Запомняне

» Здравейте
[ Вход :: Регистриране ]
 » Начало » Li Форуми » Help & Support » Networking » Следене на трафик
Тема: Следене на трафик, или нещо подобно
Мнение #1 Skip to the next post in this topic.
Написано на: Май 11 2008, 21:29

Avatar




Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Offline
Здравейте,
Случаят е следният. Имам малка мрежа 10-12 компютъра. Доставчика ми беше спрял интернета, с условието, че ми е заразен компютъра с вируси. Обадих му се, обясни ми, че има съмнителен трафик на 25-ти порт към mxf1.rambler.ru. Спрях нета на цялата мрежа, остваих им само прозраното прокси, поне да имат нещо и се обадих пак да проверят дали продължава таа гад да спами :) нямало я вече и пуснаха нета. Но аз как да разбера коя е заразената машина? Цъках с iptraf пулих се, изобщо не видях нещо да минава на 25-ти, то е кофти щото тоя може да си е спрял компа и да няма активност, пуснах от моя
Код: 
nc -l -p 25
и него не успях да го видя в iptraf. Иптраф има доста функции и някакви филтри с които не успях да се справя, признавам не съм чел документация, нямах време.
Дайте някакво предложение.

Мнение #2 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Май 12 2008, 09:14

Avatar




Група: Li fans
Мнения: 240
Регистриран: Август 2005

Оценка: няма

Offline
Wireshark (бившия ethereal) мисля, че ще ти свърши работа. Правилото, което трябва да конфигурираш за да следиш само 25-ти порт е просто: port 25 ;)

Неприятният момент е, че трябва да се пуска с root права (поне при мен) за да е напълно функциониращо... По дебелите книги пише, че пускането на графична програма като root не се препоръчва.
Контакти:  Drakula
WEB  
Мнение #3 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Май 12 2008, 10:23

Avatar




Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Offline
Цитат: (Drakula @ Май 12 2008, 07:14)

Wireshark (бившия ethereal) мисля, че ще ти свърши работа. Правилото, което трябва да конфигурираш за да следиш само 25-ти порт е просто: port 25 ;)

Неприятният момент е, че трябва да се пуска с root права (поне при мен) за да е напълно функциониращо... По дебелите книги пише, че пускането на графична програма като root не се препоръчва.

Да мина ми това през акъла, обаче рутера нама Х изобщо, така че отпада (друг е въпроса, че и е на една тераса на един съсед, където нямам навика да ходя, дано и да не се налага  :60; ). Другият вариант е да сетна моята машина за gw и тогава да преслушам всичко, все пак търся по елегантен начин.

Мнение #4 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Май 12 2008, 11:09

Avatar




Група: Li fans
Мнения: 763
Регистриран: Февруари 2008

Оценка: 5

Offline
съмнителен трафик ОТ 25 порт или КЪМ 25 порт?
tcpdump | grep :25
tcpdump | grep smtp
друг вариант е да сложиш hub в мрежата и с wireshark на някое ПЦ да снифираш трафика,
още един вариант е да сложиш едно ПЦ като "мен ин дъ мидъл" временно и от него да снифираш трафика, ако не можеш да издириш хъб

Редактирано от altoas на Май 12 2008, 11:11

Контакти:  altoas

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
Мнение #5 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Май 12 2008, 11:11

Avatar




Група: Li fans
Мнения: 162
Регистриран: Април 2005

Оценка: 5

Offline
Може да пробваш tcpdump
Код: 
tcpdump -i eth0 tcp port 25

разгледай man страницата има доста опции, с които да зададеш по - специфично критериите за съвпадение
Контакти:  gosheto
WEB  
Мнение #6
Skip to the previous post in this topic. Написано на: Май 12 2008, 13:14

Avatar




Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Offline
Еее мерси много, слушам сега с tcpdump ама големо мълчание :)
btw като гледам как ги дава
Код: 
12:43:43.540805 IP 87.121.59.15.www > stardust.1292: P 1:256(255) ack 734 win 15645 <nop,nop,timestamp 1262533888 2980287>
12:43:43.541437 IP 87.121.59.15.www > stardust.4312: P 1:256(255) ack 734 win 33120 <nop,nop,timestamp 1262533888 2980287>
12:43:43.559748 IP 87.121.59.15.www > stardust.2372: P 1:256(255) ack 734 win 23680 <nop,nop,timestamp 1262533893 2980297>
12:43:44.250849 IP 192.168.0.13.1235 > 78.108.253.157.61025: S 2537707009:2537707009(0) win 65535 <mss 1460,nop,nop,sackOK>
12:43:49.845527 IP 87.121.59.15.www > stardust.1292: P 24184:25333(1149) ack 5054 win 24804 <nop,nop,timestamp 1262535464 2981867>
12:44:07.141070 IP stardust.3621 > 91-65-250-121-dynip.superkabel.de.https: P 2483:2589(106) ack 6248 win 16022 <nop,nop,timestamp 2986195 4965260>


това
Код: 
tcpdump | grep :25
tcpdump | grep smtp
може би трябва да е
Код: 
tcpdump | grep .25
tcpdump | grep .smtp

Общо 5 отговор(а) от Май 11 2008, 21:29 до сега
 » Начало » Li Форуми » Help & Support » Networking » Следене на трафик

© 2014 Linux Index Project
Powered by iF 1.0.0 © 2006 ikonForums