+ Responder ao Tópico



  1. #1

    Padrão Sniffer para Linux

    Olá Pessoal
    Estou precisando de um bom sniffer para Linux, para que posso analisar a tráfego da minha rede.
    Pois nos ultimos dias venho percebendo o aumento de processamento das Cpu dos meus Switch e Roteadores, hoje tenho um rede com 1000 máquinas, onde deve passar 1000 MacAdress tirando os Mac de Roteadores e Switch, pois bem tenho percebido que em determinados Switchs chega a passar 5 mil 10 mil.. onde no máximo deveria passar 180 até 220 Mac por Vlan.
    Por isso não sei bem se vírus pois novos Antivirus não pega nada .. então espelhei um porta do meu Switch na intenção de verificar qual estação da minha rede esta jogando esse monte de Mac.
    Abraços todos
    Adilson

  2. #2

    Padrão Re: Sniffer para Linux

    bem.. vc pode usar o ethereal, mas vai ser uma loucura analisar o tráfego disso aí, apesar que vc pode fazer filtragens.

    Também pode usar o ntop, que indicará (no cruzamento de linha/coluna) os maiores tráfegos.

    Se vc não tem a rede segmentada, tudo bem, funcionarão - mas, cá entre nós, mais de 1000 mákinas sem segmentação de rede é um treco meio impossível de administrar. Esqueça, apenas pensei alto.

    Em rede segmentada, vc precisará ´perambular´ de rede em rede para ir estreitando a pesquisa.

    divirta-se.



  3. #3

    Padrão Re: Sniffer para Linux

    O problema que já estou usando o Ethenet real mais não mostra nada ...
    Minha esta toda seguimentada certinho o grande problema e que de uma hora para a outra a quantidade de Mac e muito grande, hoje mesmo das 08:00 da manha até agora já passaram quase 800 mil Mac... estou criando alguns Acess list no roteador e Switch para ver se pego algo. até a hora que chegar o Analisador de protocolo mesmo que esta estava quebrado.
    mais valeu estou vendo se ainda acho algo.
    Abraços
    Adilson

  4. #4

    Padrão Re: Sniffer para Linux

    bem.. eu ficaria com o ntop. Note que êste NÃO MANTÉM o histórico dos dados, ou seja, desligou, kaput. Mas é muito bom pq (como já mencionei) na coluna direita, linhas 1~n aponta os ip-addr destino, na linha 1 até coluna n outros ip-addr (origem). No cruzamento linha/coluna vc tem o tráfego, então vc fica sabendo QUEM gera isso. Um notebook ´perambulante´ pra vc ´andar´ de rede em rede vai ajudar um bocadão.

    HIH

    divirta-se.




  5. #5

    Padrão Re: Sniffer para Linux

    legal, valeu pela dica vou faze a instalação do Ntop, aqui na empresa e vamos ver no que dá .
    Abraços
    Adilson

  6. #6
    conesnet
    Visitante

    Padrão Re: Sniffer para Linux

    Meu camarada vc conhece o snifferpro ele roda em windows mas captura tudo e lhe da informacoes graficas de tudo que acontece na rede. Excelente produto.



  7. #7
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.970
    Posts de Blog
    44

    Padrão Re: Sniffer para Linux

    tcpdump pra mim é perfeito

  8. #8

    Padrão Re: Sniffer para Linux

    Scorpion, quanto ao tcpdump.


    Não consigo entender a forma dele ser gerado sem falar que roda rapido pra caramba. Claro que deve ter opções pra ter um intervalo para correr mas ainda não terminei o man.
    Alias comecei e tive que parar.

    12:01:52.974078 IP oscar.meuservidor.com.br.41748 >
    201-1-181-84.dsl.telesp.net.br.9090: P 240:288(48) ack 833 win 30800 <nop,nop,timestamp
    6712095 1992332>
    12:01:52.993392 IP 201-1-181-84.dsl.telesp.net.br.9090 >
    oscar.meuservidor.com.br.41748: P 833:929(96) ack 240 win 8320 <nop,nop,timestamp
    1992334 6712094>
    12:01:53.004546 IP 201-1-181-84.dsl.telesp.net.br.1057 > oscar.meuservidor.com.br.http:
    S 1148127000:1148127000(0) win 7964 <mss 1412>
    12:01:53.011395 IP 201-1-181-84.dsl.telesp.net.br.9090 >
    oscar.meuservidor.com.br.41748: P 929:1041(112) ack 240 win 8320 <nop,nop,timestamp
    1992335 6712095>
    12:01:53.032396 IP oscar.meuservidor.com.br.41748 >
    201-1-181-84.dsl.telesp.net.br.9090: . ack 1041 win 30800 <nop,nop,timestamp 6712101
    1992334>
    12:01:53.222400 IP oscar.meuservidor.com.br.41748 >
    201-1-181-84.dsl.telesp.net.br.9090: P 240:288(48) ack 1041 win 30800 <nop,nop,timestamp
    6712120 1992334>
    12:01:53.268340 IP 201-1-181-84.dsl.telesp.net.br.9090 >
    oscar.meuservidor.com.br.41748: . ack 288 win 8320 <nop,nop,timestamp 1992359 6712120>


    O que isso significa ?

    Poderia mi dar uma mão com ele ?



  9. #9

    Padrão Re: Sniffer para Linux

    Já usei o Sniffer Pro mais não deu muitos resultados .. masi agora estou rodando um analisador de protocolos mesmo .. o nossa analisador já voltou do conceto a provavel que nessa semana eu já saiba o que esta acontecendo na rede .. assim que tiver resposta eu escrevo para todos ...
    Abraços a todos

    Adilson Santos

  10. #10
    fnegreiros
    Visitante

    Padrão Re: Sniffer para Linux

    O que acham do SNORT ?



  11. #11

    Padrão Re: Sniffer para Linux

    Citação Postado originalmente por spyderlinux
    Scorpion, quanto ao tcpdump.


    Não consigo entender a forma dele ser gerado sem falar que roda rapido pra caramba. Claro que deve ter opções pra ter um intervalo para correr mas ainda não terminei o man.
    Alias comecei e tive que parar.

    12:01:52.974078 IP oscar.meuservidor.com.br.41748 >
    201-1-181-84.dsl.telesp.net.br.9090: P 240:288(48) ack 833 win 30800 <nop,nop,timestamp
    6712095 1992332>
    12:01:52.993392 IP 201-1-181-84.dsl.telesp.net.br.9090 >
    oscar.meuservidor.com.br.41748: P 833:929(96) ack 240 win 8320 <nop,nop,timestamp
    1992334 6712094>
    12:01:53.004546 IP 201-1-181-84.dsl.telesp.net.br.1057 > oscar.meuservidor.com.br.http:
    S 1148127000:1148127000(0) win 7964 <mss 1412>
    12:01:53.011395 IP 201-1-181-84.dsl.telesp.net.br.9090 >
    oscar.meuservidor.com.br.41748: P 929:1041(112) ack 240 win 8320 <nop,nop,timestamp
    1992335 6712095>
    12:01:53.032396 IP oscar.meuservidor.com.br.41748 >
    201-1-181-84.dsl.telesp.net.br.9090: . ack 1041 win 30800 <nop,nop,timestamp 6712101
    1992334>
    12:01:53.222400 IP oscar.meuservidor.com.br.41748 >
    201-1-181-84.dsl.telesp.net.br.9090: P 240:288(48) ack 1041 win 30800 <nop,nop,timestamp
    6712120 1992334>
    12:01:53.268340 IP 201-1-181-84.dsl.telesp.net.br.9090 >
    oscar.meuservidor.com.br.41748: . ack 288 win 8320 <nop,nop,timestamp 1992359 6712120>


    O que isso significa ?

    Poderia mi dar uma mão com ele ?

    Tb uso o TCPDUMP, mas não consigo analisar todo o conteudo...
    Consigo tirar proveito + ou - de uns 50% dele, se algum souber de algum material legal post aki.

    &#91;]'s

  12. #12

    Padrão Re: Sniffer para Linux

    Citação Postado originalmente por spyderlinux
    Scorpion, quanto ao tcpdump.


    Não consigo entender a forma dele ser gerado sem falar que roda rapido pra caramba. Claro que deve ter opções pra ter um intervalo para correr mas ainda não terminei o man.
    Alias comecei e tive que parar.

    12:01:52.974078 IP oscar.meuservidor.com.br.41748 >
    201-1-181-84.dsl.telesp.net.br.9090: P 240:288(48) ack 833 win 30800 <nop,nop,timestamp
    6712095 1992332>
    12:01:52.993392 IP 201-1-181-84.dsl.telesp.net.br.9090 >
    oscar.meuservidor.com.br.41748: P 833:929(96) ack 240 win 8320 <nop,nop,timestamp
    1992334 6712094>
    12:01:53.004546 IP 201-1-181-84.dsl.telesp.net.br.1057 > oscar.meuservidor.com.br.http:
    S 1148127000:1148127000(0) win 7964 <mss 1412>
    12:01:53.011395 IP 201-1-181-84.dsl.telesp.net.br.9090 >
    oscar.meuservidor.com.br.41748: P 929:1041(112) ack 240 win 8320 <nop,nop,timestamp
    1992335 6712095>
    12:01:53.032396 IP oscar.meuservidor.com.br.41748 >
    201-1-181-84.dsl.telesp.net.br.9090: . ack 1041 win 30800 <nop,nop,timestamp 6712101
    1992334>
    12:01:53.222400 IP oscar.meuservidor.com.br.41748 >
    201-1-181-84.dsl.telesp.net.br.9090: P 240:288(48) ack 1041 win 30800 <nop,nop,timestamp
    6712120 1992334>
    12:01:53.268340 IP 201-1-181-84.dsl.telesp.net.br.9090 >
    oscar.meuservidor.com.br.41748: . ack 288 win 8320 <nop,nop,timestamp 1992359 6712120>


    O que isso significa ?

    Poderia mi dar uma mão com ele ?
    e cara ...voce pode usar filtros para destinguir as portas ...
    se não fica difícil para acompanhar.

    ex:

    tcpdump -i eth1 -host 192.168.0.1 | grep http
    vai mostrar tudo que for relacionado a esse host em relação a device eth1 na porta 80 ( http )

    ou ...

    tcpdump > /home/usuario/filtro.txt
    assim voce vai ter todo o conteudo num arquivo texto ...

    espero ter ajudado ...


    falow ...



  13. #13

    Padrão Re: Sniffer para Linux

    Ok. Mas por ex, o que significa isso?

    P 240:288(48) ack 833 win 30800 <nop,nop,timestamp
    6712095 1992332>


    e isso, é o horario. E depois, é data em algum formato?

    12:01:52.974078

    &#91;]'s


  14. #14
    Cloudy
    Visitante

    Padrão Re: Sniffer para Linux

    Eu recomendo ou o DSnif ou o Hunt.

    O Hunt é legal pois possue, além de ferramentas pra sniffar, possue ferramentas para Hijacking.

    ...by Cloudy



  15. #15

    Padrão Re: Sniffer para Linux

    Citação Postado originalmente por doliveira
    Ok. Mas por ex, o que significa isso?

    P 240:288(48) ack 833 win 30800 <nop,nop,timestamp
    6712095 1992332>


    e isso, é o horario. E depois, é data em algum formato?

    12:01:52.974078

    &#91;]'s

    Se o seu servidor aceitar a conexão ele envia um flag SYN e um flag ACK,
    confirmando o recebimento do flag SYN do cliente.

    como nesse caso ...

    12:01:52.993392 IP 201-1-181-84.dsl.telesp.net.br.9090 >
    oscar.meuservidor.com.br.41748: P 833:929(96) ack 240 win 8320 <nop,nop,timestamp
    1992334 6712094>
    12:01:52.993392 ( hora da conexão )
    IP 201-1-181-84.dsl.telesp.net.br.9090 ( Host + Porta acessada 9090 )
    oscar.meuservidor.com.br.41748: ( Host + Porta Alta , de onde partiu a solicitação )
    ack ( como mensionado acima ) ...

    Espero ter ajudado ...
    falow ...