Monitorare qualsiasi tipo di traffico RETE

cagnaluia · 31-01-2007, 18:35

Ciao,

ho un piccolo problema che vorrei risolvere.
Sistemare una macchina a valle di un ponte-radio dati, per monitorare il traffico.. di qualsiasi tipo, con reportistica il più "user friendly" possibile.

Due reti sono collegate tra loro, causa distanze improponibili per un cavo di rete.. e suolo pubblico per far passare la fibra ottica, tramite un ponte radio, wireless.
Vorrei collegare un PC con due schede di rete quindi, a valle di un antenna...
tra il cavo di rete che va all antenna e lo stesso cavo di rete che va allo switch.

E fin qui.. niente di piu semplice.

Ora però..
Vorrei anche che una certa distribuzione.. o un certo programma mi analizzasse momento per momento il traffico... che passa su questo cavo.
che lo peschi in entrata e lo giri in uscita tra la prima e la seconda scheda di rete... e viceversa.

Questo programma.... o questa distribuzione.. dovrebbe permettermi di analizzarlo.. vedere quale IP fa tal rischiesta a chi e a che cosa..
nella maniera piu semplice... ma anche con la possibilità di approfondire il dettaglio.
Magari evidenziando solo certi dati piuttosto che altri..
e varie combinazioni...

capito?

vizzz · 31-01-2007, 19:14

così su due piedi mi viene in mente ethereal con dei filtri.

cagnaluia · 01-02-2007, 11:37

Quote:

Originariamente inviato da vizzz

così su due piedi mi viene in mente ethereal con dei filtri.

ok.. ma su una macchina linux.. cosa serve e come faccio a dirottare il traffico da una interfaccia di rete e l'altra..

vorrei che, subito, appena collegato questo PC-test, non si abbiano problemi di alcuna sorta sulla rete... scollego il cavo di rete.. metto il pc nel mezzo e via.. tutto normale e liscio come prima..

ilreds · 03-02-2007, 13:48

Puoi utilizzare snort, ci sono molte guide per utilizzare tool che leggono i dati immagazzinati in un db e li rappresentano in comode interfacce amministrate via web.

Purtroppo devo scappare, appena posso ripondo in maniera più approfondita.

ilreds · 04-02-2007, 01:45

La mia esperienza si basa principalmente sull'analisi del traffico.

Per vedere la natura del traffico puoi utilizzare ntop, implementa un server web e una reportistica da consultare con un browser.

Se ti interessa vedere se ci sono possibili attacchi, virus, trojan ecc. puoi utilizzare snort+ un db (mysql) + apache + un'applicazione che legge il db e riporta le informazioni. Molto buono, non troppo potente ma neanche complicato è base (deriva da acid) e solitamente si utilizza su macchine linux+mysql+apache+snort.

Ricorda che se devi catturare del traffico è preferibile utilizzare macchine linux invece di quelle *BSD perché sono in grado di acquisire un maggior numero di pacchetti e anche perché esiste una patch e amplifica notevolmente le prestazioni del kernel (cerca sul sito di ntop, il modulo si chiama pf_ring).

Spero di non essere andato OT.

KiKKo2K · 04-02-2007, 12:26

Prova MRTG (http://oss.oetiker.ch/mrtg/), consente di acquisire informazioni sul traffico di rete tramite protocollo snmp, e di creare reportistica sui dati raccolti

cagnaluia · 04-02-2007, 12:52

ora ho letto.

praticamente lo "collego" ai vari router che ho in rete...

hmm. abbastanza buono così...

cagnaluia · 04-02-2007, 12:55

vorrei provare anche ntop.. e svincolarmi dal router.

cagnaluia · 05-02-2007, 13:06

ok.

ricapitoliamo.

ho la macchina... due schede di rete..

installo una gentoo... o una debian.. moh.. vedo.

poi.

cosa mi serve per fare il forwarding di tutto il traffico tra una scheda di rete e e l'altra?

Devil! · 05-02-2007, 13:08

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s $LAN -o $WAN -j MASQUERADE

cagnaluia · 05-02-2007, 13:50

Quote:

Originariamente inviato da Devil!

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s $LAN -o $WAN -j MASQUERADE

quindi devo avere installato iptables sulla distro linux.... basta?

mi dici anche quale sw di base installare... parto da un sistema base solo console.. e kernel per dire.

Devil! · 05-02-2007, 14:11

che distribuzione intendi usare?

cagnaluia · 05-02-2007, 14:59

Quote:

Originariamente inviato da Devil!

che distribuzione intendi usare?

non lo so.. se ho fretta Debian...
altrimenti sto con Gentoo...

prendo in mano il lavoro questa sera.. ora sono di corsa corsissima

bort_83 · 05-02-2007, 15:00

Quote:

Originariamente inviato da Devil!

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s $LAN -o $WAN -j MASQUERADE

basta abilitare il routing tra le interfacce e usare 2 subnet

altrimenti puoi creare un bridge tra le 2 if e usare la stessa subnet

se usi un MASQUERADE tutti i pc a valle rispetto la macchina che lo effettua non saranno + visibili tramite il "ponte radio" quindi lo escluderei

31-01-2007, 18:35	#1
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10899	Monitorare qualsiasi tipo di traffico RETE Ciao, ho un piccolo problema che vorrei risolvere. Sistemare una macchina a valle di un ponte-radio dati, per monitorare il traffico.. di qualsiasi tipo, con reportistica il più "user friendly" possibile. Due reti sono collegate tra loro, causa distanze improponibili per un cavo di rete.. e suolo pubblico per far passare la fibra ottica, tramite un ponte radio, wireless. Vorrei collegare un PC con due schede di rete quindi, a valle di un antenna... tra il cavo di rete che va all antenna e lo stesso cavo di rete che va allo switch. E fin qui.. niente di piu semplice. Ora però.. Vorrei anche che una certa distribuzione.. o un certo programma mi analizzasse momento per momento il traffico... che passa su questo cavo. che lo peschi in entrata e lo giri in uscita tra la prima e la seconda scheda di rete... e viceversa. Questo programma.... o questa distribuzione.. dovrebbe permettermi di analizzarlo.. vedere quale IP fa tal rischiesta a chi e a che cosa.. nella maniera piu semplice... ma anche con la possibilità di approfondire il dettaglio. Magari evidenziando solo certi dati piuttosto che altri.. e varie combinazioni... capito? __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

04-02-2007, 12:52	#7
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10899	ora ho letto. praticamente lo "collego" ai vari router che ho in rete... hmm. abbastanza buono così... __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

04-02-2007, 12:55	#8
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10899	vorrei provare anche ntop.. e svincolarmi dal router. __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

05-02-2007, 13:06	#9
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10899	ok. ricapitoliamo. ho la macchina... due schede di rete.. installo una gentoo... o una debian.. moh.. vedo. poi. cosa mi serve per fare il forwarding di tutto il traffico tra una scheda di rete e e l'altra? __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

05-02-2007, 13:08	#10
Devil! Senior Member Iscritto dal: Feb 2003 Città: Padova Messaggi: 5905	echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s $LAN -o $WAN -j MASQUERADE __________________

31-01-2007, 19:14	#2
vizzz Senior Member Iscritto dal: Mar 2006 Città: Bergamo Messaggi: 2499	così su due piedi mi viene in mente ethereal con dei filtri.

03-02-2007, 13:48	#4
ilreds Member Iscritto dal: Sep 2000 Messaggi: 258	Puoi utilizzare snort, ci sono molte guide per utilizzare tool che leggono i dati immagazzinati in un db e li rappresentano in comode interfacce amministrate via web. Purtroppo devo scappare, appena posso ripondo in maniera più approfondita.

04-02-2007, 01:45	#5
ilreds Member Iscritto dal: Sep 2000 Messaggi: 258	La mia esperienza si basa principalmente sull'analisi del traffico. Per vedere la natura del traffico puoi utilizzare ntop, implementa un server web e una reportistica da consultare con un browser. Se ti interessa vedere se ci sono possibili attacchi, virus, trojan ecc. puoi utilizzare snort+ un db (mysql) + apache + un'applicazione che legge il db e riporta le informazioni. Molto buono, non troppo potente ma neanche complicato è base (deriva da acid) e solitamente si utilizza su macchine linux+mysql+apache+snort. Ricorda che se devi catturare del traffico è preferibile utilizzare macchine linux invece di quelle *BSD perché sono in grado di acquisire un maggior numero di pacchetti e anche perché esiste una patch e amplifica notevolmente le prestazioni del kernel (cerca sul sito di ntop, il modulo si chiama pf_ring). Spero di non essere andato OT.

04-02-2007, 12:26	#6
KiKKo2K Senior Member Iscritto dal: Oct 2001 Città: zona Roma Messaggi: 1892	Prova MRTG (http://oss.oetiker.ch/mrtg/), consente di acquisire informazioni sul traffico di rete tramite protocollo snmp, e di creare reportistica sui dati raccolti

05-02-2007, 14:11	#12
Devil! Senior Member Iscritto dal: Feb 2003 Città: Padova Messaggi: 5905	che distribuzione intendi usare? __________________

Strumenti
Mostra una versione stampabile Invia questa pagina per email