抓出誰是塞爆流量的古惑仔....:(
我管理一套沒有報表和報告的網路架構,使用Fortigate 60B作為PPPOE的Router。
設定了一些簡單的Policy去限制User的出入。
礙於Adsl upload頻寬的不足,所以每當有User做上傳動作,不論是FTP,IM或是HTTP的上傳,都會直接影響整條寬頻的速度,從Ping time可以直接暸解到。
每當此情況出現,就需要找出誰是上傳真兇。
首先要對外檢查著目前水喉現況,我會使用Ping Google去監察。
然後在Firewall裡的Policy設定,用二分法,找出真兇的大概IP位置。
用二分法的原因是,如果你一個subnet 1-254有255個IP,你沒理由順序一個一個檢查,等到別人上傳完了你也可能只檢查到第100個IP。
Policy當然是閒時就要整理好,不然實際狀況出來是,來不及設定所有規則。
首先開啟DENY IP Range 1-127,如果ping值在2秒後恢復正常,則再DENY 128-254。如此類推,此為二分法。
找出一個IP,例如192.168.1.165,每當Block這個IP,Ping值就會恢復正常,此時就應該針對這個人做一些處理。
例如面談,限流,或直接Block掉等等。
如果平時沒有做好IP管理,或固定DHCP派IP,則你未必知道這個IP的使用者到底是誰...
別擔心,你可以選擇直接把他Block掉,如果他人在的話大概會打個電話給你,或使用下列指令
在window的cmd mode上,鍵入
如果這位仁兄的NetBIOS有開的話,大概會顯示他電腦上的電腦名稱和Host名稱,這對尋找真相有很大幫助。
設定了一些簡單的Policy去限制User的出入。
礙於Adsl upload頻寬的不足,所以每當有User做上傳動作,不論是FTP,IM或是HTTP的上傳,都會直接影響整條寬頻的速度,從Ping time可以直接暸解到。
每當此情況出現,就需要找出誰是上傳真兇。
首先要對外檢查著目前水喉現況,我會使用Ping Google去監察。
然後在Firewall裡的Policy設定,用二分法,找出真兇的大概IP位置。
用二分法的原因是,如果你一個subnet 1-254有255個IP,你沒理由順序一個一個檢查,等到別人上傳完了你也可能只檢查到第100個IP。
Policy當然是閒時就要整理好,不然實際狀況出來是,來不及設定所有規則。
首先開啟DENY IP Range 1-127,如果ping值在2秒後恢復正常,則再DENY 128-254。如此類推,此為二分法。
找出一個IP,例如192.168.1.165,每當Block這個IP,Ping值就會恢復正常,此時就應該針對這個人做一些處理。
例如面談,限流,或直接Block掉等等。
如果平時沒有做好IP管理,或固定DHCP派IP,則你未必知道這個IP的使用者到底是誰...
別擔心,你可以選擇直接把他Block掉,如果他人在的話大概會打個電話給你,或使用下列指令
在window的cmd mode上,鍵入
c:\>nbtstat -a 192.168.1.165如果這位仁兄的NetBIOS有開的話,大概會顯示他電腦上的電腦名稱和Host名稱,這對尋找真相有很大幫助。
留言