Author |
Message |
|
Post subject: Sledovanie "podozriveho" klienta
Posted: 14.03.2005 - 13:03 #17488
|
|
Guru
Joined: Dec 27, 2002
Posts: 1505
|
|
Mam nasadene QoS, ktore ako predpokladam nema nejake vacsie chyby.
QoS upload-u aj download-u bezi podla skusenosti korektne.
QoS hadze SSH pakety do "rychlej queue" s minimalnym bandwith managementom.
Mam vsak jedneho klienta, ktory sa snazi pravdepodobne o nejaky podvod, pretoze aj ked som mu nastavil rychlost napr. 5kb/5kb garant, tak podla vypisu z iptables taha cca 40kb.
Pri sledovani trafficu som si vsimol, ze na zaciatku prichadza SSH spojenie na jeho nejaky vonkajsi server xxxx.network.sk
Zistene data:
na lokalnej IP (za mojim NAT) su otvorene porty:
135
2105 (nmap pise ze kerberos4)
na vzdialenom PC su otvorene porty
22
80
Ked si zmenim IPcku na adresu klienta, download mi ide podla shapera (5kb).
Moje otazky:
1. ako zistovat/sledovat traffic takehoto "sikulu" co najefektivnejsie?
Mgx |
|
|
|
|
|
|
Post subject: RE: Sledovanie "podozriveho" klienta
Posted: 14.03.2005 - 13:11 #17490
|
|
Majster
Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
|
|
imho ssh nie je narocne na prenosovu rychlost skor na latencie takze co tak obmedzit ssh pre kazdeho na urcitu max rychlost (dajme tomu 10-16kb). potom by mu takyto tunel nepomohol |
|
|
|
|
|
|
Post subject: Sledovanie "podozriveho" klienta
Posted: 14.03.2005 - 13:14 #17491
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
Ak si chces len overit ci naozaj ide 40kB/s skus mu kreslit MRTG graf (len pre jeho IP), uvidis presne kedy a kolko tahal. Ale ak myslis ze sledovat data tak to asi len pustit nejaky sniffer, neviem ci na to existuje nejaky specializovany softik.
Jednu vec som si ale vsimol na svojom shaperi a sice ide o to ze shaper umoznuje nastavit hodnotu burst ktoru pusti vyssou (plnou ?) rychlostou, cize staci "restartovat" spojenia a tahas naplno. Rezia nadvazovania spojenia sice chvilu trva, ale ciste teoreticky to moze potom ist download vyrazne rychlejsie. No a ak to ma zmysel tak na to urcite existuje softik co to robi uplne automaticky
No a ak taha cez SSH tak to je jasne, bez problemov sa to da. Vyuzivam to aj ja tam kde je kadeco bloknute prelezie to dokonca ako SSL tunel aj cez SQUIDa Cize oshapuj ho komplet a uvidis. |
|
|
|
|
|
|
Post subject: RE: Sledovanie "podozriveho" klienta
Posted: 14.03.2005 - 14:43 #17498
|
|
Guru
Joined: Dec 22, 2003
Posts: 1101
Location: Košice
|
|
podobne problemy som vyriesil pridelovanim pasma podla ip. |
|
|
|
|
|
|
Post subject: Sledovanie "podozriveho" klienta
Posted: 14.03.2005 - 16:28 #17506
|
|
Guru
Joined: Dec 27, 2002
Posts: 1505
|
|
normalne je pasmo priradovane podla priority, tzn.
1. ssh & qos-timed discipiliny (terminalove sluzby, hry)
2. web
3. ftp, p2p
problem je, ze ked niekto podvodne osiera (tunely su v pravidlach siete zakazane) a on mi do oci tvrdi, ze tunel nema, ako mu to dokazat.
ide mi o to, ci existuje nejaky lepsi nastroj ako tcpdump -i <interface> | grep klient, nmap alebo netstat, ktory by mi dal viac info o tom, co sa kde deje.
mgx |
|
|
|
|
|
|
Post subject: RE: Sledovanie "podozriveho" klienta
Posted: 14.03.2005 - 17:53 #17509
|
|
Basic
Joined: Jún 21, 2004
Posts: 69
Location: Nove Zamky
|
|
ntop je tiez celkom dobry nastroj. a tcpdump je imho lepsie pouzivat takto
Code: › tcpdump -i $IF host $IP
alebo najjednoduchsie je to pomocou iptables sledovat prenos z/do IP adresy na prioritnych portoch (z tvojho nastavenia QoS)
a to potom hned vidis ci stahuje cez 22 port. |
|
|
|
|
|
|
Post subject: Sledovanie "podozriveho" klienta
Posted: 14.03.2005 - 18:33 #17511
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
Pouzitie SSH tunelu mu nijak nedokazes, jedine co uvidis je zvyseny traffic na port SSH (alebo aj iny) a vnutri sifrovane data, prave koli sifrovaniu mu to nedokazes.
Ak to mas zmluvne osetrene tak mu posli mail ze si zanamenal aktivitu ktorou porusuje zmluvu a ak sa to bude opakovat odpojis ho. |
|
|
|
|
|
|
Post subject: RE: Sledovanie "podozriveho" klienta
Posted: 14.03.2005 - 19:25 #17512
|
|
Basic
Joined: Okt 12, 2003
Posts: 354
|
|
preco mu nemozes oshapovat traffic podla ip docasne...
abo vytvorit "novy" interface do ktoreho ho naroutujes a nastavis MTU a vsetko tak aby ssh bolo nespolahlive a stale padalo ...bluznim ale neva ... mam asi horucku |
|
|
|
|
|
|
Post subject: RE: Sledovanie "podozriveho" klienta
Posted: 14.03.2005 - 19:39 #17513
|
|
Ucen
Joined: Okt 21, 2004
Posts: 792
|
|
No a co ked naozaj tunel nepouziva a ma vonku len proxac na porte xy. S urcitostou sa da ale tvrdit ze to nie je lama ak taketo nieco dokaze. Myslim ze tunel pouziva GRE hlavičky takze aj tu je jedna moznost. |
|
|
|
|
|
|
Post subject: Sledovanie "podozriveho" klienta
Posted: 14.03.2005 - 20:13 #17516
|
|
Guru
Joined: Dec 27, 2002
Posts: 1505
|
|
jasne, lama to urcite nie je.
pre mna nie je problem urobit mu triedu o garantovanej rychlosti bez ohladu na protokol, ale skor ma zaujima, ako takyto traffic sledovat.
Neviem ci niekto cital "polovacku na kevina", ale tam podobne sledovali traffic, a museli na to urobit nejaky paketovy filter.
Preto dakujem za vsetky prispevky, posunulo ma to zasa trosku dalej.
este otazky:
1. da sa nejak lahko detekovat zvyseny traffic na ssh? Mali ste na mysli specialnu queue, do ktorej budem taketo pakety hadzat a potom ich cez iptables pocitat?
2. daju sa nejako detekovat GRE okrem znameho obcumovania hlavicky paketu?? |
|
|
|
|
|
|
Post subject: RE: Sledovanie "podozriveho" klienta
Posted: 14.03.2005 - 23:03 #17539
|
|
Basic
Joined: Jan 31, 2003
Posts: 418
|
|
mgx: "polovacku" som cital, lenze tam vsetci pouzivali TELNET, takze ziadny problem sniffovat traffic...
paketovy filter robili preto aby mohli sledovat len urcite spojenie u nejakeho providera, kde boli na tu dobu dost mohutne toky dat... co u teba asi nie je a staci ti na to TCPDUMP... |
|
|
|
|
|
|
Post subject: RE: Sledovanie "podozriveho" klienta
Posted: 15.03.2005 - 08:43 #17567
|
|
Basic
Joined: Jún 21, 2004
Posts: 69
Location: Nove Zamky
|
|
Quote: › 1. da sa nejak lahko detekovat zvyseny traffic na ssh? Mali ste na mysli specialnu queue, do ktorej budem taketo pakety hadzat a potom ich cez iptables pocitat?
Code: ›
iptables -N sshaccounting
iptables -I FORWARD -p tcp --dport $port -j accounting
iptables -I FORWARD -p tcp --sport $port -j accounting
iptables -A sshaccounting -s $IP
iptables -A sshaccounting -d $IP
iptables -L sshaccounting -vn | grep $IP > rrd
malo by to ist. ale ako som spominal *ntop* to zvlada na silnejsej masine celkom dobre.
urcite si to pozri. |
|
|
|
|
|
|
Post subject: Sledovanie "podozriveho" klienta
Posted: 15.03.2005 - 10:21 #17574
|
|
Basic
Joined: Jún 18, 2004
Posts: 115
Location: Trencin
|
|
No jedine co este mozes skusit je oslovit administartora vzdialenej servera kde sa ssh-ckuje.... ked to nebude total trupka, tak by ti moho vyjst v ustreti a poskytnut info o tom, co lezie od neho zo servera... Za pokus nic nedas... |
|
|
|
|
|
|
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group Credits |