PDA

Zobacz pełną wersję : Monitorowanie sieci lokalnej



RALFG4
04-11-05, 16:24
Witam

Poszukuję programiku który pozwoliłby mi na monitorowanie ruchu sieciowego (dane wychodzące, przychodzące) pomiędzy poszczególnymi adresami IP w sieci lokalnej.
Programy z którymi dotychczas się spotkałem owszem monitorowały ruch ale jedynie pomiędzy moim a innym komputerem lub internetem a tutaj nie o to chodzi.

Proszę bardzo o pomoc.

piotrg
04-11-05, 17:58
Witam

Poszukuję programiku który pozwoliłby mi na monitorowanie ruchu sieciowego (dane wychodzące, przychodzące) pomiędzy poszczególnymi adresami IP w sieci lokalnej.
Programy z którymi dotychczas się spotkałem owszem monitorowały ruch ale jedynie pomiędzy moim a innym komputerem lub internetem a tutaj nie o to chodzi.

Proszę bardzo o pomoc.

Nie obrażaj się ale nie masz pojęcia o czym gadasz... Weź odpal google i poszukaj jak działają sieci komputerowe oparte o switche.

Ale jeśli bardzo Ci zależy to mogę Ci załatwić jakiegoś zarządzalnego switcha z monitoringiem ruchu via SNMP. Cena - oo 2k zł za 24 porty.

RALFG4
04-11-05, 18:42
Dzięki za cenne rady być może nie jasno się wyraziłem postaram się to opisać dokładniej potrzebuję dokonać analizy aktywności komputerów w sieci . Jest to tylko jedna funkcja oprogramowania ANASILA 2.2 http://www.proinfo.com.pl/strony/anasil.htm - punkt 2. Jak widzisz nie jest do tego potrzeby sprzęt za 2Kzł choć cena tego programu rzczywiście nie odbiega specjalnie od twojego sprzętu.

Pozdrawiam

piotrg
04-11-05, 20:31
Dzięki za cenne rady być może nie jasno się wyraziłem postaram się to opisać dokładniej potrzebuję dokonać analizy aktywności komputerów w sieci . Jest to tylko jedna funkcja oprogramowania ANASILA 2.2 http://www.proinfo.com.pl/strony/anasil.htm - punkt 2. Jak widzisz nie jest do tego potrzeby sprzęt za 2Kzł choć cena tego programu rzczywiście nie odbiega specjalnie od twojego sprzętu.

Pozdrawiam

Anasil... Weź pod uwagę, że jeśli nie zainstalujesz na każdym komputerze w sieci klienta ADAG (ot, taki anasilowy Trojan - wykrywany dość często przez antywirusy), to możesz sobie pomarzyć o tych pomiarach. Uwierz mi... Naprawdę lepiej dla Ciebie jeśli dowiesz się JAK działają sieci.

Maik
05-11-05, 00:31
to możesz sobie pomarzyć o tych pomiarach
No nie.

Naprawdę lepiej dla Ciebie jeśli dowiesz się JAK działają sieci.
To może nam wytłumacz ?

Można np. postawić serwer oparty na Linuksie (może i Win też, ale na tym się nie znam) , który będzie robił za router i wtedy możemy bez problemu monitorować i kontrolować ruch sieciowy.
Ponieważ odpada cena oprogramowania, a Linux robiący za router nie ma dużych wymagań, na kilkadziesiąt kompów z powodzeniem wystarczy pentium 200mmx. Na Allegro można to kupić za grosze, nie musi mieć nawet monitora, myszki ani klawiatury...
[+]
- pełna kontrola i monitoring sieci.
[-]
- odrobina wiedzy lub chęci.
- dodatkowy komp.
- musimy mieć fizyczną możliwość w taką ingerencję w sieć.

Można też skorzystać z jakiegoś programu snifującego, większość z nich ma taki monitoring. Normalnie karta sieciowa odbiera tylko pakiety adresowane do niej, program sniffujący przestawia ją w tryb odbierania wszystkich pakietów w sieci i na podstawie ich analizy można monitorować ruch.
[+]
- nie potrzeba dodatkowego kompa ani żadnych modyfikacji sieci.
- zerowe koszty, patrz niżej.
[-]
- możemy tylko monitorować, odpada kontrola.
- to przeważnie płatne programy, ponieważ jednak ich głównym zastosowaniem jest wykradanie haseł w Lanie, ich wersje demo często umożliwiają monitoring, a ograniczenia polegają na tylko częściowym pokazywaniu haseł, więc tym bym się nie przejmował.
- analiza wszystkich pakietów wymaga dobrego kompa i wymagania rosną proporcjonalnie do liczby kompów w sieci.
- wykrycie takiego programu przez Admina w sieci może się dla nas przykro skończyć :wink: , chociaż z drugiej strony patrząc, takie programy są praktycznie niewykrywalne.
- monitoring może być ograniczony do obrębu jednego switcha lub huba.

Za mało podałeś danych, czy to duża sieć ? Czy to Ty jesteś Adminem ? itp...jeśli to jakiś mały Lan składający się z kilku kompów to wpisz w Google "sniffer Windows download" i coś dla siebie znajdziesz...

Piotrek
05-11-05, 07:10
no i wlasnie, jak postawimy linuxa ktory będzie robił za router to mozna się pobawić bardzo użytecznym narzędziem RRD TOOL, który przy wspolpracy z HotSaNIC zrobi odpowiednie czary mary :-) Szczerze polecam.

piotrg
05-11-05, 17:34
Można np. postawić serwer oparty na Linuksie (może i Win też, ale na tym się nie znam) , który będzie robił za router i wtedy możemy bez problemu monitorować i kontrolować ruch sieciowy.

Widze, że sie nie znasz. Wytłumacze to tak prosto jak tylko się da.

Jest sobie mikro siec skladajaca sie z 1 switcha i 3 komputery podłączone do tego switcha. Systemy operacyjne nie ważne. Ale ok... niech bedzie ze jeden z nich to Linuxowy router. Czyli:

Komputer 1: Linux router
Komputer 2: Windows
Komputer 3: Windows


Sytuacja 1.

Komputer 2 ciągnie przez router dane z internetu. Pakiety z routera są wysyłane do switcha z docelowym mac adresem komputera 2. Switch patrzy w pakiet, znajduje mac adres, porównuje go ze swoją tablicą mac adresów i wysyła pakiet wyłącznie na ten port na którym wisi komputer z odpowiednim mac adresem. Nigdzie więcej. W tej sytuacji komputer 3 nie dostaje żadnego pakietu chocby nie wiem co. Ruch na linii router - komputer 2 można monitorowac tylko na tych komputerach.

Sytuacja 2.

Transfer po sieci lokalnej miedzy komputerami 2 i 3 (czyli np. otoczenie sieciowe miedzy dwoma windowsami). Windows zaczyna transmisje - śle do switcha pakiety które mają dotrzec do kompa 3. Switch wysyła pakiety na port na którym wisi komputer 3 i nigdzie więcej. Komputer 1 nie dostaje żadnego pakietu. Monitoring tego ruchu NIE JEST MOŻLIWY NA KOMPUTERZE 1. I nie ważne czy to jest palmtop, atari 65XE, Linux, Windows czy Cray. Nie da się i koniec.

Oczywiście pomijamy wszelkie sposoby typu Mac flood zmieniające switcha w huba - bo to czysta teoria - próbowałem na wielu switchach, żaden nie chciał się przełączyć na huba

Maik
05-11-05, 21:57
Weź odpal google i poszukaj jak działają sieci komputerowe oparte o switche.
A skąd Ty wiesz, że w tej sieci są switche ? Wróżka ? Bo to nigdzie nie zostało napisane, a może to są huby ? może to sieć BNC ? i wtedy cała Twoja teoria się rypnie :D

piotrg
06-11-05, 06:36
Weź odpal google i poszukaj jak działają sieci komputerowe oparte o switche.
A skąd Ty wiesz, że w tej sieci są switche ? Wróżka ? Bo to nigdzie nie zostało napisane, a może to są huby ? może to sieć BNC ? i wtedy cała Twoja teoria się rypnie :D

A może token ring? A może gruba bencka? A może FO? Nie wiem. Ale na 99,9999 to jest sieć na jakimś switchu planeta albo d-linka. Aha. I to co napisałem to nie jest teoria. To są fakty.

Maik
06-11-05, 12:19
Załóżmy, że masz rację i jest to sieć w której pracują switche...

Sytuacja 1.
Komputer 2 ciągnie przez router dane z internetu. Pakiety z routera są wysyłane do switcha z docelowym mac adresem komputera 2. Switch patrzy w pakiet, znajduje mac adres, porównuje go ze swoją tablicą mac adresów i wysyła pakiet wyłącznie na ten port na którym wisi komputer z odpowiednim mac adresem. Nigdzie więcej. W tej sytuacji komputer 3 nie dostaje żadnego pakietu chocby nie wiem co. Ruch na linii router - komputer 2 można monitorowac tylko na tych komputerach.
A po co komp nr. 3 miałby coś dostawać ? Po to właśnie stawiamy ten linux-router aby z jego poziomu monitorować wszystkie kompy. Ponieważ w tej sytuacji wszystkie dane płynące z/do netu będą przez niego przepływały...

Pozostaje jeszcze kwestia danych lecących po sieci lokalnej:

Sytuacja 2.
Transfer po sieci lokalnej miedzy komputerami 2 i 3 (czyli np. otoczenie sieciowe miedzy dwoma windowsami). Windows zaczyna transmisje - śle do switcha pakiety które mają dotrzec do kompa 3. Switch wysyła pakiety na port na którym wisi komputer 3 i nigdzie więcej. Komputer 1 nie dostaje żadnego pakietu. Monitoring tego ruchu NIE JEST MOŻLIWY NA KOMPUTERZE 1. I nie ważne czy to jest palmtop, atari 65XE, Linux, Windows czy Cray. Nie da się i koniec.
Nie tak do końca, pomijając wszelkie sposoby typu Mac flood o których już wspomniałeś, pozostaje jeszcze możliwość oszukania arp i podszycia się pod komputer nr. 3 czego efektem będzie to, że pakiety adresowane do kompa nr. 3 dotrą na komp nr. 1 :wink:

Wydaje mi się też, że jeśli na naszym przykładowym routerze uruchomilibyśmy serwer samby pracujący jako kontroler domeny i włączeniu w Win logowania do domeny, dane z komputera 2 po dojściu do switcha zamiast do kompa nr .3 powędrowałyby do naszego routera i dopiero stamtąd po uwierzytelnieniu do docelowego kompa.
Jeszcze innym sposobem na ten monitoring może być instalacja klientów programu monitorującego na poszczególnych kompach, jak w przypadku wspomnianego przez Ciebie Anasila, a programów analizujących ruch w sieci jest sporo.

Skoro już tak sobie zakładamy, że to sieć oparta na switchach to założmy sobie również, że RALFG4 założył małą sieć składającą się z kilku kompów i szuka tego programu bo któryś z nich zapycha mu sieć i chciałby się tylko dowiedzieć który :)
I w tej czysto hipotetycznej sytuacji ja poleciłbym pierwszego lepszego sniffera i chwilową wymianą switcha na huba...a napewno nie zproponowałbym kupna zarządzalnego switcha za 2k pln, bo żeby się piwa napić to nie trzeba od razu browaru kupować :D
Jednak RALG4 moim zdaniem podał za mało informacji, żeby mu cokolwiek doradzić. Mój pierwszy post w tym topicu był spowodowany tym, że bardzo nie spodobało mi się to jak Pan Wszysto-Wiedzący Jasnowidz potraktował go bardzo z góry odsyłając do Google nie wiedząc o co mu chodzi...

piotrg
06-11-05, 15:33
A po co komp nr. 3 miaby co dostawa ? Po to wanie stawiamy ten linux-router aby z jego poziomu monitorowa wszystkie kompy. Poniewa w tej sytuacji wszystkie dane pynce z/do netu bd przez niego przepyway...


Ale go chce monitorowa wanie taki ruch! Jemu nie chodzi o monitoring na drodze router - komputer.



Wydaje mi si te, e jeli na naszym przykadowym routerze uruchomilibymy serwer samby pracujcy jako kontroler domeny i wczeniu w Win logowania do domeny, dane z komputera 2 po dojciu do switcha zamiast do kompa nr .3 powdrowayby do naszego routera i dopiero stamtd po uwierzytelnieniu do docelowego kompa.

Na szczscie mylisz si. Kontroler domeny zarzdza uprawnieniami. Rozwizanie o ktrym piszesz moe dao by rad w naszym testowym rodowisku. Ale nie w wikszym. Dla przykadu - sie 100 komputerw podpitych do kilkunastu switchy. I jeden biedny PDC... I teraz odpalamy 50 transmisji na rnych sprztach. 50 komputerw aduje dane do routera z pen prdkoci a router wysya je do 50 kolejnych. Rwnie z pen moliw prdkoci. Czyli, eby to mogo chodzi to musimy wsadzi sobie do routera sieciwke 10 Gbit... Przecie kady moe sobie kupi 10 Gbit sprzt. Do tego do jeszcze, e switche te musiay by miec na conajmniej dwoch portach kazdy po 10 Gbit.


Jeszcze innym sposobem na ten monitoring moe by instalacja klientw programu monitorujcego na poszczeglnych kompach, jak w przypadku wspomnianego przez Ciebie Anasila, a programw analizujcych ruch w sieci jest sporo.

Tym razem to ty przyje za fakt, e jest to moliwe - a przecie nikt nie powiedzia, e Ralf posiada dostp do wszystkich komputerw. Ja administruje spor sieci - i jestem pewien, e 80% ludzi nie zgodzio by si na instalacje na swoim komputerze jakiegokolwiek oprogramowania monitorujcego cokolwiek.


Skoro ju tak sobie zakadamy, e to sie oparta na switchach to zaomy sobie rwnie, e RALFG4 zaoy ma sie skadajc si z kilku kompw i szuka tego programu bo ktry z nich zapycha mu sie i chciaby si tylko dowiedzie ktry :D
I w tej czysto hipotetycznej sytuacji ja polecibym pierwszego lepszego sniffera i chwilow wymian switcha na huba...a napewno nie zproponowabym kupna zarzdzalnego switcha za 2k pln, bo eby si piwa napi to nie trzeba od razu browaru kupowa :D


No pewnie, e nie musi kupowac switcha zarzdzalnego. Widzisz... ja bardzo nie lubie minimalistycznego podejcia. Oczywicie kupowanie zarzdzalnego switcha tylko po to, eby z ciekawoci zobaczyc sobie jak wyglda rozkad obcie na danych portach nie ma sensu. Wiadomo - punkt widzenia zaley od punktu siedzenia. Ja zajmuj si cakiem sporymi sieciami i z mojej perspektywy instalacja jakich ADAG'w czy innych nie wchodzi w gre pod adnym pozorem. Tak samo jakie podmienianie switchy na huby.


Jednak RALG4 moim zdaniem poda za mao informacji, eby mu cokolwiek doradzi. Mj pierwszy post w tym topicu by spowodowany tym, e bardzo nie spodobao mi si to jak Pan Wszysto-Wiedzcy Jasnowidz potraktowa go bardzo z gry odsyajc do Google nie wiedzc o co mu chodzi...

Nie jestem wszechwiedzcy. Nikt nie jest. Ale bardzo lubie fachowoc. Nie znam si na silnikach - wic robote z samochodem zosawiam mechanikowi. Bo on si na tym zna.

Reillrant
20-04-17, 19:51
W Windowsie 7 oraz nowszych taki rejestr prowadzi sam system w zakładce Sieci w Panelu sterowania. Do monitorowania większego ruchu poza lokalnym wymagane jest specjalistyczne oprogramowanie.