【獨家特稿】這次經(jīng)濟危機對大型企業(yè)傷害很大���,國內(nèi)除了一些內(nèi)需型的基本不受影響之外,各個公司都開始了寒冬之際的裁人行為。這期間,為了順利推行裁人,降低企業(yè)賠償金�����,一些平時不使用的手段大家都用了上來�����,一切為了讓員工犯錯����,為了一切犯錯的員工。本文雖然寫的是監(jiān)控方案����,但希望讀者朋友們通過下面這個故事,逆推出一些解決方案�����。
俗話說天有不測風云�,前兩天我還和冷陽悠閑地打劍俠世界,這兩天一過�����,我們老板找我談話��,說要和諧人口了�����,公司人太多���??紤]到公司要讓我卷鋪蓋回家了�����,所以能利用的資源還是趕緊利用下吧�。
公司雖然對網(wǎng)絡方面不太重視,可是設備還是很舍得投資的:全三層華三交換機構(gòu)建的網(wǎng)絡����。為了最后做一次好人,我決定幫老板抓幾個上班亂看網(wǎng)站的家伙�����,讓他一口氣全開了���,節(jié)約資金�。
嗅探的干活
下個Sniffer Pro �����,安裝過程簡單,切記要重啟�����,不重啟根本抓不到數(shù)據(jù)包注① �����。
還有必須要下JAVA�����,不下不顯示儀表盤信息�����,打開http://www.java.com/zh_CN/ �,鮮紅的JAVA+等你到來。如圖1所示��。
裝好一切���,就可以干活了���,不過這玩意直接在局域網(wǎng)內(nèi)嗅探,是抓不到什么好東西的��,所以我們還得設置端口鏡像注② �。
這次我是拿我的最貴的那臺交換機開刀的。一般路由器有兩個接口����,一個外,一個內(nèi)��,正常接法是外口光貓���,內(nèi)口接交換機�����。但是這種低級的方法我不用�。為啥����?因為公司有錢,帶寬是100M的���,這樣用很浪費��。唉���,這么有錢的公司還是要開我����。
最終接法是光貓接入交換機���,然后路由器的兩個端口也同樣接入交換機�。這樣接有兩個好處:1.可以對交換機上的其他主機設置外網(wǎng)IP�;2,可以用交換機直接對各個端口進行限速和VLAN劃分�����,或者隔離網(wǎng)絡�����。
內(nèi)網(wǎng)入口插入交換機���,在23 端口����;找一臺PC,接入交換機���,在11端口。
開始配置H3C的交換機��,鼠標全部搞定�����,根本不用命令行�,如圖2所示。
點擊端口>鏡像���,設置監(jiān)控口和鏡像口
其實如果沒有web界面�����,用語句寫也很簡單�����。telnet到交換機的IP下,開始如下操作: #p#
配置文件給個全的��。這交換機基本沒有做別的用途�,所以配置清單很清爽。
|
********************************************************************************
* Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
********************************************************************************
Login authentication
Username:tt (輸入用戶)
Password: (輸入密碼��,默顯)
%Apr 12 08:38:16:685 2000 H3C SHELL/5/LOGIN:- 1 - jh(172.30.38.21) in unit1 logi
ndis
^ % Incomplete command found at '^' position.
sy (進入system模式�,華為和思科的設備都可以簡寫,只要不存在歧義���,多短都可以�����,但是很明顯�,現(xiàn)在最短是2字節(jié)�����。)
System View: return to User View with Ctrl+Z.
[H3C]dis cu (display current-configuration的縮寫����,作用是打印配置文件,作為一個?�?嵫b帥的IT工程師,簡寫是一定要學會的����,要不就跟我一樣得失業(yè)。��。)
#
sysname H3C
#
super password level 3 simple *******(配置沒改����,明文。��。���。一個敬業(yè)的IT工程師一定要明文保存密碼,以保證離職之后能順利找回�。)
#
radius scheme system # domain system
#
local-user h3c
password simple h3c
service-type telnet
level 3
local-user tt
password simple ******(z這里其實是明文密碼)
service-type telnet
level 3
#
vlan 1
#
interface Vlan-interface1
ip address 172.30.30.204 255.255.0.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
#
interface Ethernet1/0/11
monitor-port (監(jiān)視此端口)
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface Ethernet1/0/17
#
interface Ethernet1/0/18
#
interface Ethernet1/0/19
#
interface Ethernet1/0/20
#
interface Ethernet1/0/21
line-rate inbound 32000
line-rate outbound 40000
mirroring-port both (限速還有鏡像此端口)
#
interface Ethernet1/0/22
#
interface Ethernet1/0/23
line-rate inbound 32000
line-rate outbound 40000
#
interface Ethernet1/0/24
#
interface GigabitEthernet1/1/1
#
interface GigabitEthernet1/1/2
#
interface GigabitEthernet1/1/3
#
interface GigabitEthernet1/1/4
#
undo irf-fabric authentication-mode
#
interface NULL0
#
voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000
#
snmp-agent
snmp-agent local-engineid 800063A2000FE25E69A26877
snmp-agent sys-info version v3
#
user-interface aux 0 7
ser-interface vty 0 4
authentication-mode scheme
#
return
|
華為的機器其實很簡單,比如手工設置21端口�����,給他限速和端口鏡像��。
|
interface Ethernet1/0/21
line-rate inbound 32000
line-rate outbound 40000
mirroring-port both
|
配置部分是這樣的�����,我們可以逆推出命令行,telnet到交換機:
|
[H3C]int(輸入3個字母之后點tab可以自動連寫后面可能存在的單詞)
[H3C]interface
[H3C]interface ?(命令后面帶����?可以列出可能可以使用的參數(shù)) Aux
Aux interface Ethernet
Ethernet interface GigabitEthernet GigabitEthernet interface LoopBack
LoopBack interface NULL
NULL interface
Vlan-interface VLAN interface
[H3C]interface Ethernet ?
<1-1> Unit number(提示你給哪個單元接口設置)
[H3C]interface Ethernet 1/0/21
[H3C-Ethernet1/0/21]
[H3C-Ethernet1/0/21]mirroring-port both
[H3C-Ethernet1/0/21]sa(保存配置文件)
|
同志們仔細看,所謂的配置文件完全是積木一樣堆積命令行而成的�����,配置交換機的綜合難度非常低�����。當然����,以上操作的目的就是為了完成最開始用鼠標兩下就解決的問題。 #p#
完成任務繼續(xù)下面走��,看Sniffer pro是工作的����。
因為配置好了鏡像,所以嗅探器工作正常���,打開后有個儀表盤����,數(shù)據(jù)很直觀。如圖3所示
點第2排按鈕中的電腦圖標����,看個排行榜,然后左下角選擇成IP模式�����,因為模式是顯示MAC地址的���,很不直觀。
看到了吧����,排行榜前頭的就是用流量最大的,如果機器卡�����,毫無疑問��,這些娃娃要罰錢了。因為今天我的目的就是罰錢�����,所以前10名里頭我準備一個都不放過��,如圖4所示����。
繼續(xù)后面操作,點矩陣那個按鈕�����,可以看到下面的寶貝�,如圖5所示
最右邊如果集中到一個點,說明大部分人訪問這個站�。反之同理。左邊的集中到一個點�,那這個人很可能在迅雷,所以鏈接很多IP����。順便看看排行榜。過了10分鐘最后�,右邊開始有大量線條集中到左邊一個IP�����,我很容易又抓到一個人開始罰款���。
再旁邊可以看到這個按鈕,不過這玩意用處不大����。他顯示的是一個服務器到客戶端響應時間的排行榜,如圖6所示��。
接下來����,讓我們知道協(xié)議分布,不過Sniffer只可以監(jiān)不能控��。知道了也沒大作為��。 當然我的目的就是只監(jiān)不控����,一切為了罰款和裁員�����!如圖7所示。
我們點一下工具欄按鈕的捕獲��,好玩的東西來了�����。如圖8所示
點一下左邊的objects ��,如圖9所示
協(xié)議����,雙方地址,后面還有訪問的毫秒數(shù)����,一些其他信息,訪問時間等等�����。非常適合抓捕現(xiàn)行犯����,從上圖我們可以看到有個可憐的孩子正在上youku�����,毫無疑問�����,這是要罰款的��。
點一下左邊的connection�,顯示一下當前連接�����,如圖10所示�����。
下圖就相當詳細了����。很有用。還能看到這個鏈接已經(jīng)交流了多少數(shù)據(jù)量……��,如圖11所示����。
這小子下了778M。
注:
①嗅探的意義:sniffer是一種常用的收集有用數(shù)據(jù)方法�����,這些數(shù)據(jù)可以是用戶的帳號與密碼�����,可以是一些商用機密數(shù)據(jù)等等�����。隨著internet及電子商務的日益普及,internet的安全也越來越受到重視�。在internet安全隱患中扮演重要角色之一的sniffer以受到越來越大的關注,這里我們主要用的是他采集數(shù)據(jù)的功能�。
②端口鏡像:由于部署產(chǎn)品需要監(jiān)聽網(wǎng)絡流量(網(wǎng)絡分析儀同樣也需要),但是在目前廣泛采用的交換網(wǎng)絡中監(jiān)聽所有流量有相當大的困難��,因此需要通過配置交換機來把一個或多個端口(VLAN)的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個端口來實現(xiàn)對網(wǎng)絡的監(jiān)聽��。
【編輯推薦】
- 打造安全的內(nèi)網(wǎng)可網(wǎng)管型交換機選購
- 安全交換機:內(nèi)網(wǎng)安全的關鍵
- PWN2OWN黑客大賽2009到底有哪些猛料����?
分享名稱:自己動手打造公司內(nèi)網(wǎng)監(jiān)管利器
文章源于:
http://uogjgqi.cn/article/dpgddso.html
