Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пн Окт 08 2007 08:51 Заголовок сообщения: Анализ трафика Ethereal |
|
|
Такая ситуация: Есть сеть, есть шлюз в ней, на основе FreeBsd. К шлюзу у меня доступа нет. Но его админ стал жаловаться на высокую активность по SMTP. Но кто откуда и куда сказать не смог. Не будем его пинать сильно, вопрос не о нем )))))), но он попросил меня проанализировать траффик у себя в сети, что-бы выяснить кто ломится по smtp. Не вопрос, поставил Ethereal себе на комп, запустил сканирование, подождав смотрю - у меня отлавились все пакеты, которые предназанчались (идут с ) только моей сетевой, а не весь траффик через свич. Надо сказать что мой комп как и шлюз подключены в один свич.
Полез в настройки: capture options - стоит галка в capture packets in promiscuous mode соответственно мне казалось, что в этом режиме должен отлавливать все, а не только то, что адресовано непосредственно мне.
Возможно все дело в свиче. Это 3СОМ 4228G. Возможно просто свич фильтрует траффик, не пуская пакеты не для меня к моей сетевой?
Как в таком случае мне провести анализ траффик, при учете того, что на вход на фрю мне заказан?
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
Попавший Ламер
Зарегистрирован: 16.04.2003 Сообщения: 326
|
Добавлено: Пн Окт 08 2007 09:42 Заголовок сообщения: |
|
|
Насколько я соображаю - никак. Или заменить свитч на хаб.
Решение через задницу - компутер с двумя сетевыми в разрыв кабеля до шлюза. Карточки в бридж и мониторить его пакеты.
А вообще-то решение упирается в просьбу не пинать админа шлюза. |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пн Окт 08 2007 10:18 Заголовок сообщения: |
|
|
спасибо, сам думал так же.
я просто не уверен, это свич виноват или мои кривые руки в настройках Ethereal
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Окт 08 2007 13:40 Заголовок сообщения: |
|
|
Тебе нужно поставить в комп еще одну сетевуху. В свиче настроить зеркалирование порта с компа шлюза на тот порт, куда ты вторую сетевуху воткнешь. Тогда запустив Ethereal и указав какой интерфейс нюхать, ты увидишь правильный трафик.
Вместо Ethereal всем настоятельно рекомендуется юзать wireshark. |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пн Окт 08 2007 13:46 Заголовок сообщения: |
|
|
and3008 как всегда в точку и спасибо )))))))
о wireshark знаю
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
Andrew Grekhov
Зарегистрирован: 29.06.2005 Сообщения: 200
|
Добавлено: Вт Окт 09 2007 15:14 Заголовок сообщения: |
|
|
Немного добавлю от себя.
Захватывать пакеты лучше через tcpdump.
С ограничением на размер файла около 20Мб(лучше 10Мб).
Иначе ethereal большие не сжуёт (во всяком случае у меня на cel2000,521Мб).
Ещё надо учесть что tcpdump по умолчанию
захватывает не весь файл, остальное обрезает,
что правда не мешает анализу.
Метод которым ты делал идеально подходит для
анализа момента когда срывает мозги свичу.
Второй от "Попавший Ламер" для анализа и фильтрации (snort+iptables).
Третий от and3008 для анализа и спокойной жизни.
А как программа правильно называется я знаю,
только не пойму до сих пор зачем её переименовали не исправив главных плюх. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Окт 09 2007 15:29 Заголовок сообщения: |
|
|
Переименовали ее потому, что разработчики ушли у другому работодателю, а старый был владельцем имени и не захотел его отдавать. Ребята сделали fork и переименовали продукт.
У него много всяких опций. Можете писать только первые 63 байта, как это делает tcpdump. |
|
Вернуться к началу |
|
|
Andrew Grekhov
Зарегистрирован: 29.06.2005 Сообщения: 200
|
Добавлено: Ср Окт 10 2007 13:21 Заголовок сообщения: |
|
|
С переименованием, спасибо, понятно.
А вот комп с постоянно запущенный ethereal боюсь оставлять, как и использование всего X11 под рутом.
(Ну не большая параноя у меня )
Да и сыровата прога пока что. Есть вероятность словить пакет который она переварить не сможет. У tcpdump
считаю меньше дыр (хотя бы файлы под юзером pcap пишет), хотя про дыры libpcap я скромно умолчу.
Поэтому и напоминаю что лучше захватывать tcpdump'ом, а смотреть под юзером чем угодно.
Да чуть не забыл есть ещё перловый скрипт chaosreader вроде так. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Окт 10 2007 16:10 Заголовок сообщения: |
|
|
Вы бы эта... Внимательно почитали бы доку. Там и консольные утилиты есть. И их возможности гораздо круче, чем у tcpdump. |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Ср Окт 10 2007 17:00 Заголовок сообщения: |
|
|
Ребят, а есть у кого нить ссылка на русскоязычные доки по wireshark? Извеняюсь за ламерский вопрос но гуглить пытался но неполучилось найти _________________ Best regards |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Окт 10 2007 23:56 Заголовок сообщения: |
|
|
Там и английский не шибко сложный.
На русском док не видел. |
|
Вернуться к началу |
|
|
|