您的位置:首页 > 其它

自己动手打造公司内网监管利器

2010-01-07 20:26 148 查看
这次经济危机对大型企业伤害很大,国内除了一些内需型的基本不受影响之外,各个公司都开始了寒冬之际的裁人行为。这期间,为了顺利推行裁人,降低企业赔偿金,一些平时不使用的手段大家都用了上来,一切为了让员工犯错,为了一切犯错的员工。本文虽然写的是监控方案,但希望读者朋友们通过下面这个故事,逆推出一些解决方案。
俗话说天有不测风云,前两天我还和冷阳悠闲地打剑侠世界,这两天一过,我们老板找我谈话,说要和谐人口了,公司人太多。考虑到公司要让我卷铺盖回家了,所以能利用的资源还是赶紧利用下吧。
公司虽然对网络方面不太重视,可是设备还是很舍得投资的:全三层华三交换机构建的网络。为了最后做一次好人,我决定帮老板抓几个上班乱看网站的家伙,让他一口气全开了,节约资金。
嗅探的干活
下个SnifferPro,安装过程简单,切记要重启,不重启根本抓不到数据包注①。
还有必须要下JAVA,不下不显示仪表盘信息,打开http://www.java.com/zh_CN/,鲜红的JAVA+等你到来。如图1所示。


图1
装好一切,就可以干活了,不过这玩意直接在局域网内嗅探,是抓不到什么好东西的,所以我们还得设置端口镜像注②。
这次我是拿我的最贵的那台交换机开刀的。一般路由器有两个接口,一个外,一个内,正常接法是外口光猫,内口接交换机。但是这种低级的方法我不用。为啥?因为公司有钱,带宽是100M的,这样用很浪费。唉,这么有钱的公司还是要开我。
最终接法是光猫接入交换机,然后路由器的两个端口也同样接入交换机。这样接有两个好处:1.可以对交换机上的其他主机设置外网IP;2,可以用交换机直接对各个端口进行限速和VLAN划分,或者隔离网络。
内网入口插入交换机,在23端口;找一台PC,接入交换机,在11端口。
开始配置H3C的交换机,鼠标全部搞定,根本不用命令行,如图2所示。


图2
点击端口>镜像,设置监控口和镜像口


其实如果没有web界面,用语句写也很简单。telnet到交换机的IP下,开始如下操作:

配置文件给个全的。这交换机基本没有做别的用途,所以配置清单很清爽。

********************************************************************************
*Copyright(c)2004-2007HangzhouH3CTech.Co.,Ltd.Allrightsreserved.*
*Withouttheowner'spriorwrittenconsent,*
*nodecompilingorreverse-engineeringshallbeallowed.*
********************************************************************************
Loginauthentication
Username:tt(输入用户)
Password:(输入密码,默显)
%Apr1208:38:16:6852000H3CSHELL/5/LOGIN:-1-jh(172.30.38.21)inunit1logi
ndis
^%Incompletecommandfoundat'^'position.

sy(进入system模式,华为和思科的设备都可以简写,只要不存在歧义,多短都可以,但是很明显,现在最短是2字节。)
SystemView:returntoUserViewwithCtrl+Z.
[H3C]discu(displaycurrent-configuration的缩写,作用是打印配置文件,作为一个耍酷装帅的IT工程师,简写是一定要学会的,要不就跟我一样得失业。。)
#
sysnameH3C
#
superpasswordlevel3simple*******(配置没改,明文。。。一个敬业的IT工程师一定要明文保存密码,以保证离职之后能顺利找回。)
#
radiusschemesystem#domainsystem
#
local-userh3c
passwordsimpleh3c
service-typetelnet
level3
local-usertt
passwordsimple******(z这里其实是明文密码)
service-typetelnet
level3
#
vlan1
#
interfaceVlan-interface1
ipaddress172.30.30.204255.255.0.0
#
interfaceAux1/0/0
#
interfaceEthernet1/0/1
#
interfaceEthernet1/0/2
#
interfaceEthernet1/0/3
#
interfaceEthernet1/0/4
#
interfaceEthernet1/0/5
#
interfaceEthernet1/0/6
#
interfaceEthernet1/0/7
#
interfaceEthernet1/0/8
#
interfaceEthernet1/0/9
#
interfaceEthernet1/0/10
#
interfaceEthernet1/0/11
monitor-port(监视此端口)
#
interfaceEthernet1/0/12
#
interfaceEthernet1/0/13
#
interfaceEthernet1/0/14
#
interfaceEthernet1/0/15
#
interfaceEthernet1/0/16
#
interfaceEthernet1/0/17
#
interfaceEthernet1/0/18
#
interfaceEthernet1/0/19
#
interfaceEthernet1/0/20
#
interfaceEthernet1/0/21
line-rateinbound32000
line-rateoutbound40000
mirroring-portboth(限速还有镜像此端口)
#
interfaceEthernet1/0/22
#
interfaceEthernet1/0/23
line-rateinbound32000
line-rateoutbound40000
#
interfaceEthernet1/0/24
#
interfaceGigabitEthernet1/1/1
#
interfaceGigabitEthernet1/1/2
#
interfaceGigabitEthernet1/1/3
#
interfaceGigabitEthernet1/1/4
#
undoirf-fabricauthentication-mode
#

interfaceNULL0
#
voicevlanmac-address0001-e300-0000maskffff-ff00-0000
#
snmp-agent
snmp-agentlocal-engineid800063A2000FE25E69A26877
snmp-agentsys-infoversionv3
#
user-interfaceaux07
ser-interfacevty04
authentication-modescheme
#
return
华为的机器其实很简单,比如手工设置21端口,给他限速和端口镜像。

interfaceEthernet1/0/21
line-rateinbound32000
line-rateoutbound40000
mirroring-portboth
配置部分是这样的,我们可以逆推出命令行,telnet到交换机:

[H3C]int(输入3个字母之后点tab可以自动连写后面可能存在的单词)
[H3C]interface
[H3C]interface?(命令后面带?可以列出可能可以使用的参数)Aux
AuxinterfaceEthernet
EthernetinterfaceGigabitEthernetGigabitEthernetinterfaceLoopBack
LoopBackinterfaceNULL
NULLinterface
Vlan-interfaceVLANinterface
[H3C]interfaceEthernet?
<1-1>Unitnumber(提示你给哪个单元接口设置)
[H3C]interfaceEthernet1/0/21
[H3C-Ethernet1/0/21]
[H3C-Ethernet1/0/21]mirroring-portboth
[H3C-Ethernet1/0/21]sa(保存配置文件)
同志们仔细看,所谓的配置文件完全是积木一样堆积命令行而成的,配置交换机的综合难度非常低。当然,以上操作的目的就是为了完成最开始用鼠标两下就解决的问题。

完成任务继续下面走,看Snifferpro是工作的。
因为配置好了镜像,所以嗅探器工作正常,打开后有个仪表盘,数据很直观。如图3所示



图3
点第2排按钮中的电脑图标,看个排行榜,然后左下角选择成IP模式,因为模式是显示MAC地址的,很不直观。
看到了吧,排行榜前头的就是用流量最大的,如果机器卡,毫无疑问,这些娃娃要罚钱了。因为今天我的目的就是罚钱,所以前10名里头我准备一个都不放过,如图4所示。



图4
继续后面操作,点矩阵那个按钮,可以看到下面的宝贝,如图5所示



图5
最右边如果集中到一个点,说明大部分人访问这个站。反之同理。左边的集中到一个点,那这个人很可能在迅雷,所以链接很多IP。顺便看看排行榜。过了10分钟最后,右边开始有大量线条集中到左边一个IP,我很容易又抓到一个人开始罚款。
再旁边可以看到这个按钮,不过这玩意用处不大。他显示的是一个服务器到客户端响应时间的排行榜,如图6所示。



图6
接下来,让我们知道协议分布,不过Sniffer只可以监不能控。知道了也没大作为。当然我的目的就是只监不控,一切为了罚款和裁员!如图7所示。



图7
我们点一下工具栏按钮的捕获,好玩的东西来了。如图8所示



图8
点一下左边的objects,如图9所示



图9
协议,双方地址,后面还有访问的毫秒数,一些其他信息,访问时间等等。非常适合抓捕现行犯,从上图我们可以看到有个可怜的孩子正在上youku,毫无疑问,这是要罚款的。
点一下左边的connection,显示一下当前连接,如图10所示。



图10
下图就相当详细了。很有用。还能看到这个链接已经交流了多少数据量……,如图11所示。



图11

                                            

                                        

                        
                        内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息 
                    

                    

                    

                        

                         标签: 
                                                

                        

                    


                

            


            

                
相关文章推荐

                

                
            

        

        

            

            
            

                

                    
新的分享

                    

                        
                    

                

            


            

                

                    
章节导航