wird nicht lange dauern, bis der erste dafür vor den Kadi gezerrt wird.

[Crash2001]

naja, das kommt ganz darauf an, wie man das Gesetz interpretiert.[...]

Eigentlich nicht. Den Netzwerkverkehr mitschneiden und mit diesen Netzwerkdiagnosetools (Hackertools hört sich direkt so negativ an) auswerten darf man natürlich trotzdem nur, wenn die Mitarbeiter den Internetzugang nur rein beruflich nutzen dürfen und sie das auch unterschrieben haben. Ansonsten dürfen nur allgemeine Daten wie z.B. verbrauchter Traffic der Lokation oder so erhoben werden.

Die Tools werden zur Wartung des Netzes eingesetzt und fallen somit nicht unter den Paragraphen, da man ja das Netz nicht als Außenstehender ausspionieren will, sondern dies zur Optimierung und Fehlerdiagnose dient.

Anders sieht das aus, wenn sich jemand unrechtmässig Zugang zu dem Netz (z.B. auch WLAN) verschaffen (alleine das ist schon illegal) und Daten mitsniffen würde.

[Freak One]

Danke, das sieht doch gut aus. Ich möchte nicht "schnüffeln" in dem Sinne andere auszuspionieren sondern nur gucken ob hier im LAN ein Rechner konstant übermäßig viel Traffic hat (kann ja auch ein Sicherheitsleck sein). Ist das auch bedenklich? Ist natürlich die Frage was passiert wenn wirklich ein P2P Programm dahinter steckt ...

Weil aktuell ist unser Internetzugang faktisch nicht nutzbar.

Hallo Spike,

als Admin unterliegst du in der Regel besonderen Bestimmungen, die durch die Unternehmensführung und wenn vorhanden durch die Revision geregelt sind.

Um die Funktionalität und die Sicherheit von Netzen zu gewährleisten, hast du natürlich eine Menge Möglichkeiten diese zu überwachen. Das man immer in einer Art Gradwanderung zwischen Recht und Unrecht ist, ist klar.

Solltest du bei deiner Diagnose auf Private Daten stoßen, liegt es ja in Deinem Ermessen(unter anderem geregelt durch Unternehmensführung und Revision), wie Du damit umgehst.

Wichtig ist, das du erstmal ausschließen kannst, das die Störung nicht durch dritte verursacht wird (Virus, Trojaner, Sniffer u.s.w.).

Ich denke mit Wireshark kommst du da schon recht weit, für den Anfang.

[geloescht_JesterDay]

Wir nutzen den Router SMC 7008ABR welcher keine Möglichkeiten bietet dem auf die Schliche zu kommen. Hier kann ich z. B. einen "Syslog Server" angeben, an den ein Log geschickt wird. K.a. ob das hier weiter hilft.

Hängen alle Rechner direkt am Router? Denke doch nicht. Ihr habt doch bestimmt noch einen Switch dazwischen. Manche Switches bieten über SNMP Daten an, welcher Port wieviel Traffic verursacht u.ä. Manche auch über eigene Tools.

Wenn du die Möglichkeit hast solltest du das nutzen.