https://opennet.me/openforum/vsluhforumID1/79851.html Здраствуйте!<br><br>Суть проблемы такова:<br><br>Есть локальная сеть(около 100 компов) которая подключена к интернету через шлюз на FreeBSD.<br>Есть в этой локальной сети пользователь/компьютер который пытается взломать веб-сервер вне локальной сети (в интернете). Веб-сервер показывает только внешний IP адрес шлюза. Надо отследить какой компьютер в локалке этим занимается. Как это можно сделать?<br><br>Заранее спасибо.<br> https://opennet.me/openforum/vsluhforumID1/79851.html#5 Thu, 17 Apr 2008 06:19:23 GMT &gt;А совсем потом -- на исходящие соединения повесить snort или какую другую <br>&gt;IDS и настроить отрубание интернета "отличившимся". Правда, может выйти боком, есои <br>&gt;хакер "отрубит" интернет боссу. :) <br><br>На автомате гут, но думаю лучше алгоритм: отслеживание -&gt; служебка -&gt; здюли ))<br> https://opennet.me/openforum/vsluhforumID1/79851.html#4 Thu, 17 Apr 2008 06:12:46 GMT &gt;Самый простой наверно будет повесить правило count log типа <br>&gt;а потом проанализировать файл по айпишникам на предмет количества конектов. <br><br>А совсем потом -- на исходящие соединения повесить snort или какую другую IDS и настроить отрубание интернета "отличившимся". Правда, может выйти боком, есои хакер "отрубит" интернет боссу. :)<br> https://opennet.me/openforum/vsluhforumID1/79851.html#3 Thu, 17 Apr 2008 03:26:28 GMT &gt;Способов много. <br>&gt;1) tcpdump, snoop, ettercap, etc <br>&gt;2) логирование запросов на фаерволле <br>&gt;3) Поставить прозрачный прокси. <br><br>Согласен.<br><br>Самый простой наверно будет повесить правило count log типа<br>count log tcp from YOU_LOCAL_NET to any 80,8080,8081 setup<br>а потом проанализировать файл по айпишникам на предмет количества конектов.<br>awk '{print $EXT_NUMBER_IP_FIELD}' &#124; sort &#124; uniq -c &#124; sort -r &gt; REPORT<br>как то так - смотрим от какие серваки долбят<br>далее аналогично по найденным сервакам смотрим кто<br> https://opennet.me/openforum/vsluhforumID1/79851.html#2 Wed, 16 Apr 2008 12:10:18 GMT &gt;[оверквотинг удален]<br>&gt;Суть проблемы такова: <br>&gt;<br>&gt;Есть локальная сеть(около 100 компов) которая подключена к интернету через шлюз на <br>&gt;FreeBSD. <br>&gt;Есть в этой локальной сети пользователь/компьютер который пытается взломать веб-сервер вне локальной <br>&gt;сети (в интернете). Веб-сервер показывает только внешний IP адрес шлюза. Надо <br>&gt;отследить какой компьютер в локалке этим занимается. Как это можно сделать? <br>&gt;<br>&gt;<br>&gt;Заранее спасибо. <br><br>Способов много.<br>1) tcpdump, snoop, ettercap, etc<br>2) логирование запросов на фаерволле<br>3) Поставить прозрачный прокси.<br> https://opennet.me/openforum/vsluhforumID1/79851.html#1 Wed, 16 Apr 2008 12:03:20 GMT transparent squid<br>