The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"tcpdump и траффик юзера"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"tcpdump и траффик юзера"
Сообщение от DmitryDemin emailИскать по авторуВ закладки on 18-Окт-01, 18:17  (MSK)
Hi!
Есть один "нехороший" юзер в локальной сети...
Как tcpdump'oм или smbtcpdump'ом отследить его траффик в определенные часы? Что-бы это записалось
в файл и потом можно было проанализировать эту информацию. Служебная информация здесь почти не нужна, в основном интересует работа через HTTP протокол (все идет через squid) - какие формы и поля заполнял и текст сообщений?

Здесь нет никакой личной тайны, просто это нужно в воспитательных мерах распоясавшегося юзера.

Всего хорошего!
С уважением, Dmitry.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: tcpdump и траффик юзера"
Сообщение от Lamer emailИскать по авторуВ закладки on 19-Окт-01, 12:21  (MSK)
просто подойди да кааааак по морде с размаху, чтоб другие так не делали :)))))))))

З.Ы.  где-то здесьили не здесь я видел исходники сниффера, который нюхал трафик ftp на предмет pass
думаю не было бы сложно переделать его под http
а пока что есть trafshow

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: tcpdump и траффик юзера"
Сообщение от Дрон emailИскать по авторуВ закладки on 24-Окт-01, 07:00  (MSK)
>просто подойди да кааааак по морде
>с размаху, чтоб другие так
>не делали :)))))))))
>
>З.Ы.  где-то здесьили не здесь
>я видел исходники сниффера, который
>нюхал трафик ftp на предмет
>pass
>думаю не было бы сложно переделать
>его под http
>а пока что есть trafshow

А что ? trafd уже отменили ? )))

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: tcpdump и траффик юзера"
Сообщение от Sergeyko emailИскать по авторуВ закладки on 19-Окт-01, 13:13  (MSK)
>Hi!
>Есть один "нехороший" юзер в локальной
>сети...
>Как tcpdump'oм или smbtcpdump'ом отследить его
>траффик в определенные часы? Что-бы
>это записалось
>в файл и потом можно было
>проанализировать эту информацию. Служебная информация
>здесь почти не нужна, в
>основном интересует работа через HTTP
>протокол (все идет через squid)
>- какие формы и поля
>заполнял и текст сообщений?
>
>Здесь нет никакой личной тайны, просто
>это нужно в воспитательных мерах
>распоясавшегося юзера.
>
>Всего хорошего!
>С уважением, Dmitry.
>
>
Так в log SQUID можно найти все,
если этот user сидит на одном ip адресе.
SQUID пишет время и что энтот user в это
время делал, т.е. куда ходил и что качал.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: tcpdump и траффик юзера"
Сообщение от Y emailИскать по авторуВ закладки on 19-Окт-01, 13:21  (MSK)
Запускаешь tcpdump -w file.dmp src host x.x.x.x
где x.x.x.x ip того плохого юзера
Потом есть утилитка tcpshow  подставляешь ей тот файлик и она тебе популярно о каждом пакете расскажет

Есть sniffit прога не плохая
Она не сложная в использовании - разберёшся

И на крайняк если ты хочешь сразу смотреть куда он лазит - trafshow src host x.x.x.x

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: tcpdump и траффик юзера"
Сообщение от SergK emailИскать по авторуВ закладки on 21-Окт-01, 01:42  (MSK)
>Запускаешь tcpdump -w file.dmp src host
>x.x.x.x
>где x.x.x.x ip того плохого юзера
>
>Потом есть утилитка tcpshow  подставляешь
>ей тот файлик и она
>тебе популярно о каждом пакете
>расскажет
>
>Есть sniffit прога не плохая
>Она не сложная в использовании -
>разберёшся
>
>И на крайняк если ты хочешь
>сразу смотреть куда он лазит
>- trafshow src host x.x.x.x
>

Попробуй поставить SARG там все красиво и
подробно кто куда когда и сколько относительно log squid

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: tcpdump и траффик юзера"
Сообщение от DmitryDemin emailИскать по авторуВ закладки on 21-Окт-01, 12:42  (MSK)
Hi!
Да есть у меня логи сквида и сарг тоже дает свою статистику... Но это еще не все, нужно знать прямо что он этих страницах и какие тексты там писал... А то заход этого пользователя на анонимный сервер сам по себе ничем не плох, а вот то что он пишет на других сайтах - это уже доставляет проблемы! И ведь пока не поймаешь _на точном содержании его сообщений_ - ничего нельзя доказать и соответственно заблокировать ему доступ!
Вот хочу попробовать sniffit, может он поможет. Если есть еще какие возможности или программы - предлагайте, коллеги!

Всего хорошего!
С уважением, Dmitry.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "я тока что делал так.."
Сообщение от avkie emailИскать по авторуВ закладки on 22-Окт-01, 14:55  (MSK)
только что сделал для сквида так
у меня есть несколько хмырей которые после работы парнуху качают - причем просто позапрещать я пробовал - трафик не падает - они постоянно новые находят. потому принято  кардинальное решение отрубать их от сети после работы.
acl bad_user_1 src 192.168.1.3
acl bad_user_2 src 192.168.1.4
acl turnoff_bad_users time SMTWHFA 15:36-15:40
http_access deny bad_user_1 bad_user_2 turnoff

не забудь что acl выполняются с условием or по-порядку один за другим.

ну а чтобы выследить юзера надо конечон пользоваться SARG-ом или любым другим анализатором трафика

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: tcpdump и траффик юзера"
Сообщение от Y emailИскать по авторуВ закладки on 22-Окт-01, 17:21  (MSK)
Если тебе нужно знать что он пишет там в иннете то есть такой способ - установи на его машине грабер клавиатуры и потом посмотришь чот там происходит
А если он полный ламер то поставт PCanywhere
и смотри что он делает
Можешь даже запись весьти - короче для виндов штука безподобная
  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: tcpdump и траффик юзера"
Сообщение от DmitryDemin emailИскать по авторуВ закладки on 22-Окт-01, 21:12  (MSK)
Hi!
Не-е-е-т, ты что, имея машину как шлюз и такую мощную систему как Юникс я буду еще что-то ставить под виндами? Все можно решить на шлюзе! Главное сейчас разобраться и иметь инструментарий.
А то что под виндами полно таких шпионов - я и так знаю, но это несерьезно...

Всего хорошего!
С уважением, Dmitry.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "sarg+squid тебе помогут"
Сообщение от avkie emailИскать по авторуВ закладки on 26-Окт-01, 09:45  (MSK)
саргом смотришь куда он ходит и сколько качает
а сквидом ограничиваешь доступ
можешь играться с ipfirewall - но имхо, долго и сложно
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
A-Real
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру