Sniffer para Linux

[adilson_Santos]

Olá Pessoal
Estou precisando de um bom sniffer para Linux, para que posso analisar a tráfego da minha rede.
Pois nos ultimos dias venho percebendo o aumento de processamento das Cpu dos meus Switch e Roteadores, hoje tenho um rede com 1000 máquinas, onde deve passar 1000 MacAdress tirando os Mac de Roteadores e Switch, pois bem tenho percebido que em determinados Switchs chega a passar 5 mil 10 mil.. onde no máximo deveria passar 180 até 220 Mac por Vlan.
Por isso não sei bem se vírus pois novos Antivirus não pega nada .. então espelhei um porta do meu Switch na intenção de verificar qual estação da minha rede esta jogando esse monte de Mac.
Abraços todos
Adilson

[irado]

bem.. vc pode usar o ethereal, mas vai ser uma loucura analisar o tráfego disso aí, apesar que vc pode fazer filtragens.

Também pode usar o ntop, que indicará (no cruzamento de linha/coluna) os maiores tráfegos.

Se vc não tem a rede segmentada, tudo bem, funcionarão - mas, cá entre nós, mais de 1000 mákinas sem segmentação de rede é um treco meio impossível de administrar. Esqueça, apenas pensei alto.

Em rede segmentada, vc precisará ´perambular´ de rede em rede para ir estreitando a pesquisa.

divirta-se.

[adilson_Santos]

O problema que já estou usando o Ethenet real mais não mostra nada ...
Minha esta toda seguimentada certinho o grande problema e que de uma hora para a outra a quantidade de Mac e muito grande, hoje mesmo das 08:00 da manha até agora já passaram quase 800 mil Mac... estou criando alguns Acess list no roteador e Switch para ver se pego algo. até a hora que chegar o Analisador de protocolo mesmo que esta estava quebrado.
mais valeu estou vendo se ainda acho algo.
Abraços
Adilson

[irado]

bem.. eu ficaria com o ntop. Note que êste NÃO MANTÉM o histórico dos dados, ou seja, desligou, kaput. Mas é muito bom pq (como já mencionei) na coluna direita, linhas 1~n aponta os ip-addr destino, na linha 1 até coluna n outros ip-addr (origem). No cruzamento linha/coluna vc tem o tráfego, então vc fica sabendo QUEM gera isso. Um notebook ´perambulante´ pra vc ´andar´ de rede em rede vai ajudar um bocadão.

HIH

divirta-se.

[adilson_Santos]

legal, valeu pela dica vou faze a instalação do Ntop, aqui na empresa e vamos ver no que dá .
Abraços
Adilson

[conesnet]

Meu camarada vc conhece o snifferpro ele roda em windows mas captura tudo e lhe da informacoes graficas de tudo que acontece na rede. Excelente produto.

[MarcusMaciel]

tcpdump pra mim é perfeito

[spyderlinux]

Scorpion, quanto ao tcpdump.


Não consigo entender a forma dele ser gerado sem falar que roda rapido pra caramba. Claro que deve ter opções pra ter um intervalo para correr mas ainda não terminei o man.
Alias comecei e tive que parar.

12:01:52.974078 IP oscar.meuservidor.com.br.41748 >
201-1-181-84.dsl.telesp.net.br.9090: P 240:288(48) ack 833 win 30800 <nop,nop,timestamp
6712095 1992332>
12:01:52.993392 IP 201-1-181-84.dsl.telesp.net.br.9090 >
oscar.meuservidor.com.br.41748: P 833:929(96) ack 240 win 8320 <nop,nop,timestamp
1992334 6712094>
12:01:53.004546 IP 201-1-181-84.dsl.telesp.net.br.1057 > oscar.meuservidor.com.br.http:
S 1148127000:1148127000(0) win 7964 <mss 1412>
12:01:53.011395 IP 201-1-181-84.dsl.telesp.net.br.9090 >
oscar.meuservidor.com.br.41748: P 929:1041(112) ack 240 win 8320 <nop,nop,timestamp
1992335 6712095>
12:01:53.032396 IP oscar.meuservidor.com.br.41748 >
201-1-181-84.dsl.telesp.net.br.9090: . ack 1041 win 30800 <nop,nop,timestamp 6712101
1992334>
12:01:53.222400 IP oscar.meuservidor.com.br.41748 >
201-1-181-84.dsl.telesp.net.br.9090: P 240:288(48) ack 1041 win 30800 <nop,nop,timestamp
6712120 1992334>
12:01:53.268340 IP 201-1-181-84.dsl.telesp.net.br.9090 >
oscar.meuservidor.com.br.41748: . ack 288 win 8320 <nop,nop,timestamp 1992359 6712120>


O que isso significa ?

Poderia mi dar uma mão com ele ?

[adilson_Santos]

Já usei o Sniffer Pro mais não deu muitos resultados .. masi agora estou rodando um analisador de protocolos mesmo .. o nossa analisador já voltou do conceto a provavel que nessa semana eu já saiba o que esta acontecendo na rede .. assim que tiver resposta eu escrevo para todos ...
Abraços a todos

Adilson Santos

[fnegreiros]

O que acham do SNORT ?

[doliveira]

Scorpion, quanto ao tcpdump.


Não consigo entender a forma dele ser gerado sem falar que roda rapido pra caramba. Claro que deve ter opções pra ter um intervalo para correr mas ainda não terminei o man.
Alias comecei e tive que parar.

12:01:52.974078 IP oscar.meuservidor.com.br.41748 >
201-1-181-84.dsl.telesp.net.br.9090: P 240:288(48) ack 833 win 30800 <nop,nop,timestamp
6712095 1992332>
12:01:52.993392 IP 201-1-181-84.dsl.telesp.net.br.9090 >
oscar.meuservidor.com.br.41748: P 833:929(96) ack 240 win 8320 <nop,nop,timestamp
1992334 6712094>
12:01:53.004546 IP 201-1-181-84.dsl.telesp.net.br.1057 > oscar.meuservidor.com.br.http:
S 1148127000:1148127000(0) win 7964 <mss 1412>
12:01:53.011395 IP 201-1-181-84.dsl.telesp.net.br.9090 >
oscar.meuservidor.com.br.41748: P 929:1041(112) ack 240 win 8320 <nop,nop,timestamp
1992335 6712095>
12:01:53.032396 IP oscar.meuservidor.com.br.41748 >
201-1-181-84.dsl.telesp.net.br.9090: . ack 1041 win 30800 <nop,nop,timestamp 6712101
1992334>
12:01:53.222400 IP oscar.meuservidor.com.br.41748 >
201-1-181-84.dsl.telesp.net.br.9090: P 240:288(48) ack 1041 win 30800 <nop,nop,timestamp
6712120 1992334>
12:01:53.268340 IP 201-1-181-84.dsl.telesp.net.br.9090 >
oscar.meuservidor.com.br.41748: . ack 288 win 8320 <nop,nop,timestamp 1992359 6712120>


O que isso significa ?

Poderia mi dar uma mão com ele ?

Tb uso o TCPDUMP, mas não consigo analisar todo o conteudo...
Consigo tirar proveito + ou - de uns 50% dele, se algum souber de algum material legal post aki.

&#91;]'s

[rootmaster]

Scorpion, quanto ao tcpdump.


Não consigo entender a forma dele ser gerado sem falar que roda rapido pra caramba. Claro que deve ter opções pra ter um intervalo para correr mas ainda não terminei o man.
Alias comecei e tive que parar.

12:01:52.974078 IP oscar.meuservidor.com.br.41748 >
201-1-181-84.dsl.telesp.net.br.9090: P 240:288(48) ack 833 win 30800 <nop,nop,timestamp
6712095 1992332>
12:01:52.993392 IP 201-1-181-84.dsl.telesp.net.br.9090 >
oscar.meuservidor.com.br.41748: P 833:929(96) ack 240 win 8320 <nop,nop,timestamp
1992334 6712094>
12:01:53.004546 IP 201-1-181-84.dsl.telesp.net.br.1057 > oscar.meuservidor.com.br.http:
S 1148127000:1148127000(0) win 7964 <mss 1412>
12:01:53.011395 IP 201-1-181-84.dsl.telesp.net.br.9090 >
oscar.meuservidor.com.br.41748: P 929:1041(112) ack 240 win 8320 <nop,nop,timestamp
1992335 6712095>
12:01:53.032396 IP oscar.meuservidor.com.br.41748 >
201-1-181-84.dsl.telesp.net.br.9090: . ack 1041 win 30800 <nop,nop,timestamp 6712101
1992334>
12:01:53.222400 IP oscar.meuservidor.com.br.41748 >
201-1-181-84.dsl.telesp.net.br.9090: P 240:288(48) ack 1041 win 30800 <nop,nop,timestamp
6712120 1992334>
12:01:53.268340 IP 201-1-181-84.dsl.telesp.net.br.9090 >
oscar.meuservidor.com.br.41748: . ack 288 win 8320 <nop,nop,timestamp 1992359 6712120>


O que isso significa ?

Poderia mi dar uma mão com ele ?

e cara ...voce pode usar filtros para destinguir as portas ...
se não fica difícil para acompanhar.

ex:

tcpdump -i eth1 -host 192.168.0.1 | grep http

vai mostrar tudo que for relacionado a esse host em relação a device eth1 na porta 80 ( http )

ou ...

tcpdump > /home/usuario/filtro.txt

assim voce vai ter todo o conteudo num arquivo texto ...

espero ter ajudado ...


falow ...

[doliveira]

Ok. Mas por ex, o que significa isso?

P 240:288(48) ack 833 win 30800 <nop,nop,timestamp
6712095 1992332>


e isso, é o horario. E depois, é data em algum formato?

12:01:52.974078

&#91;]'s

[Cloudy]

Eu recomendo ou o DSnif ou o Hunt.

O Hunt é legal pois possue, além de ferramentas pra sniffar, possue ferramentas para Hijacking.

...by Cloudy

[rootmaster]

Ok. Mas por ex, o que significa isso?

P 240:288(48) ack 833 win 30800 <nop,nop,timestamp
6712095 1992332>


e isso, é o horario. E depois, é data em algum formato?

12:01:52.974078

&#91;]'s

Se o seu servidor aceitar a conexão ele envia um flag SYN e um flag ACK,
confirmando o recebimento do flag SYN do cliente.

como nesse caso ...

12:01:52.993392 IP 201-1-181-84.dsl.telesp.net.br.9090 >
oscar.meuservidor.com.br.41748: P 833:929(96) ack 240 win 8320 <nop,nop,timestamp
1992334 6712094>

12:01:52.993392 ( hora da conexão )
IP 201-1-181-84.dsl.telesp.net.br.9090 ( Host + Porta acessada 9090 )
oscar.meuservidor.com.br.41748: ( Host + Porta Alta , de onde partiu a solicitação )
ack ( como mensionado acima ) ...

Espero ter ajudado ...
falow ...