- Как смотреть трафик по портам?,
 LILO, 12:21 , 21-Авг-07 (1)>Добрый День! Ситуация такая, имеются несколько 3750 они же шлюзы для пользователей
>во внешний мир. Кто-то из пользователей поймал почтовый вирус, который в
>свою очередь делает рассылку. Как можно стандартными (без установки netflow и
>т.д. )способами посмотреть на этих 3750 трафик по портам (25 порт)
>и от какого внутреннего ip он сыпется? Вообще такое возможно? Спасибо.
>sh int gige 1/0/25
sh ip traff
- Как смотреть трафик по портам?, noob, 12:33 , 21-Авг-07 (3)
>sh int gige 1/0/25
>sh ip traff Спасибо. Это всё здорово, но надо именно по протоколу smtp (или 25 порт) и от какого внутренного ip... это возможно?
- Как смотреть трафик по портам?, vorch, 12:26 , 21-Авг-07 (2)
На самом коммутаторе можно через debug. Причем желательно создать ACL для отбора интересующего трафика (например по порту, на который стучится вирус) и вывести debug ip-пакетов, подпадающих под этот ACL. Учтите, что существует опасность сильного падения производительности на время дебага. Если циска сильно удаленная, то можно подстраховаться отложенной перезагрузкой. Или пионером, который в случае чего сможет дернуть ее по питанию
- Как смотреть трафик по портам?, noob, 12:35 , 21-Авг-07 (4)
>На самом коммутаторе можно через debug. Причем желательно создать ACL для отбора
>интересующего трафика (например по порту, на который стучится вирус) и вывести
>debug ip-пакетов, подпадающих под этот ACL. Учтите, что существует опасность сильного
>падения производительности на время дебага. Если циска сильно удаленная, то можно
>подстраховаться отложенной перезагрузкой. Или пионером, который в случае чего сможет дернуть
>ее по питанию Спасибо! Вот это интересно, а можно поподробнее или ссылочку где этот процесс поподробнее расписан?
- Как смотреть трафик по портам?, Storoj, 13:37 , 21-Авг-07 (5)
>>На самом коммутаторе можно через debug. Причем желательно создать ACL для отбора
>>интересующего трафика (например по порту, на который стучится вирус) и вывести
>>debug ip-пакетов, подпадающих под этот ACL. Учтите, что существует опасность сильного
>>падения производительности на время дебага. Если циска сильно удаленная, то можно
>>подстраховаться отложенной перезагрузкой. Или пионером, который в случае чего сможет дернуть
>>ее по питанию
>
>Спасибо! Вот это интересно, а можно поподробнее или ссылочку где этот процесс
>поподробнее расписан? Ну например навесить на интерфейс фильтр (смотря в какую сторону ловить): access-list 101 permit tcp any host aaa.bbb.ccc.ddd eq smtp log
access-list 101 permit tcp host aaa.bbb.ccc.ddd any eq smtp log И смотреть что делается в консоле. Либо в режиме терминального подключения дав предварительно комманду term mon. Всё будет видно и без включения дебага. Есть еще более безабидный вариант - заставить слушать трафик T-metr и писать лог =)
- Как смотреть трафик по портам?, Storoj, 13:39 , 21-Авг-07 (6)
>>На самом коммутаторе можно через debug. Причем желательно создать ACL для отбора
>>интересующего трафика (например по порту, на который стучится вирус) и вывести
>>debug ip-пакетов, подпадающих под этот ACL. Учтите, что существует опасность сильного
>>падения производительности на время дебага. Если циска сильно удаленная, то можно
>>подстраховаться отложенной перезагрузкой. Или пионером, который в случае чего сможет дернуть
>>ее по питанию
>
>Спасибо! Вот это интересно, а можно поподробнее или ссылочку где этот процесс
>поподробнее расписан? Ну например навесить на интерфейс фильтр (смотря в какую сторону ловить): access-list 101 permit tcp any host aaa.bbb.ccc.ddd eq smtp log
access-list 101 permit tcp host aaa.bbb.ccc.ddd any eq smtp log И смотреть что делается в консоле. Либо в режиме терминального подключения дав предварительно комманду term mon. Всё будет видно и без включения дебага. Есть еще более безабидный вариант - заставить слушать трафик T-metr и писать лог =)
- Как смотреть трафик по портам?, noob, 14:18 , 21-Авг-07 (7)
>[оверквотинг удален]
>
>access-list 101 permit tcp any host aaa.bbb.ccc.ddd eq smtp log
>access-list 101 permit tcp host aaa.bbb.ccc.ddd any eq smtp log
>
>И смотреть что делается в консоле. Либо в режиме терминального подключения дав
>предварительно комманду term mon. Всё будет видно и без включения дебага.
>
>
>Есть еще более безабидный вариант - заставить слушать трафик T-metr и писать
>лог =) Спасибо, надо будет попробывать :)
а T-metr это под win ставить каждому клиенту? или я что-то не допонял?
- Как смотреть трафик по портам?, fenix2, 20:52 , 21-Авг-07 (8)
>[оверквотинг удален]
>>И смотреть что делается в консоле. Либо в режиме терминального подключения дав
>>предварительно комманду term mon. Всё будет видно и без включения дебага.
>>
>>
>>Есть еще более безабидный вариант - заставить слушать трафик T-metr и писать
>>лог =)
>
>Спасибо, надо будет попробывать :)
>а T-metr это под win ставить каждому клиенту? или я что-то не
>допонял? этот debug ip packet или сислог довольно мрачная штука, в смысле онлайн просмотра трафика, т.к
1. дебаг глючт. у меня глючит, то не показывает всё, то вобще не показывает.
2. сислог что валит на консоль не показывает все пакеты, а суммарно за определённый момент времени. эсть еще 1 способ. можно настроить port mirroring смысл которого зеркалировать весь трафик который проходит через оперделённый порт и пускать его (траффик) на другой.
А в этот другой порт включить капмутер и ethereal`ом смотреть весь трафик. Switch(config)# monitor session 1 source interface gigabitethernet1/0/1
Switch(config)# monitor session 1 destination interface gigabitethernet1/0/2 за сорс можно брать vlan что покроет ряд портов
- Как смотреть трафик по портам?, Storoj, 05:05 , 22-Авг-07 (9)
>Спасибо, надо будет попробывать :)
>а T-metr это под win ставить каждому клиенту? или я что-то не
>допонял? Т-metr ставится на машине администратора в режим снифер.
Создаётся правило для пакетов по адресу и 25-му порту, соотв.
Согласно правилу должен писаться лог.
|
Версия для распечатки
Как смотреть трафик по портам?, 
