Chez moi, on a un réseau local qui relie une quinzaine de maisons environnante. Tout est cablé en Ethernet, et le traffic sort d'une maison.
Voici un petit schéma en ASCII, représentant en gros la topologie du réseau.
Les x sont les postes clients, les o des switchs, Y c'est moi
Internet--Freebox--openwrt--o--x
| |--x
x--o--x |---o---Y
| |---x
x
Je voudrais surveiller le traffic; y'a pas mal de ralentissements sur le réseau, et donc je voudrais trouver la machine coupable.
1) L'utilisation de wireshark de chez moi est-elle pertinente pour voir tout le traffic ? (il me semble que oui, ma machine se place en man-in-the-middle, et wireshark analyse donc tout ce qui passe. J'ai bon ?)
2) Comment je peux trier le traffic légitime de l'indésirable ? Un tri par IP est-il pertinent ?
3) Y'a-t-il d'autres pistes à explorer ?
Question bonus :
Quand deux postes reliés au meme switch échangent un fichier, le flux passe-t-il par le routeur, ou bien il s'arrete au switch ?
Merci d'avance pour votre aide :) Peut-etre mes questions sont-elles basiques, auquel cas, existe-t-il un "cours" de qualité sur le grand thernet ?
Bonne après midi :)
# un sujet
Posté par zecrazytux (site web personnel) . Évalué à 1.
1) si tu fais un MITM tu devrais voir passer tout le traffic, mais je ne crois pas que wireshark te le fasse de lui même. ou alors j'ai pas suivis les évolutions
pourquoi ne pas le faire sur ton openwrt ? ça semble plus simple pour voir ce qu'il se passe
sans faire de mitm
2) tout dépend de ce que tu appelle un traffic "pertinent"
ip, port, protocol, gnagnagna.
A toi de définir ce que tu accepte ou non sur ton réseau !
3) tester ta bp, ce n'est peut être pas qu'un probleme de traffic
je pense à iperf
peut être que tes interfaces négocient mal le protocol à utiliser, etc
[^] # Re: un sujet
Posté par Calve . Évalué à 1.
Sur le réseau local, je trouve du 88 Mbits/s.
Ca me parait raisonnable, les switchs indiquant qu'ils font du 100Mbps.
Par contre, pas moyen de tester par internet, mais peut-etre n'ai-je pas la bonne méthode ?
Machine 1 : iperf -s (avec le port 5001 qui redirige sur cette machine)
Machine 2 : iperf -c mon.ip.pub.lique -p 5001
Est-ce une bonne méthode pour tester ma BP ? Je pensait que le traffic-test allé sortir de 2, passé par internet, et revenir en 1. Ou alors il faut un serveur iperf à l'extérieur de mon réseau.
[^] # Re: un sujet
Posté par NeoX . Évalué à 2.
iftop
ou
iptraf
devrait te donner plein d'info sur "qui consomme" en allant "vers quel site"
# route par defaut
Posté par Marc Quinton . Évalué à 1.
de mémoire, sur openwrt : route del default, route add default GW ip-Y
quand tu veux revenir a config nominal : reboot.
[^] # Re: route par defaut
Posté par Calve . Évalué à 1.
Aurais-tu des noms a me proposer ?
>route del default, route add default GW ip-Y
En routant de cette manière, plus personne n'aurait accès à internet avant le reboot ? Ou alors le traffic serait juste "dupliquer" vers Y ? (j'imagine que non, vu le "del default"
# pas trop compris le shema
Posté par NeoX . Évalué à 3.
Internet
|
box fournisseur
|
openwrt
|
| x
|-----o--x
| x
|
|
|-----o---Y
|
|
|-----o--x
en gros ton openwrt partage la connexion internet de la box vers diverses machines...
ma premiere idée, vue que tu parles de plusieurs 'maison'
c'est que certains font du peer2peer
ca a le don de faire exploser le nombre de connexion simultanée, et donc d'ecrouler ton trafic.
en gros, trop de trafic sortant (en terme de socket ouvert)
-> plus possible d'envoyer les requetes ou les Ack quand tu recois des paquets
= impression qu'internet rame voire ne fonctionne plus
bonus :
si deux machins sont sur un switch ET quelle communique par leur IP interne
alors y a pas de reseau que le trafic aille ni sur internet, ni sur le routeur (sauf si ce dernier fait aussi switch)
[^] # Re: pas trop compris le shema
Posté par Calve . Évalué à 2.
>ca a le don de faire exploser le nombre de connexion simultanée, et donc d'ecrouler ton >trafic.
C'est en effet possible. Je vais regarder avec wiresharck (depuis le routeur).
> en gros, trop de trafic sortant (en terme de socket ouvert)
> -> plus possible d'envoyer les requetes ou les Ack quand tu recois des paquets
> = impression qu'internet rame voire ne fonctionne plus
Est-il possible de limiter ce phénomène sans pour autant bloquer le p2p ?
[^] # Re: pas trop compris le shema
Posté par nicolas . Évalué à 2.
http://lartc.org/howto/lartc.qdisc.html et la suite.
Il y a un peu de lecture à faire (c’est un euphémisme). (Pour info. une classe par « client » réglée en htb rate $user_bandwidth ceil $bandwidth, où $user_bandwidth est la bande totale divisée par le nombre d’utilisateurs et $bandwidth la bande totale, devrait faire l’affaire.)
Dans tous les cas je m’en sers pour mon ordinateur perso. mais au niveau des ports (pour différencier ssh, streaming, téléchargement, web, etc.), et ça marche plutôt bien.
# netstat -an de partout ?
Posté par palm123 (site web personnel) . Évalué à 1.
ウィズコロナ
# Au final ...
Posté par Calve . Évalué à 1.
Je vais mettre en place une politique de QoS pour pas que quelqu'un mange toute la bp pour lui.
Une question annexe : certaines ips n'ont visiblement pas de hostname.
Est-il possible de leur interdire la connexion tant qu'il n'en ont pas ? J'ai pas trouvé d'option qui allait dans ce sens dans dnsmasq. D'après ce que j'ai compris, c'est lui qui est serveur DHCP, et qui file les ips.
Ou bien il en ont un, mais il est coincé dans un tuyaux ?
J'ai conscience que ca ne changera pas grand chose niveau sécurité, mais c'est plus pratique :)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.