URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 9471
[ Назад ]

Исходное сообщение
"tcpdump и траффик юзера"
Отправлено DmitryDemin , 18-Окт-01 18:17

Hi!
Есть один "нехороший" юзер в локальной сети...
Как tcpdump'oм или smbtcpdump'ом отследить его траффик в определенные часы? Что-бы это записалось
в файл и потом можно было проанализировать эту информацию. Служебная информация здесь почти не нужна, в основном интересует работа через HTTP протокол (все идет через squid) - какие формы и поля заполнял и текст сообщений?
Здесь нет никакой личной тайны, просто это нужно в воспитательных мерах распоясавшегося юзера.
Всего хорошего!
С уважением, Dmitry.

Содержание

RE: tcpdump и траффик юзера,Lamer, 12:21 , 19-Окт-01
- RE: tcpdump и траффик юзера,Дрон, 07:00 , 24-Окт-01
RE: tcpdump и траффик юзера,Sergeyko, 13:13 , 19-Окт-01
- RE: tcpdump и траффик юзера,Y, 13:21 , 19-Окт-01
  - RE: tcpdump и траффик юзера,SergK, 01:42 , 21-Окт-01
    - RE: tcpdump и траффик юзера,DmitryDemin, 12:42 , 21-Окт-01
      - я тока что делал так..,avkie, 14:55 , 22-Окт-01
      - RE: tcpdump и траффик юзера,Y, 17:21 , 22-Окт-01
        
        RE: tcpdump и траффик юзера,DmitryDemin, 21:12 , 22-Окт-01
        sarg+squid тебе помогут,avkie, 09:45 , 26-Окт-01

Сообщения в этом обсуждении

"RE: tcpdump и траффик юзера"
Отправлено Lamer , 19-Окт-01 12:21

просто подойди да кааааак по морде с размаху, чтоб другие так не делали :)))))))))
З.Ы. где-то здесьили не здесь я видел исходники сниффера, который нюхал трафик ftp на предмет pass
думаю не было бы сложно переделать его под http
а пока что есть trafshow

"RE: tcpdump и траффик юзера"
Отправлено Дрон , 24-Окт-01 07:00

>просто подойди да кааааак по морде
>с размаху, чтоб другие так
>не делали :)))))))))
>
>З.Ы. где-то здесьили не здесь
>я видел исходники сниффера, который
>нюхал трафик ftp на предмет
>pass
>думаю не было бы сложно переделать
>его под http
>а пока что есть trafshow
А что ? trafd уже отменили ? )))

"RE: tcpdump и траффик юзера"
Отправлено Sergeyko , 19-Окт-01 13:13

>Hi!
>Есть один "нехороший" юзер в локальной
>сети...
>Как tcpdump'oм или smbtcpdump'ом отследить его
>траффик в определенные часы? Что-бы
>это записалось
>в файл и потом можно было
>проанализировать эту информацию. Служебная информация
>здесь почти не нужна, в
>основном интересует работа через HTTP
>протокол (все идет через squid)
>- какие формы и поля
>заполнял и текст сообщений?
>
>Здесь нет никакой личной тайны, просто
>это нужно в воспитательных мерах
>распоясавшегося юзера.
>
>Всего хорошего!
>С уважением, Dmitry.
>
>
Так в log SQUID можно найти все,
если этот user сидит на одном ip адресе.
SQUID пишет время и что энтот user в это
время делал, т.е. куда ходил и что качал.

"RE: tcpdump и траффик юзера"
Отправлено Y , 19-Окт-01 13:21

Запускаешь tcpdump -w file.dmp src host x.x.x.x
где x.x.x.x ip того плохого юзера
Потом есть утилитка tcpshow подставляешь ей тот файлик и она тебе популярно о каждом пакете расскажет
Есть sniffit прога не плохая
Она не сложная в использовании - разберёшся
И на крайняк если ты хочешь сразу смотреть куда он лазит - trafshow src host x.x.x.x

"RE: tcpdump и траффик юзера"
Отправлено SergK , 21-Окт-01 01:42

>Запускаешь tcpdump -w file.dmp src host
>x.x.x.x
>где x.x.x.x ip того плохого юзера
>
>Потом есть утилитка tcpshow подставляешь
>ей тот файлик и она
>тебе популярно о каждом пакете
>расскажет
>
>Есть sniffit прога не плохая
>Она не сложная в использовании -
>разберёшся
>
>И на крайняк если ты хочешь
>сразу смотреть куда он лазит
>- trafshow src host x.x.x.x
>
Попробуй поставить SARG там все красиво и
подробно кто куда когда и сколько относительно log squid

"RE: tcpdump и траффик юзера"
Отправлено DmitryDemin , 21-Окт-01 12:42

Hi!
Да есть у меня логи сквида и сарг тоже дает свою статистику... Но это еще не все, нужно знать прямо что он этих страницах и какие тексты там писал... А то заход этого пользователя на анонимный сервер сам по себе ничем не плох, а вот то что он пишет на других сайтах - это уже доставляет проблемы! И ведь пока не поймаешь _на точном содержании его сообщений_ - ничего нельзя доказать и соответственно заблокировать ему доступ!
Вот хочу попробовать sniffit, может он поможет. Если есть еще какие возможности или программы - предлагайте, коллеги!
Всего хорошего!
С уважением, Dmitry.

"я тока что делал так.."
Отправлено avkie , 22-Окт-01 14:55

только что сделал для сквида так
у меня есть несколько хмырей которые после работы парнуху качают - причем просто позапрещать я пробовал - трафик не падает - они постоянно новые находят. потому принято кардинальное решение отрубать их от сети после работы.
acl bad_user_1 src 192.168.1.3
acl bad_user_2 src 192.168.1.4
acl turnoff_bad_users time SMTWHFA 15:36-15:40
http_access deny bad_user_1 bad_user_2 turnoff
не забудь что acl выполняются с условием or по-порядку один за другим.
ну а чтобы выследить юзера надо конечон пользоваться SARG-ом или любым другим анализатором трафика

"RE: tcpdump и траффик юзера"
Отправлено Y , 22-Окт-01 17:21

Если тебе нужно знать что он пишет там в иннете то есть такой способ - установи на его машине грабер клавиатуры и потом посмотришь чот там происходит
А если он полный ламер то поставт PCanywhere
и смотри что он делает
Можешь даже запись весьти - короче для виндов штука безподобная

"RE: tcpdump и траффик юзера"
Отправлено DmitryDemin , 22-Окт-01 21:12

Hi!
Не-е-е-т, ты что, имея машину как шлюз и такую мощную систему как Юникс я буду еще что-то ставить под виндами? Все можно решить на шлюзе! Главное сейчас разобраться и иметь инструментарий.
А то что под виндами полно таких шпионов - я и так знаю, но это несерьезно...
Всего хорошего!
С уважением, Dmitry.

"sarg+squid тебе помогут"
Отправлено avkie , 26-Окт-01 09:45

саргом смотришь куда он ходит и сколько качает
а сквидом ограничиваешь доступ
можешь играться с ipfirewall - но имхо, долго и сложно