10. januar 2003 - 17:08Der er
13 kommentarer og 3 løsninger
Overvågning af hvad der sendes mellem lokalnettet og internettet
Hej,
Efter at have fået ADSL, og en glimrende Zyxel firewall, har jeg via et program kaldet LinkLogger rimeligt styr på hvad firewallen blokerer.
Men ikke hvad den lader passere. F.eks. har jeg lagt mærke til at min ene W2K Prof. nu er væsentligt længere tid om at lukke ned, og at der i den periode hvor den venter på at windows lukkes, er noget trafik mellem mit lokalnet og verdenen udenfor. Det kunne jeg godt tænke mig at vide hvad er.
Mit spørgsmål går på om noget i dette forum kender et program, der fra en PC, kan logge al ud-/indgående trafik så man kan analysere det efterfølgende.
Jeg ved der findes en ethernet "snuser" som hardware til omkring 40.000,- men det har jeg ikke rigtigt råd til at ofre, så det skal være noget i en væsentlig mindre prisklasse.
Du kan sætte en sniffer op, den kan logge alt der passere helt ned på bitniveau og det er faktisk nødvendigt hvis du virkelig vil kunne se hvad der foregår. Fareren er at du får så mange informationern at du ikke kan finde det der er vigtigt.
Hej Bufferzone, Sniffer produktet er afgjort en mulighed og der er ingen tvivl om at det kan det jeg vil. Men før jeg køber det (basic versionen) vil jeg afprøve "Etheral" som foreslået af space. Dels fordi det er billigere (freeware) og fordi det er muligt at få sourcen også, og ikke mindst fordi NA ikke tilbyder trial-downloads af Sniffer produktet. De foreslår at man sender en mail for at blive kontaktet af en salgsrepræsentant.
Så jeg kigger på Etheral først, men mange tak for dit forslag. Det er et kvalificeret svar og du får del i pointene.
Space: Du har lige tjent 100 point. Som du kan se har jeg forøget pointtal for dette spm. fordi bufferzone også skal have lidt og fordi jeg gerne vil have svar på følgende supplerende spm også:
Jeg har installeret Etheral programmet på min server, og har "fanget" i alt 55 pakker fra det øjeblik jeg beder min W2K maskine om at logge af og på som anden bruger (hvilket tager omkring 60-62 sekunder). Af disse 55 pakker fremgår det (af etheral programmet) at det alene er trafik mellem min W2K maskine og serveren, med en enkelt afstikker til routeren (der også er firewall) og nogle pakker fra DHCP. Men ingen pakker til eller fra IP adresser uden for mit lokalnet.
Spørgsmålet er så: Når min W2K og serveren sidder på en hub, og routeren er forbundet til hubben også, vil Etheral programmet på serveren så kunne "fange" trafik mellem min W2K maskine og routeren (verdenen uden for), eller vil den trafik der evt. går mellem W2K og Router aldrig gå forbi min server ?
Hvis det er det sidste, hvordan skal jeg så forbinde den maskine der skal "fange" pakkerne til netværket ?
Hvis det er en HUB, så bliver al trafik broadcasted til hele nettet - og dermed også til serveren - hvis det er en switch, så kan du formentlig ikke se det, da trafikken kun sendes på de porte, hvor der er behov (w2k og router).
Prøv at starte etheral og gå på interettet fra w2k - og konstater at du kan se trafikken.
Det vil den kun hvis netkortet på din server er sat i promiskios mode (sikkert stavet forkert) I promiskiøst tilstand opfanger netkortet al trafik og ikke blodt trafik til den selv alle sniffere skal side på maskiner hvis netkort er i dette mode. Deter også denne måde man afsløre sniffere på sit net, man kan faktisk dedektere om der findes netkort i dette mode på nettet og derefter undersøge om sniffer programmer er installeret på dem
Du skal være opmærksom på at det at sætte dit netkort i probiskiøst mode, faktisk vil belaste serveren en del, hvorfor du nok vil opleve at den bliver langsommere, den vil jo nu skulle forholde sig til og behandle al trafik på nettet.
Jeg gør selv det at jeg opsætter en bærbar (med lidt muskler) på det netsegment jeg ønsker at sniffe, lader den stå og fiske en tid, hvorefter jeg analysere alle pakkerne
Ja jeg fik skrevet at det er en hub og det er rent faktisk en switch, den der er mellem routeren og den del af det lokale netværk hvor hhv. server og W2K sidder. Jeg har et andet del af nettet med en hub hvor der også sidder et par W2K maskiner, men den hub er også bare forbundet til switchen.
Så hvis det er rigtigt som Lab skriver skulle jeg måske udskifte switchen med en hub mens jeg sniffer.
Bufferzone: Du skriver at W2K maskinen kun vil se trafikken hvis netkortet er i promiskiøs tilstand (som du skriver det). Gælder det både hvis det er en hub og en switch, eller kun hvis det er en switch ?
Og undskyld jeg ikke har set svarene før. Jeg kunne ikke komme på eksperten i morges da jeg prøvede og har først haft tid igen nu.
Nej Det gør det ikke, her skal du indstille switchen så den spejler alt trafik til den port snifferen sidder på, og sniffermaskinens netkort skal stadig i promoskiøs tilstand (det er den engelske betegnesle der bruges, men jeg er ikke sikker på hvordan promiskiøs staves på engelsk. Du ved at en promiskiøs pige går i seng med hvem som helst, et promiskiøst netkort tager også alt trafik med op uden at bekymer sig om noget som helst).
Problemet med switshen er netop at den jo segmentere dit net, hvorfor sniffermaskinen, hvis du intet gør, kun høre den trafik derer til den selv samt broadcast, derfor skal al trafik spejles, hvis din switch understøtter dette
Ok, tak for dit hurtige svar bufferzone. Jeg har lige prøvet Labs forslag og får ganske vist en masse ind på etheral (der jo kører på serveren) men jeg kan ikke specifikt se trafik mellem min W2K og eksperten, når jeg skiftede mellem siderne. Men masser af andet trafik mellem min router og min server. I Linkloggeren viser den hele tiden hvad den blokerer for og specielt om aftenen er der titusendvis at pakker (defineret som normal trafik) der blokeres, så det er nok det snifferen viser.
I morgen vil jeg prøve bare med en hub istedet for switchen for at se hvad der sker.
Men med hensyn til dit forslag. Jeg var inde og se på opsætningen af netkortet men kan ikke umiddelbart se nogen mulighed for at ændre tilstanden. Det er et Realtek RTL8139 kort jeg har. Ved du hvordan jeg sætter det i den tilstand du taler om ? Og hvordan sætter jeg switchen så den spejler al trafik ? Det er en Level One 16 ports 100 switch, men jeg mindes ikke at der er noget styresoftware til den.
MHT din switch skal du finde noget dokumentation og så søge efter "mirror port" der er den korrekte betegnelse. I øvrigt har jeg nu slåget promiskiøs op, det staves Promiscuous på engelsk
Jeg har nu prøvet det meste og er blevet overbevist om at årsagen til at min W2K maskine, til forskel for andre W2K maskiner jeg har i netværket, er meget langsom til at lukke ned (ca. 60 sek) når jeg vælger Sluk Maskine, ikke skyldes at den først skal udveksle informationer med andre uden for mit lokalnet.
Med Ethereal programmet, som foreslået af Space, satte jeg en HUB op kun med min server, min W2K maskine og Adsl routeren og lod ethereal programmet sniffe alt fra det øjeblik jeg beder min W2K maskine om at lukke til den ret faktisk er slukket. Og jeg har ikke set noget mistænkeligt i snifferloggen.
Jeg har også prøvet, både med hubben og med switchen at lade min firewall blokere for al udgående trafik og i dens log kunne jeg ikke se at W2K maskinen prøvede at komme ud på nettet mens den var ved at lukke ned. Og når jeg testede det, ved f.eks. at starte IE, blev alle pakker blokeret som de skulle.
Så bortset fra at jeg ikke har prøvet Bufferzones forslag endnu (og pt. ikke mener det er nødvendigt) så takker jeg alligevel alle for indsatsen, og fordeler point så godt jeg kan. Selvom jeg synes Bufferzone fortjener mere end de 80 jeg har givet, havde jeg allerede lover Space 100 og Lab skal selvfølgeligt også have lidt for sit bidrag.
Så Bufferzone, jeg takker specielt for din hjælp og er ked af at jeg ikke kan belønne den med mere end 80 point, men eksperten tillader ikke at jeg retter point for spm. til mere end max 200. Hvis du også svarer på et af mine fremtidige spm. så skal jeg nok huske at du skal have mere næste gang.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.