URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 79851
[ Назад ]

Исходное сообщение
"Как отследить компьютер в локалке занимающийся хакингом?"
Отправлено Salavat , 16-Апр-08 15:54

Здраствуйте!
Суть проблемы такова:
Есть локальная сеть(около 100 компов) которая подключена к интернету через шлюз на FreeBSD.
Есть в этой локальной сети пользователь/компьютер который пытается взломать веб-сервер вне локальной сети (в интернете). Веб-сервер показывает только внешний IP адрес шлюза. Надо отследить какой компьютер в локалке этим занимается. Как это можно сделать?
Заранее спасибо.

Содержание

Как отследить компьютер в локалке занимающийся хакингом?,pavel_simple, 16:03 , 16-Апр-08
Как отследить компьютер в локалке занимающийся хакингом?,Golem, 16:10 , 16-Апр-08
- Как отследить компьютер в локалке занимающийся хакингом?,Pahanivo, 07:26 , 17-Апр-08
  - Как отследить компьютер,Andrey Mitrofanov, 10:12 , 17-Апр-08
    - Как отследить компьютер,Pahanivo, 10:19 , 17-Апр-08

Сообщения в этом обсуждении

"Как отследить компьютер в локалке занимающийся хакингом?"
Отправлено pavel_simple , 16-Апр-08 16:03

transparent squid

"Как отследить компьютер в локалке занимающийся хакингом?"
Отправлено Golem , 16-Апр-08 16:10

>[оверквотинг удален]
>Суть проблемы такова:
>
>Есть локальная сеть(около 100 компов) которая подключена к интернету через шлюз на
>FreeBSD.
>Есть в этой локальной сети пользователь/компьютер который пытается взломать веб-сервер вне локальной
>сети (в интернете). Веб-сервер показывает только внешний IP адрес шлюза. Надо
>отследить какой компьютер в локалке этим занимается. Как это можно сделать?
>
>
>Заранее спасибо.
Способов много.
1) tcpdump, snoop, ettercap, etc
2) логирование запросов на фаерволле
3) Поставить прозрачный прокси.

"Как отследить компьютер в локалке занимающийся хакингом?"
Отправлено Pahanivo , 17-Апр-08 07:26

>Способов много.
>1) tcpdump, snoop, ettercap, etc
>2) логирование запросов на фаерволле
>3) Поставить прозрачный прокси.
Согласен.
Самый простой наверно будет повесить правило count log типа
count log tcp from YOU_LOCAL_NET to any 80,8080,8081 setup
а потом проанализировать файл по айпишникам на предмет количества конектов.
awk '{print $EXT_NUMBER_IP_FIELD}' | sort | uniq -c | sort -r > REPORT
как то так - смотрим от какие серваки долбят
далее аналогично по найденным сервакам смотрим кто

"Как отследить компьютер"
Отправлено Andrey Mitrofanov , 17-Апр-08 10:12

>Самый простой наверно будет повесить правило count log типа
>а потом проанализировать файл по айпишникам на предмет количества конектов.
А совсем потом -- на исходящие соединения повесить snort или какую другую IDS и настроить отрубание интернета "отличившимся". Правда, может выйти боком, есои хакер "отрубит" интернет боссу. :)

"Как отследить компьютер"
Отправлено Pahanivo , 17-Апр-08 10:19

>А совсем потом -- на исходящие соединения повесить snort или какую другую
>IDS и настроить отрубание интернета "отличившимся". Правда, может выйти боком, есои
>хакер "отрубит" интернет боссу. :)
На автомате гут, но думаю лучше алгоритм: отслеживание -> служебка -> здюли ))