The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как смотреть трафик по портам?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как смотреть трафик по портам?"  
Сообщение от noob email(ok) on 21-Авг-07, 12:18 
Добрый День! Ситуация такая, имеются несколько 3750 они же шлюзы для пользователей во внешний мир. Кто-то из пользователей поймал почтовый вирус, который в свою очередь делает рассылку. Как можно стандартными (без установки netflow и т.д. )способами посмотреть на этих 3750 трафик по портам (25 порт) и от какого внутреннего ip он сыпется? Вообще такое возможно? Спасибо.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Как смотреть трафик по портам?"  
Сообщение от LILO email(??) on 21-Авг-07, 12:21 
>Добрый День! Ситуация такая, имеются несколько 3750 они же шлюзы для пользователей
>во внешний мир. Кто-то из пользователей поймал почтовый вирус, который в
>свою очередь делает рассылку. Как можно стандартными (без установки netflow и
>т.д. )способами посмотреть на этих 3750 трафик по портам (25 порт)
>и от какого внутреннего ip он сыпется? Вообще такое возможно? Спасибо.
>

sh int gige 1/0/25
sh ip traff

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как смотреть трафик по портам?"  
Сообщение от noob email(ok) on 21-Авг-07, 12:33 
>sh int gige 1/0/25
>sh ip traff

Спасибо. Это всё здорово, но надо именно по протоколу smtp (или 25 порт) и от какого внутренного ip... это возможно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как смотреть трафик по портам?"  
Сообщение от vorch on 21-Авг-07, 12:26 
На самом коммутаторе можно через debug. Причем желательно создать ACL для отбора интересующего трафика (например по порту, на который стучится вирус) и вывести debug ip-пакетов, подпадающих под этот ACL. Учтите, что существует опасность сильного падения производительности на время дебага. Если циска сильно удаленная, то можно подстраховаться отложенной перезагрузкой. Или пионером, который в случае чего сможет дернуть ее по питанию
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как смотреть трафик по портам?"  
Сообщение от noob email(ok) on 21-Авг-07, 12:35 
>На самом коммутаторе можно через debug. Причем желательно создать ACL для отбора
>интересующего трафика (например по порту, на который стучится вирус) и вывести
>debug ip-пакетов, подпадающих под этот ACL. Учтите, что существует опасность сильного
>падения производительности на время дебага. Если циска сильно удаленная, то можно
>подстраховаться отложенной перезагрузкой. Или пионером, который в случае чего сможет дернуть
>ее по питанию

Спасибо! Вот это интересно, а можно поподробнее или ссылочку где этот процесс поподробнее расписан?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Как смотреть трафик по портам?"  
Сообщение от Storoj email(ok) on 21-Авг-07, 13:37 
>>На самом коммутаторе можно через debug. Причем желательно создать ACL для отбора
>>интересующего трафика (например по порту, на который стучится вирус) и вывести
>>debug ip-пакетов, подпадающих под этот ACL. Учтите, что существует опасность сильного
>>падения производительности на время дебага. Если циска сильно удаленная, то можно
>>подстраховаться отложенной перезагрузкой. Или пионером, который в случае чего сможет дернуть
>>ее по питанию
>
>Спасибо! Вот это интересно, а можно поподробнее или ссылочку где этот процесс
>поподробнее расписан?

Ну например навесить на интерфейс фильтр (смотря в какую сторону ловить):

access-list 101 permit tcp any host aaa.bbb.ccc.ddd eq smtp log
access-list 101 permit tcp host aaa.bbb.ccc.ddd any eq smtp log

И смотреть что делается в консоле. Либо в режиме терминального подключения дав предварительно комманду term mon. Всё будет видно и без включения дебага.

Есть еще более безабидный вариант - заставить слушать трафик T-metr и писать лог =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как смотреть трафик по портам?"  
Сообщение от Storoj email(ok) on 21-Авг-07, 13:39 
>>На самом коммутаторе можно через debug. Причем желательно создать ACL для отбора
>>интересующего трафика (например по порту, на который стучится вирус) и вывести
>>debug ip-пакетов, подпадающих под этот ACL. Учтите, что существует опасность сильного
>>падения производительности на время дебага. Если циска сильно удаленная, то можно
>>подстраховаться отложенной перезагрузкой. Или пионером, который в случае чего сможет дернуть
>>ее по питанию
>
>Спасибо! Вот это интересно, а можно поподробнее или ссылочку где этот процесс
>поподробнее расписан?

Ну например навесить на интерфейс фильтр (смотря в какую сторону ловить):

access-list 101 permit tcp any host aaa.bbb.ccc.ddd eq smtp log
access-list 101 permit tcp host aaa.bbb.ccc.ddd any eq smtp log

И смотреть что делается в консоле. Либо в режиме терминального подключения дав предварительно комманду term mon. Всё будет видно и без включения дебага.

Есть еще более безабидный вариант - заставить слушать трафик T-metr и писать лог =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Как смотреть трафик по портам?"  
Сообщение от noob email(ok) on 21-Авг-07, 14:18 
>[оверквотинг удален]
>
>access-list 101 permit tcp any host aaa.bbb.ccc.ddd eq smtp log
>access-list 101 permit tcp host aaa.bbb.ccc.ddd any eq smtp log
>
>И смотреть что делается в консоле. Либо в режиме терминального подключения дав
>предварительно комманду term mon. Всё будет видно и без включения дебага.
>
>
>Есть еще более безабидный вариант - заставить слушать трафик T-metr и писать
>лог =)

Спасибо, надо будет попробывать :)
а T-metr это под win ставить каждому клиенту? или я что-то не допонял?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Как смотреть трафик по портам?"  
Сообщение от fenix2 (??) on 21-Авг-07, 20:52 
>[оверквотинг удален]
>>И смотреть что делается в консоле. Либо в режиме терминального подключения дав
>>предварительно комманду term mon. Всё будет видно и без включения дебага.
>>
>>
>>Есть еще более безабидный вариант - заставить слушать трафик T-metr и писать
>>лог =)
>
>Спасибо, надо будет попробывать :)
>а T-metr это под win ставить каждому клиенту? или я что-то не
>допонял?

этот debug ip packet или сислог довольно мрачная штука, в смысле онлайн просмотра трафика, т.к
1. дебаг глючт. у меня глючит, то не показывает всё, то вобще не показывает.
2. сислог что валит на консоль не показывает все пакеты, а суммарно за определённый момент времени.

эсть еще 1 способ. можно настроить port mirroring смысл которого зеркалировать весь трафик который проходит через оперделённый порт и пускать его (траффик) на другой.
А в этот другой порт включить капмутер и ethereal`ом смотреть весь трафик.

Switch(config)# monitor session 1 source interface gigabitethernet1/0/1
Switch(config)# monitor session 1 destination interface gigabitethernet1/0/2

за сорс можно брать vlan что покроет ряд портов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Как смотреть трафик по портам?"  
Сообщение от Storoj email(ok) on 22-Авг-07, 05:05 
>Спасибо, надо будет попробывать :)
>а T-metr это под win ставить каждому клиенту? или я что-то не
>допонял?

Т-metr ставится на машине администратора в режим снифер.
Создаётся правило для пакетов по адресу и 25-му порту, соотв.
Согласно правилу должен писаться лог.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру