форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как смотреть трафик по портам?"

Сообщение от noob (ok) on 21-Авг-07, 12:18

Добрый День! Ситуация такая, имеются несколько 3750 они же шлюзы для пользователей во внешний мир. Кто-то из пользователей поймал почтовый вирус, который в свою очередь делает рассылку. Как можно стандартными (без установки netflow и т.д. )способами посмотреть на этих 3750 трафик по портам (25 порт) и от какого внутреннего ip он сыпется? Вообще такое возможно? Спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Как смотреть трафик по портам?"

Сообщение от LILO (??) on 21-Авг-07, 12:21

>Добрый День! Ситуация такая, имеются несколько 3750 они же шлюзы для пользователей >во внешний мир. Кто-то из пользователей поймал почтовый вирус, который в >свою очередь делает рассылку. Как можно стандартными (без установки netflow и >т.д. )способами посмотреть на этих 3750 трафик по портам (25 порт) >и от какого внутреннего ip он сыпется? Вообще такое возможно? Спасибо. > sh int gige 1/0/25 sh ip traff

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Как смотреть трафик по портам?"
	Сообщение от noob (ok) on 21-Авг-07, 12:33
	>sh int gige 1/0/25 >sh ip traff Спасибо. Это всё здорово, но надо именно по протоколу smtp (или 25 порт) и от какого внутренного ip... это возможно?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как смотреть трафик по портам?"

Сообщение от vorch on 21-Авг-07, 12:26

На самом коммутаторе можно через debug. Причем желательно создать ACL для отбора интересующего трафика (например по порту, на который стучится вирус) и вывести debug ip-пакетов, подпадающих под этот ACL. Учтите, что существует опасность сильного падения производительности на время дебага. Если циска сильно удаленная, то можно подстраховаться отложенной перезагрузкой. Или пионером, который в случае чего сможет дернуть ее по питанию

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Как смотреть трафик по портам?"
	Сообщение от noob (ok) on 21-Авг-07, 12:35
	>На самом коммутаторе можно через debug. Причем желательно создать ACL для отбора >интересующего трафика (например по порту, на который стучится вирус) и вывести >debug ip-пакетов, подпадающих под этот ACL. Учтите, что существует опасность сильного >падения производительности на время дебага. Если циска сильно удаленная, то можно >подстраховаться отложенной перезагрузкой. Или пионером, который в случае чего сможет дернуть >ее по питанию Спасибо! Вот это интересно, а можно поподробнее или ссылочку где этот процесс поподробнее расписан?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Как смотреть трафик по портам?"
	Сообщение от Storoj (ok) on 21-Авг-07, 13:37
	>>На самом коммутаторе можно через debug. Причем желательно создать ACL для отбора >>интересующего трафика (например по порту, на который стучится вирус) и вывести >>debug ip-пакетов, подпадающих под этот ACL. Учтите, что существует опасность сильного >>падения производительности на время дебага. Если циска сильно удаленная, то можно >>подстраховаться отложенной перезагрузкой. Или пионером, который в случае чего сможет дернуть >>ее по питанию > >Спасибо! Вот это интересно, а можно поподробнее или ссылочку где этот процесс >поподробнее расписан? Ну например навесить на интерфейс фильтр (смотря в какую сторону ловить): access-list 101 permit tcp any host aaa.bbb.ccc.ddd eq smtp log access-list 101 permit tcp host aaa.bbb.ccc.ddd any eq smtp log И смотреть что делается в консоле. Либо в режиме терминального подключения дав предварительно комманду term mon. Всё будет видно и без включения дебага. Есть еще более безабидный вариант - заставить слушать трафик T-metr и писать лог =)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Как смотреть трафик по портам?"
	Сообщение от Storoj (ok) on 21-Авг-07, 13:39
	>>На самом коммутаторе можно через debug. Причем желательно создать ACL для отбора >>интересующего трафика (например по порту, на который стучится вирус) и вывести >>debug ip-пакетов, подпадающих под этот ACL. Учтите, что существует опасность сильного >>падения производительности на время дебага. Если циска сильно удаленная, то можно >>подстраховаться отложенной перезагрузкой. Или пионером, который в случае чего сможет дернуть >>ее по питанию > >Спасибо! Вот это интересно, а можно поподробнее или ссылочку где этот процесс >поподробнее расписан? Ну например навесить на интерфейс фильтр (смотря в какую сторону ловить): access-list 101 permit tcp any host aaa.bbb.ccc.ddd eq smtp log access-list 101 permit tcp host aaa.bbb.ccc.ddd any eq smtp log И смотреть что делается в консоле. Либо в режиме терминального подключения дав предварительно комманду term mon. Всё будет видно и без включения дебага. Есть еще более безабидный вариант - заставить слушать трафик T-metr и писать лог =)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Как смотреть трафик по портам?"
	Сообщение от noob (ok) on 21-Авг-07, 14:18
	>[оверквотинг удален] > >access-list 101 permit tcp any host aaa.bbb.ccc.ddd eq smtp log >access-list 101 permit tcp host aaa.bbb.ccc.ddd any eq smtp log > >И смотреть что делается в консоле. Либо в режиме терминального подключения дав >предварительно комманду term mon. Всё будет видно и без включения дебага. > > >Есть еще более безабидный вариант - заставить слушать трафик T-metr и писать >лог =) Спасибо, надо будет попробывать :) а T-metr это под win ставить каждому клиенту? или я что-то не допонял?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Как смотреть трафик по портам?"
	Сообщение от fenix2 (??) on 21-Авг-07, 20:52
	>[оверквотинг удален] >>И смотреть что делается в консоле. Либо в режиме терминального подключения дав >>предварительно комманду term mon. Всё будет видно и без включения дебага. >> >> >>Есть еще более безабидный вариант - заставить слушать трафик T-metr и писать >>лог =) > >Спасибо, надо будет попробывать :) >а T-metr это под win ставить каждому клиенту? или я что-то не >допонял? этот debug ip packet или сислог довольно мрачная штука, в смысле онлайн просмотра трафика, т.к 1. дебаг глючт. у меня глючит, то не показывает всё, то вобще не показывает. 2. сислог что валит на консоль не показывает все пакеты, а суммарно за определённый момент времени. эсть еще 1 способ. можно настроить port mirroring смысл которого зеркалировать весь трафик который проходит через оперделённый порт и пускать его (траффик) на другой. А в этот другой порт включить капмутер и ethereal`ом смотреть весь трафик. Switch(config)# monitor session 1 source interface gigabitethernet1/0/1 Switch(config)# monitor session 1 destination interface gigabitethernet1/0/2 за сорс можно брать vlan что покроет ряд портов
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Как смотреть трафик по портам?"
	Сообщение от Storoj (ok) on 22-Авг-07, 05:05
	>Спасибо, надо будет попробывать :) >а T-metr это под win ставить каждому клиенту? или я что-то не >допонял? Т-metr ставится на машине администратора в режим снифер. Создаётся правило для пакетов по адресу и 25-му порту, соотв. Согласно правилу должен писаться лог.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]