ネットワークキャプチャで回線が遅い状態を調査し特定するには

前提

ある事務所で、時間により極端にネットワークが遅くなる事があります。
簡単な下記の状態で、ネットワーク遅延が発生時、
AやBテーブルのHUBは、平均下り上りとも150Mbps正常にネットワーク速度が出ますが、CとDテーブルだけがある特定の時間になると10MBbps程度しか出なくなります。

（例）
ONUールーターから集約SWで各島のテーブルにLANケーブルをひいいています。
集約SW各ポートPort1　－　AテーブルHUB　※座っている人：4人
集約SW各ポートPort2　－　BテーブルHUB　※座っている人：2人
集約SW各ポートPort3　－　CテーブルHUB　※座っている人：6人
集約SW各ポートPort4　－　DテーブルHUB　※座っている人：7人

確かにCとDテーブルに座っている人が少し多いのでボトルネックになり、
一斉にインターネットへアクセスすると速度が遅くなるとは考えれます。
各テーブルHUBについては、最近入れ替えた新しいGiga HUBです。
またLANケーブルも一掃し、Cate6を使用しています。
また集約SWの各ポートが故障しデグっているというのは考えにくいですがSWの状態は気になるところです。

実現したいこと

CとDのテーブルはなぜ特定の時間にネットワークが遅くなるのか原因を突き止めたいです。

発生している問題・エラーメッセージ

発生している問題は現在のところ不明であり、エラーメッセージは拾えていません。

教えていただきたいこと

こちらを調査したいと思い、Wiresharkを使って調査したいのですが
何が原因で突き止めてれば良いのか現段階では何をキーにして確認するのか判断がつきません。
何かある特定の人が無駄なパケットを使っているのか、基本となりますが
物理的には問題は無さそうなのでパケット分析をしたいです。

お手数をお掛けしますが、Wiresharkの基本になりますが
フィルターをこうかければ切り分けができる。など使い方及び、考えられる原因を
ご教授下さい。　よろしくお願いいたします。

tmp

2022/09/05 02:58

朝と昼間に１時間で回復って・・・悪い予感が！！ ◎始業前とお昼休みに、Torrent等ダウンロードで大量アクセスをこっそり誰かが行っている！〇ウイルスに感染したPCがキー入力がなくなったときにLAN内に大量の広めようと接続を行っている。冗談は置いといて、とりあえず状況確認で〇遅くなった時の状況の確認遅くなった時に、〇ネットワークが混んでパケット消失ならコマンドプロンプト等 netstat -s -p tcp -n 「再送されたセグメント」の数が急激に増えているか？アクセス前とアクセス後の２回実行して比較 Wiresharkで眺めるだけでもいつもより混んでるかわからない？〇ネットワークのアダプターのリンク速度の確認 10Mbpsってキーワードで途中で変わるってのは、よくわからないがとりあえずコントロールパネル\ネットワークとインターネット\ネットワーク接続該当アダプタの「状態」にリンク速度がでています。

poto568

2022/09/05 03:21

キャプチャデータを精査すればソフトウェア起因の話は解決できると思いますが、その他に、同じ電源回路に機器を接続しすぎて電源電圧が不安定になっていたり、スイッチハブの上に熱湯入り容器を置かれて熱暴走したりすることもあるみたいなので、ハードウェア(環境)要因も念のため再確認してみると良いかもしれませんね。 https://togetter.com/li/1618067

faf9Hkk

2022/09/05 13:27

本日も測定しましたが、朝の10時過ぎまでは、インターネットの接続が悪く5Mbpsも出ませんでした。ブラウザの固定タブも全て読み込まず、エラー出て読み込むまで時間が掛かってしまう状態です。＞netstat -s -p tcp -n 「再送されたセグメント」の数が急激に増えているか？承知しました。明日、数を比較して確認します。電圧降下も確認しますが機器はそれほど古い物ではありません。 Wiresharkにて何かこのキーワードが出ていたら怪しいとか、繰り返しこのワードが出てるのはおかしいという内容や絞り込みがあれば教えて頂けると助かります。

行動規範の内容に同意します

回答2件

Wiresharkを使って調べると言うことは、不要なパケットが発生しているのではと当たりを付けていると言うことでしょうか？

→はい、不要なパケットや何か負担になっているパケットが何かという当たりをつけたいと考えております。

特に全パケット行は見れる訳がないので、プログラムやツールを作成してというのも私の力では難しいです。
こういったケースは、どうやって切り分けをしていくのが無難でしょうか？
物理的にHUBやSWやLANケーブルが抜けかかってないか、誰かのPCが何らかの余計なパケットをダウンロードしたり排出していないか。というところまでは考えられます。
ヒアリングする限りでは、朝一番のPCを起動するタイミングとお昼休みが遅くなるという証言があるので
クライアント側で何かあるのではないか？というところまでは推測しております。

HUBやLANケーブルのカテゴリは、100Mbpsしか出ないメガ単位のものでなく、1ギガ単位は対応している
という単純な意味です。

紛らわしくて申し訳ございません。10Mbpsの表記の誤りです。　遅い時間帯は約1時間程度続きます。
1時間後には速度は安定して100Mbps以上は出てくるようになります。（対インターネットのファイル転送速度です。）

また、これも書かれてませんが、全部1つのサブネットの中と言うことでしょうか？
引用テキスト各HUBには、PC以外の物は接続されていませんよね？

はい、全部、192.168.1.ｘｘｘのサブネットの中です。各HUBにはPC、それ以外は、
1テーブルだけに、AP（アクセスポイント）が装着しております。
おります。

投稿2022/09/04 11:55

faf9Hkk

総合スコア10

otn

2022/09/05 02:33

不要パケット？は、・ユーザーの意図した通信に伴って発生する物・ユーザーの意図した通信と無関係に発生する物（定期的なブロードキャストなど）があると思いますが、問題の発生する時間帯に、PCを立ち上げた状態でユーザーは何もしない（ブラウザも終了しておく）状態でキャプチャーしてみれば後者のものが原因であればわかると思います。前者が原因であれは大量のパケットをより分けるしか無いですね。ただ、後者であれば、特定時間帯だけというのは考えにくいので、多分そうじゃ無いでしょうね。 > のどちらかなのでしょうが、どちらなのか文章からは不明です。はどちらなのでしょうか？時間帯から想像すると、誰かのインストールしているソフトが起動時に大量にパケットを出しているとか。

faf9Hkk

2022/09/05 13:30

・ユーザーの意図した通信に伴って発生する物・ユーザーの意図した通信と無関係に発生する物（定期的なブロードキャストなど）本日、朝に集約SWも測定したところ、こちらも速度がほとんど出ず、インターネットも読み込むのに相当数な時間が掛かりました。　単純に一斉にユーザーがインターネットへアクセスしているというしか今のところ判断できないのですが何か判断基準の切り分けがあったりしますでしょうか？

行動規範の内容に同意します

Wiresharkを使って調べると言うことは、不要なパケットが発生しているのではと当たりを付けていると言うことでしょうか？
であれば、フィルタリングせずに全件を対象に、妥当なパケットの消し込みを行って、残った物が不審なパケットと言うことになるかと思います。もちろん、人間が1行ずつ見ててというのは現実的じゃ無いので、プログラムを書くのでしょう。あるいは、こういうことをする専用ツールがあるのかどうかなどは知りません。