Инструменты безопасности с открытым исходным кодом


Примеры применения Tcpdump - часть 2


Слежение за определенной рабочей станцией

С помощью Tcpdump вы легко можете запротоколировать трафик, исходящий из определенной рабочей станции, для последующего анализа (убедитесь только, что вы имеете на это законное право). Используйте инструкцию Tcpdump из первого примера с ключом -w для записи в файл. Если в сети применяется динамическое конфигурирование хостов по протоколу DHCP, то предпочтительным может оказаться использование имен SMB (Windows). Пример:

tcpdump -w logfile host 192.168.1.1

где logfile представляет файл протокола. Можно также добавить опции -c или -C для ограничения размера файла вывода.

Поиск подозрительного сетевого трафика

Если у вас вызывает беспокойство сетевая активность в нерабочее время, то можно оставить запущенный Tcpdump, отметив трафик, который вы считаете сомнительным. Можно запустить Tcpdump с установленным флагом gateway 192.168.0.1, заменяя IP-адрес на адрес своего Интернет-шлюза. Если ваша домашняя сеть использует IP-диапазон от 192.168.0.0 до 192.168.0.254, в этом случае будет помечаться весь трафик, проходящий через шлюз Интернета. Если имеется внутренний почтовый сервер, и вы не хотите протоколировать этот трафик, так как он допустим, можно добавить инструкцию

and host != 192.168.0.2

где IP-адрес является адресом почтового сервера. Восклицательный знак действует как булева операция НЕ. Будет помечаться весь входящий трафик, не предназначенный для почтового сервера. Выражение может выглядеть следующим образом:

tcpdump -w logfile gateway 192.168.0.1 and host != 192.168.1.2

Для выявления пользователей, применяющих определенное приложение, например, программы потокового видео или аудио, можно уточнить выражение, если известен номер порта. Если вы знаете, что используется порт TCP 1000, то можно применить примитив port для перехвата трафика подозрительного приложения. Пример:

tcpdump -w logfile gateway 192.168.0.1 and host != 192.168.1.2 dst port 1000

Для более сложных сценариев обнаружения вторжений лучше применить одну из систем обнаружения вторжений, описанных в лекции 7, но для быстрого предварительного анализа Tcpdump может быть очень полезным средством.

WinDump: Анализатор Ethernet-трафика для Windows

WinDump

Автор/основной контакт: Loris Degioanni

Web-сайт: windump.polito.it/install/default.htm

Платформы: Windows 95, 98, ME, NT4, 2000, XP

Лицензия: BSD

Рассмотренная версия: 3.8 alpha

Список почтовой рассылки WinPcap:

http://www.mail-archive.com/winpcap-users@winpcap.polito.it/

Наконец появилась программа Tcpdump для Windows. На самом деле, это настоящая UNIX-программа Tcpdump, перенесенная на платформу Windows, поэтому все функции и выражения работают точно так же.




Начало  Назад  Вперед



Книжный магазин