Prihlásiť sa Odoslať Novinky :: FAQ :: Rozšírené vyhľadávanie :: Napísali o nás :: Ankety
Main Menu
· Home
· 
· FAQ
· 
· Diskusia
· 











Main Menu
· Domov

Moduly
· AvantGo
· Downloads
· FAQ
· News
· Recommend Us
· Reviews
· Search
· Sections
· Stats
· Topics
· Top List
· Web Links
· Forum

Jazyk
Výber jazykovej mutácie:



The time now is 01.11.2024 - 00:55


Sledovanie "podozriveho" klienta

Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
 
Author Message
mgx
Post subject: Sledovanie "podozriveho" klienta  PostPosted: 14.03.2005 - 13:03 #17488
Guru


Joined: Dec 27, 2002
Posts: 1505

Mam nasadene QoS, ktore ako predpokladam nema nejake vacsie chyby.
QoS upload-u aj download-u bezi podla skusenosti korektne.

QoS hadze SSH pakety do "rychlej queue" s minimalnym bandwith managementom.

Mam vsak jedneho klienta, ktory sa snazi pravdepodobne o nejaky podvod, pretoze aj ked som mu nastavil rychlost napr. 5kb/5kb garant, tak podla vypisu z iptables taha cca 40kb.

Pri sledovani trafficu som si vsimol, ze na zaciatku prichadza SSH spojenie na jeho nejaky vonkajsi server xxxx.network.sk

Zistene data:

na lokalnej IP (za mojim NAT) su otvorene porty:

135
2105 (nmap pise ze kerberos4)

na vzdialenom PC su otvorene porty

22
80

Ked si zmenim IPcku na adresu klienta, download mi ide podla shapera (5kb).

Moje otazky:

1. ako zistovat/sledovat traffic takehoto "sikulu" co najefektivnejsie?

Mgx
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
fleg
Post subject: RE: Sledovanie "podozriveho" klienta  PostPosted: 14.03.2005 - 13:11 #17490
Majster


Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
imho ssh nie je narocne na prenosovu rychlost skor na latencie takze co tak obmedzit ssh pre kazdeho na urcitu max rychlost (dajme tomu 10-16kb). potom by mu takyto tunel nepomohol
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
eXplorer
Post subject: Sledovanie "podozriveho" klienta  PostPosted: 14.03.2005 - 13:14 #17491
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
Ak si chces len overit ci naozaj ide 40kB/s skus mu kreslit MRTG graf (len pre jeho IP), uvidis presne kedy a kolko tahal. Ale ak myslis ze sledovat data tak to asi len pustit nejaky sniffer, neviem ci na to existuje nejaky specializovany softik.

Jednu vec som si ale vsimol na svojom shaperi a sice ide o to ze shaper umoznuje nastavit hodnotu burst ktoru pusti vyssou (plnou ?) rychlostou, cize staci "restartovat" spojenia a tahas naplno. Rezia nadvazovania spojenia sice chvilu trva, ale ciste teoreticky to moze potom ist download vyrazne rychlejsie. No a ak to ma zmysel tak na to urcite existuje softik co to robi uplne automaticky Very Happy

No a ak taha cez SSH tak to je jasne, bez problemov sa to da. Vyuzivam to aj ja tam kde je kadeco bloknute Very Happy prelezie to dokonca ako SSL tunel aj cez SQUIDa Razz Cize oshapuj ho komplet a uvidis.
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
stab_
Post subject: RE: Sledovanie "podozriveho" klienta  PostPosted: 14.03.2005 - 14:43 #17498
Guru


Joined: Dec 22, 2003
Posts: 1101
Location: Košice
podobne problemy som vyriesil pridelovanim pasma podla ip.
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
mgx
Post subject: Sledovanie "podozriveho" klienta  PostPosted: 14.03.2005 - 16:28 #17506
Guru


Joined: Dec 27, 2002
Posts: 1505

normalne je pasmo priradovane podla priority, tzn.

1. ssh & qos-timed discipiliny (terminalove sluzby, hry)
2. web
3. ftp, p2p

problem je, ze ked niekto podvodne osiera (tunely su v pravidlach siete zakazane) a on mi do oci tvrdi, ze tunel nema, ako mu to dokazat.

ide mi o to, ci existuje nejaky lepsi nastroj ako tcpdump -i <interface> | grep klient, nmap alebo netstat, ktory by mi dal viac info o tom, co sa kde deje.

mgx
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
majko036
Post subject: RE: Sledovanie "podozriveho" klienta  PostPosted: 14.03.2005 - 17:53 #17509
Basic


Joined: Jún 21, 2004
Posts: 69
Location: Nove Zamky
ntop je tiez celkom dobry nastroj. a tcpdump je imho lepsie pouzivat takto
Code: › tcpdump -i $IF host $IP

alebo najjednoduchsie je to pomocou iptables sledovat prenos z/do IP adresy na prioritnych portoch (z tvojho nastavenia QoS)
a to potom hned vidis ci stahuje cez 22 port. Smile
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
eXplorer
Post subject: Sledovanie "podozriveho" klienta  PostPosted: 14.03.2005 - 18:33 #17511
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
Pouzitie SSH tunelu mu nijak nedokazes, jedine co uvidis je zvyseny traffic na port SSH (alebo aj iny) a vnutri sifrovane data, prave koli sifrovaniu mu to nedokazes.

Ak to mas zmluvne osetrene tak mu posli mail ze si zanamenal aktivitu ktorou porusuje zmluvu a ak sa to bude opakovat odpojis ho.
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
magnum
Post subject: RE: Sledovanie "podozriveho" klienta  PostPosted: 14.03.2005 - 19:25 #17512
Basic


Joined: Okt 12, 2003
Posts: 354

preco mu nemozes oshapovat traffic podla ip docasne...
abo vytvorit "novy" interface do ktoreho ho naroutujes a nastavis MTU a vsetko tak aby ssh bolo nespolahlive a stale padalo ...bluznim ale neva ... mam asi horucku Smile Smile Smile
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
bakula
Post subject: RE: Sledovanie "podozriveho" klienta  PostPosted: 14.03.2005 - 19:39 #17513
Ucen


Joined: Okt 21, 2004
Posts: 792

No a co ked naozaj tunel nepouziva a ma vonku len proxac na porte xy. S urcitostou sa da ale tvrdit ze to nie je lama ak taketo nieco dokaze. Myslim ze tunel pouziva GRE hlavičky takze aj tu je jedna moznost.
 
 View user's profile Send private message  
Reply with quote Back to top
mgx
Post subject: Sledovanie "podozriveho" klienta  PostPosted: 14.03.2005 - 20:13 #17516
Guru


Joined: Dec 27, 2002
Posts: 1505

jasne, lama to urcite nie je.

pre mna nie je problem urobit mu triedu o garantovanej rychlosti bez ohladu na protokol, ale skor ma zaujima, ako takyto traffic sledovat.

Neviem ci niekto cital "polovacku na kevina", ale tam podobne sledovali traffic, a museli na to urobit nejaky paketovy filter.

Preto dakujem za vsetky prispevky, posunulo ma to zasa trosku dalej.

este otazky:

1. da sa nejak lahko detekovat zvyseny traffic na ssh? Mali ste na mysli specialnu queue, do ktorej budem taketo pakety hadzat a potom ich cez iptables pocitat?

2. daju sa nejako detekovat GRE okrem znameho obcumovania hlavicky paketu??
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
paulie
Post subject: RE: Sledovanie "podozriveho" klienta  PostPosted: 14.03.2005 - 23:03 #17539
Basic


Joined: Jan 31, 2003
Posts: 418

mgx: "polovacku" som cital, lenze tam vsetci pouzivali TELNET, takze ziadny problem sniffovat traffic...

paketovy filter robili preto aby mohli sledovat len urcite spojenie u nejakeho providera, kde boli na tu dobu dost mohutne toky dat... co u teba asi nie je a staci ti na to TCPDUMP...
 
 View user's profile Send private message Send e-mail Visit poster's website  
Reply with quote Back to top
majko036
Post subject: RE: Sledovanie "podozriveho" klienta  PostPosted: 15.03.2005 - 08:43 #17567
Basic


Joined: Jún 21, 2004
Posts: 69
Location: Nove Zamky
Quote: › 1. da sa nejak lahko detekovat zvyseny traffic na ssh? Mali ste na mysli specialnu queue, do ktorej budem taketo pakety hadzat a potom ich cez iptables pocitat?

Code: ›
iptables -N sshaccounting
iptables -I FORWARD -p tcp --dport $port -j accounting
iptables -I FORWARD -p tcp --sport $port -j accounting
iptables -A sshaccounting -s $IP
iptables -A sshaccounting -d $IP

iptables -L sshaccounting -vn | grep $IP > rrd

malo by to ist. ale ako som spominal *ntop* to zvlada na silnejsej masine celkom dobre.
urcite si to pozri.
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
sunnyday
Post subject: Sledovanie "podozriveho" klienta  PostPosted: 15.03.2005 - 10:21 #17574
Basic


Joined: Jún 18, 2004
Posts: 115
Location: Trencin
No jedine co este mozes skusit je oslovit administartora vzdialenej servera kde sa ssh-ckuje.... ked to nebude total trupka, tak by ti moho vyjst v ustreti a poskytnut info o tom, co lezie od neho zo servera... Za pokus nic nedas...
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
Display posts from previous:     
All times are GMT
Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
 
Jump to:  

Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits

(C) SKFree 2002-2010: Powered by POSTNUKE. Môžete prebera? naše správy vo formáte XML(RSS)