forum.opennet.ru - "tcpdump и траффик юзера" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"tcpdump и траффик юзера"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"tcpdump и траффик юзера"
Сообщение от DmitryDemin on 18-Окт-01, 18:17 (MSK)
Hi! Есть один "нехороший" юзер в локальной сети... Как tcpdump'oм или smbtcpdump'ом отследить его траффик в определенные часы? Что-бы это записалось в файл и потом можно было проанализировать эту информацию. Служебная информация здесь почти не нужна, в основном интересует работа через HTTP протокол (все идет через squid) - какие формы и поля заполнял и текст сообщений? Здесь нет никакой личной тайны, просто это нужно в воспитательных мерах распоясавшегося юзера. Всего хорошего! С уважением, Dmitry.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: tcpdump и траффик юзера, Lamer, 12:21 , 19-Окт-01, (1)
- RE: tcpdump и траффик юзера, Дрон, 07:00 , 24-Окт-01, (9)
RE: tcpdump и траффик юзера, Sergeyko, 13:13 , 19-Окт-01, (2)
- RE: tcpdump и траффик юзера, Y, 13:21 , 19-Окт-01, (3)
  - RE: tcpdump и траффик юзера, SergK, 01:42 , 21-Окт-01, (4)
    - RE: tcpdump и траффик юзера, DmitryDemin, 12:42 , 21-Окт-01, (5)
      - я тока что делал так.., avkie, 14:55 , 22-Окт-01, (6)
      - RE: tcpdump и траффик юзера, Y, 17:21 , 22-Окт-01, (7)
        
        RE: tcpdump и траффик юзера, DmitryDemin, 21:12 , 22-Окт-01, (8)
        sarg+squid тебе помогут, avkie, 09:45 , 26-Окт-01, (10)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: tcpdump и траффик юзера"

Сообщение от Lamer on 19-Окт-01, 12:21  (MSK)

просто подойди да кааааак по морде с размаху, чтоб другие так не делали :)))))))))
З.Ы.  где-то здесьили не здесь я видел исходники сниффера, который нюхал трафик ftp на предмет pass
думаю не было бы сложно переделать его под http
а пока что есть trafshow

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: tcpdump и траффик юзера"

Сообщение от Дрон on 24-Окт-01, 07:00  (MSK)

>просто подойди да кааааак по морде
>с размаху, чтоб другие так
>не делали :)))))))))
>
>З.Ы.  где-то здесьили не здесь
>я видел исходники сниффера, который
>нюхал трафик ftp на предмет
>pass
>думаю не было бы сложно переделать
>его под http
>а пока что есть trafshow
А что ? trafd уже отменили ? )))

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: tcpdump и траффик юзера"

Сообщение от Sergeyko on 19-Окт-01, 13:13  (MSK)

>Hi!
>Есть один "нехороший" юзер в локальной
>сети...
>Как tcpdump'oм или smbtcpdump'ом отследить его
>траффик в определенные часы? Что-бы
>это записалось
>в файл и потом можно было
>проанализировать эту информацию. Служебная информация
>здесь почти не нужна, в
>основном интересует работа через HTTP
>протокол (все идет через squid)
>- какие формы и поля
>заполнял и текст сообщений?
>
>Здесь нет никакой личной тайны, просто
>это нужно в воспитательных мерах
>распоясавшегося юзера.
>
>Всего хорошего!
>С уважением, Dmitry.
>
>
Так в log SQUID можно найти все,
если этот user сидит на одном ip адресе.
SQUID пишет время и что энтот user в это
время делал, т.е. куда ходил и что качал.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: tcpdump и траффик юзера"

Сообщение от Y on 19-Окт-01, 13:21  (MSK)

Запускаешь tcpdump -w file.dmp src host x.x.x.x
где x.x.x.x ip того плохого юзера
Потом есть утилитка tcpshow  подставляешь ей тот файлик и она тебе популярно о каждом пакете расскажет
Есть sniffit прога не плохая
Она не сложная в использовании - разберёшся
И на крайняк если ты хочешь сразу смотреть куда он лазит - trafshow src host x.x.x.x

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: tcpdump и траффик юзера"

Сообщение от SergK on 21-Окт-01, 01:42  (MSK)

>Запускаешь tcpdump -w file.dmp src host
>x.x.x.x
>где x.x.x.x ip того плохого юзера
>
>Потом есть утилитка tcpshow  подставляешь
>ей тот файлик и она
>тебе популярно о каждом пакете
>расскажет
>
>Есть sniffit прога не плохая
>Она не сложная в использовании -
>разберёшся
>
>И на крайняк если ты хочешь
>сразу смотреть куда он лазит
>- trafshow src host x.x.x.x
>
Попробуй поставить SARG там все красиво и
подробно кто куда когда и сколько относительно log squid

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: tcpdump и траффик юзера"

Сообщение от DmitryDemin on 21-Окт-01, 12:42  (MSK)

Hi!
Да есть у меня логи сквида и сарг тоже дает свою статистику... Но это еще не все, нужно знать прямо что он этих страницах и какие тексты там писал... А то заход этого пользователя на анонимный сервер сам по себе ничем не плох, а вот то что он пишет на других сайтах - это уже доставляет проблемы! И ведь пока не поймаешь _на точном содержании его сообщений_ - ничего нельзя доказать и соответственно заблокировать ему доступ!
Вот хочу попробовать sniffit, может он поможет. Если есть еще какие возможности или программы - предлагайте, коллеги!
Всего хорошего!
С уважением, Dmitry.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "я тока что делал так.."

Сообщение от avkie on 22-Окт-01, 14:55  (MSK)

только что сделал для сквида так
у меня есть несколько хмырей которые после работы парнуху качают - причем просто позапрещать я пробовал - трафик не падает - они постоянно новые находят. потому принято  кардинальное решение отрубать их от сети после работы.
acl bad_user_1 src 192.168.1.3
acl bad_user_2 src 192.168.1.4
acl turnoff_bad_users time SMTWHFA 15:36-15:40
http_access deny bad_user_1 bad_user_2 turnoff
не забудь что acl выполняются с условием or по-порядку один за другим.
ну а чтобы выследить юзера надо конечон пользоваться SARG-ом или любым другим анализатором трафика

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: tcpdump и траффик юзера"

Сообщение от Y on 22-Окт-01, 17:21  (MSK)

Если тебе нужно знать что он пишет там в иннете то есть такой способ - установи на его машине грабер клавиатуры и потом посмотришь чот там происходит
А если он полный ламер то поставт PCanywhere
и смотри что он делает
Можешь даже запись весьти - короче для виндов штука безподобная

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: tcpdump и траффик юзера"

Сообщение от DmitryDemin on 22-Окт-01, 21:12  (MSK)

Hi!
Не-е-е-т, ты что, имея машину как шлюз и такую мощную систему как Юникс я буду еще что-то ставить под виндами? Все можно решить на шлюзе! Главное сейчас разобраться и иметь инструментарий.
А то что под виндами полно таких шпионов - я и так знаю, но это несерьезно...
Всего хорошего!
С уважением, Dmitry.

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "sarg+squid тебе помогут"

Сообщение от avkie on 26-Окт-01, 09:45  (MSK)

саргом смотришь куда он ходит и сколько качает
а сквидом ограничиваешь доступ
можешь играться с ipfirewall - но имхо, долго и сложно

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: tcpdump и траффик юзера"
Сообщение от Lamer on 19-Окт-01, 12:21 (MSK)
просто подойди да кааааак по морде с размаху, чтоб другие так не делали :))))))))) З.Ы. где-то здесьили не здесь я видел исходники сниффера, который нюхал трафик ftp на предмет pass думаю не было бы сложно переделать его под http а пока что есть trafshow
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: tcpdump и траффик юзера"
	Сообщение от Дрон on 24-Окт-01, 07:00 (MSK)
	>просто подойди да кааааак по морде >с размаху, чтоб другие так >не делали :))))))))) > >З.Ы. где-то здесьили не здесь >я видел исходники сниффера, который >нюхал трафик ftp на предмет >pass >думаю не было бы сложно переделать >его под http >а пока что есть trafshow А что ? trafd уже отменили ? )))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "RE: tcpdump и траффик юзера"
Сообщение от Sergeyko on 19-Окт-01, 13:13 (MSK)
>Hi! >Есть один "нехороший" юзер в локальной >сети... >Как tcpdump'oм или smbtcpdump'ом отследить его >траффик в определенные часы? Что-бы >это записалось >в файл и потом можно было >проанализировать эту информацию. Служебная информация >здесь почти не нужна, в >основном интересует работа через HTTP >протокол (все идет через squid) >- какие формы и поля >заполнял и текст сообщений? > >Здесь нет никакой личной тайны, просто >это нужно в воспитательных мерах >распоясавшегося юзера. > >Всего хорошего! >С уважением, Dmitry. > > Так в log SQUID можно найти все, если этот user сидит на одном ip адресе. SQUID пишет время и что энтот user в это время делал, т.е. куда ходил и что качал.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: tcpdump и траффик юзера"
	Сообщение от Y on 19-Окт-01, 13:21 (MSK)
	Запускаешь tcpdump -w file.dmp src host x.x.x.x где x.x.x.x ip того плохого юзера Потом есть утилитка tcpshow подставляешь ей тот файлик и она тебе популярно о каждом пакете расскажет Есть sniffit прога не плохая Она не сложная в использовании - разберёшся И на крайняк если ты хочешь сразу смотреть куда он лазит - trafshow src host x.x.x.x
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: tcpdump и траффик юзера"
	Сообщение от SergK on 21-Окт-01, 01:42 (MSK)
	>Запускаешь tcpdump -w file.dmp src host >x.x.x.x >где x.x.x.x ip того плохого юзера > >Потом есть утилитка tcpshow подставляешь >ей тот файлик и она >тебе популярно о каждом пакете >расскажет > >Есть sniffit прога не плохая >Она не сложная в использовании - >разберёшся > >И на крайняк если ты хочешь >сразу смотреть куда он лазит >- trafshow src host x.x.x.x > Попробуй поставить SARG там все красиво и подробно кто куда когда и сколько относительно log squid
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: tcpdump и траффик юзера"
	Сообщение от DmitryDemin on 21-Окт-01, 12:42 (MSK)
	Hi! Да есть у меня логи сквида и сарг тоже дает свою статистику... Но это еще не все, нужно знать прямо что он этих страницах и какие тексты там писал... А то заход этого пользователя на анонимный сервер сам по себе ничем не плох, а вот то что он пишет на других сайтах - это уже доставляет проблемы! И ведь пока не поймаешь _на точном содержании его сообщений_ - ничего нельзя доказать и соответственно заблокировать ему доступ! Вот хочу попробовать sniffit, может он поможет. Если есть еще какие возможности или программы - предлагайте, коллеги! Всего хорошего! С уважением, Dmitry.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "я тока что делал так.."
	Сообщение от avkie on 22-Окт-01, 14:55 (MSK)
	только что сделал для сквида так у меня есть несколько хмырей которые после работы парнуху качают - причем просто позапрещать я пробовал - трафик не падает - они постоянно новые находят. потому принято кардинальное решение отрубать их от сети после работы. acl bad_user_1 src 192.168.1.3 acl bad_user_2 src 192.168.1.4 acl turnoff_bad_users time SMTWHFA 15:36-15:40 http_access deny bad_user_1 bad_user_2 turnoff не забудь что acl выполняются с условием or по-порядку один за другим. ну а чтобы выследить юзера надо конечон пользоваться SARG-ом или любым другим анализатором трафика
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: tcpdump и траффик юзера"
	Сообщение от Y on 22-Окт-01, 17:21 (MSK)
	Если тебе нужно знать что он пишет там в иннете то есть такой способ - установи на его машине грабер клавиатуры и потом посмотришь чот там происходит А если он полный ламер то поставт PCanywhere и смотри что он делает Можешь даже запись весьти - короче для виндов штука безподобная
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: tcpdump и траффик юзера"
	Сообщение от DmitryDemin on 22-Окт-01, 21:12 (MSK)
	Hi! Не-е-е-т, ты что, имея машину как шлюз и такую мощную систему как Юникс я буду еще что-то ставить под виндами? Все можно решить на шлюзе! Главное сейчас разобраться и иметь инструментарий. А то что под виндами полно таких шпионов - я и так знаю, но это несерьезно... Всего хорошего! С уважением, Dmitry.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "sarg+squid тебе помогут"
	Сообщение от avkie on 26-Окт-01, 09:45 (MSK)
	саргом смотришь куда он ходит и сколько качает а сквидом ограничиваешь доступ можешь играться с ipfirewall - но имхо, долго и сложно
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх