关于流量监听和分析

mengxudong

最近我自己为公司做了一个linux的防火墙＋代理服务器\r\n现在想再装一个sniffer软件，监听所有的流量，并结合分析软件，以达到知道某人在什么时间内干过什么的目的（老板要求的）\r\n从来没接触过sniffer和analys，希望版主能推荐一款合适的软件

河里的鱼

Ethereal这个我觉得比较好!

浆胡

WildPackets EtherPeek不错

mengxudong

这些都是监听软件吧？\r\n我还需要一个分析软件，可以自动对这些数据进行分析，一般监听的话是不是只要取数据包的前200个字节就足够了？

abel

snort !\r\n簡單而好用,\r\n去看一下 snort rule 語法,尤其是 dynamic 那一個功能有你要的東西\r\n不用 dynamic 也行

mengxudong

就是那只小猪？试试看，先找个howto看一下

约束极限

还有这个软件 TCPDump 大家别把它忘记了。Tcpdump是一款众人皆知和受人喜欢的基于命令行的网络数据包分析和嗅探工具。它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的状况

abel

protocol header 不能代表什麼吧...\r\n當然有很多 snifffer軟體,重要是是抓到 parload 內容,並能 reassembly\r\n才是最重要的,反過來思考, NIDS 就會是一個很好的選擇,\r\n只要你清楚要監測的東西或行為,清楚設定的語法,連 MSN在談什麼,傳什麼\r\n檔你都可以知道的

mengxudong

我并不是想偷窃别人的隐私\r\n我只想知道网段内某个ip访问过哪些网站，消耗了多少流量等

abel

原帖由 \"mengxudong\" 发表：\n我并不是想偷窃别人的隐私\r\n我只想知道网段内某个ip访问过哪些网站，消耗了多少流量等

\r\n如果你的需求只是這樣,跑個透明代理,再做sargs 分析即可\r\n\r\n若你還要非\"網站\"的,就需要 sniffer 了,這個可以透過 snort+mysql+acid\r\n來做,但你要自己分析 mysql table 的資料,這個我都做過,答案肯定是可以\r\n的(rule 要自己寫,因為 snort 給的 rule 都是 patten,只要看你過 rule 寫法的文件,你就會知道rule 很簡單,但 snort 的 db schema 就得費一番功\r\n夫去研究了)