Ein Kunde mit einem 5 Mbit/s CompanyConnect beschwerte sich über schlechte Performance. Da hinter dem Telekom-Equipment eine Securepoint UTM RC100 hängt konnte detailliert geklärt werden, welche Art von Datenverkehr den Anschluss belegt.

Direkt im Web-Interface lässt sich bereits die Auslastung der Schnittstellen anzeigen, allerdings sieht man dort nicht, welches Netzwerkgerät oder welcher Verkehr wie viel Bandbreite belegt.

Meldet man sich via ssh als root an der UTM an, kann man mit dem Befehl iftop, quasi dem top für’s Netzwerk, live beobachten was vor sich geht:

iftop -i <Name des Interfaces>

“<Name des Interfaces>” ist dann z.B. eth0.

Durch drücken der Taste “n” kann die Namensauflösung gesteuert werden. Ebenso kann durch die Taste “p” geregelt werden ob die Portnummern oder, sofern bekannt, die Dienstnamen angezeigt werden.

Bei diesem Kunden konnte dadurch beobachtet werden, das eine POP3-Verbindung den Anschluss nahezu voll und ganz auslastete. Letztlich stellte sich heraus, das der Chef eine E-Mail mit einem 728 MB großen Anhang an sich selbst geschickt hat und diese in einer Endlosschleife festhing (Zustellung wurde immer wieder neu versucht).

Um solchen Problemen entgegenzuwirken kann man ab v11.6 QoS verwenden.

Vielen Dank an den Support von Securepoint für den Tipp mit iftop und die prompte Antwort auf unsere Anfrage.

Update 01.04.2022

Sucht man mit iftop nach einem “Übeltäter” im Netz, der viel Last erzeugt, muss man ggf. zwischen typischerweise wan0 (external) und LAN2 (internal) hin- und her springen, denn typischerweise wird der Internetverkehr (http/https) durch den Proxy geleitet. D.h. auf LAN-Seite sieht man “nur” den Verkehr zwischen der UTM und einem Client:

192.168.0.1 => 192.168.0.139 276Kb 158Kb 170Kb

Auf dem wan0-Interface sieht das am Beispiel von Netflix so aus:

<Öffentliche IP der UTM>:51746 => ipv4-c107-fra002-ix.1.oca.nflxvideo.net:https 83.3KB 0b 4.56Kb 4.04Kb

Verbindungen ohne das HTTP-Proxy, Reverse Proxy, Mailfilter und Co. dazwischen sind, beispielsweise von einer Port-Weiterleitung zu einem internen Server, werden Quelle und Ziel direkt angezeigt:

<Öffentliche IP der Quelle>:64703 => <Interne Ziel-IP>:53307 10.0Mb 11.3Mb 11.3Mb

Gezielt die Verbindung(en) eines Clients kann man mit Hilfe von Filtern anzeigen lassen. In diesem Beispiel ein Computer im VLAN mit der ID 3 auf der Schnittstelle LAN2 und der IP-Adresse 192.168.0.139:

iftop -i LAN2.3 -f "host 192.168.0.139"

Neben den bereits erwähnten Tastenkombinationen

  • n – Namensauflösung
  • p – Anzeige der Portnummern

können

  • b – Balkendarstellung oder B um die Balken nach einem gewissen Intervall zu aktualisieren
  • P – Pause
  • T – Gesamtmenge
  • t – Ein- oder Mehrzeilige Darstellung, nur Sende- oder Empfangs- oder beide Richtungen
  • q – Verlassen von iftop

interessant sein.

Quellen

ubuntuusers – Wiki – iftop

Linux Community – Netzwerkverkehr analysieren mit Iftop (Seite 2)

Ähnliche Artikel:

  1. Securepoint Antivirus Pro: Hohe CPU-Auslastung und Erkennung der eigenen Quarantäne als Malware
  2. Securepoint UTM: Alarm über verdächtige blockierte Verbindung
  3. Windows: Desktop anzeigen unter Windows 7 mit Bordmitteln
  4. Securepoint UTM: Ein paar Notizen zum Fallback
  5. Keine Aktualisierung von G Data Endkunden-Produkten 2015 und Unternehmenslösungen 13.0 in Verbindung mit Securepoint UTM v11 möglich