Архив форумов ЦИТФорума

[grf]

Такая ситуация: Есть сеть, есть шлюз в ней, на основе FreeBsd. К шлюзу у меня доступа нет. Но его админ стал жаловаться на высокую активность по SMTP. Но кто откуда и куда сказать не смог. Не будем его пинать сильно, вопрос не о нем )))))), но он попросил меня проанализировать траффик у себя в сети, что-бы выяснить кто ломится по smtp. Не вопрос, поставил Ethereal себе на комп, запустил сканирование, подождав смотрю - у меня отлавились все пакеты, которые предназанчались (идут с ) только моей сетевой, а не весь траффик через свич. Надо сказать что мой комп как и шлюз подключены в один свич.

Полез в настройки: capture options - стоит галка в capture packets in promiscuous mode соответственно мне казалось, что в этом режиме должен отлавливать все, а не только то, что адресовано непосредственно мне.

Возможно все дело в свиче. Это 3СОМ 4228G. Возможно просто свич фильтрует траффик, не пуская пакеты не для меня к моей сетевой?

Как в таком случае мне провести анализ траффик, при учете того, что на вход на фрю мне заказан?


_________________
Errare humanum est

[Попавший Ламер]

Насколько я соображаю - никак. Или заменить свитч на хаб.
Решение через задницу - компутер с двумя сетевыми в разрыв кабеля до шлюза. Карточки в бридж и мониторить его пакеты.
А вообще-то решение упирается в просьбу не пинать админа шлюза.

[grf]

спасибо, сам думал так же.

я просто не уверен, это свич виноват или мои кривые руки в настройках Ethereal



_________________
Errare humanum est

[and3008]

Тебе нужно поставить в комп еще одну сетевуху. В свиче настроить зеркалирование порта с компа шлюза на тот порт, куда ты вторую сетевуху воткнешь. Тогда запустив Ethereal и указав какой интерфейс нюхать, ты увидишь правильный трафик.

Вместо Ethereal всем настоятельно рекомендуется юзать wireshark.

[grf]

and3008 как всегда в точку и спасибо )))))))

о wireshark знаю


_________________
Errare humanum est

[Andrew Grekhov]

Немного добавлю от себя.

Захватывать пакеты лучше через tcpdump.
С ограничением на размер файла около 20Мб(лучше 10Мб).
Иначе ethereal большие не сжуёт (во всяком случае у меня на cel2000,521Мб).
Ещё надо учесть что tcpdump по умолчанию
захватывает не весь файл, остальное обрезает,
что правда не мешает анализу.

Метод которым ты делал идеально подходит для
анализа момента когда срывает мозги свичу.
Второй от "Попавший Ламер" для анализа и фильтрации (snort+iptables).
Третий от and3008 для анализа и спокойной жизни.

А как программа правильно называется я знаю,
только не пойму до сих пор зачем её переименовали не исправив главных плюх.

[and3008]

Переименовали ее потому, что разработчики ушли у другому работодателю, а старый был владельцем имени и не захотел его отдавать. Ребята сделали fork и переименовали продукт.

У него много всяких опций. Можете писать только первые 63 байта, как это делает tcpdump.

[Andrew Grekhov]

С переименованием, спасибо, понятно.
А вот комп с постоянно запущенный ethereal боюсь оставлять, как и использование всего X11 под рутом.
(Ну не большая параноя у меня )
Да и сыровата прога пока что. Есть вероятность словить пакет который она переварить не сможет. У tcpdump
считаю меньше дыр (хотя бы файлы под юзером pcap пишет), хотя про дыры libpcap я скромно умолчу.
Поэтому и напоминаю что лучше захватывать tcpdump'ом, а смотреть под юзером чем угодно.

Да чуть не забыл есть ещё перловый скрипт chaosreader вроде так.

[and3008]

Вы бы эта... Внимательно почитали бы доку. Там и консольные утилиты есть. И их возможности гораздо круче, чем у tcpdump.

[VeL]

Ребят, а есть у кого нить ссылка на русскоязычные доки по wireshark? Извеняюсь за ламерский вопрос но гуглить пытался но неполучилось найти
_________________
Best regards

[and3008]

Там и английский не шибко сложный.
На русском док не видел.