Назад | Перейти на главную страницу

Как я могу отслеживать трафик TCP / IP (или HTTP) удаленного компьютера?

Существуют ли какие-либо приложения (желательно бесплатные) для ОС Windows, с помощью которых я могу отслеживать трафик TCP / IP удаленной машины (в той же интрасети)?

  • У вас есть доступ на удаленная машина Windows?
    • Если да, есть много способов сделать мониторинг (в зависимости от глубины ваших требований).
    • Например, вы можете выполнить wireshark на удаленной машине тоже
  • Если вы это сделаете не иметь доступа к этой машине,
    • Вы ограничены тем, что может быть подключился к сети
    • Для чего требуется доступ к сети
      (современные сети обычно не транслируют трафик, поэтому слежение затруднено)
  • Однако, если у вас есть доступ к сетевым устройствам, вы можете их отслеживать.
    • Один пример (уже отмеченный в другом ответе здесь): настроить прокси на пути
      • в Кальмар прокси-сервер имеет очень хорошие способы отслеживания веб-активности (с некоторыми дополнительными инструментами)
    • Другой - зеркало трафика для порта пользователя от одного из коммутаторов сети.
    • Как только вы получите tap на сетевом пути снова открывается множество вариантов

Предполагая, что вы администрируете сеть и, возможно, рассматриваемую машину Windows,
У вас будет одна из вышеперечисленных работ.

Если вам нужен подробный и глубокий анализ контента, вы можете использовать:

http://www.ethereal.com/

Оба инструмента бесплатны и довольно мощны.

Вы хотите отслеживать URL-адреса, которые они посещают, или вредоносный трафик в полезных данных HTTP?

В первом случае используйте прокси на устройстве шлюза, настройте ведение журнала и сделайте прокси прозрачным.

В последнем случае используйте управляемый антивирусный пакет.

Не прибегая к отравлению ARP, вам нужно будет использовать прокси-сервер или отслеживать трафик на маршрутизаторе / шлюзе. Единственный раз, когда нам приходилось это делать, были журналы на прокси-сервере из-за проблем с подотчетностью, которые мы обязаны соблюдать.

Если вы используете прокси, например Squid, вы можете просто проанализировать файлы журналов.

tcpdump nmap wirehark

Если у вас есть управляемый коммутатор между вами и удаленной машиной, вы можете просто зеркалировать трафик на локальную машину, а затем использовать любое программное обеспечение для мониторинга с подходящим фильтром, см. Как отслеживать удаленный трафик