自己动手打造公司内网监管利器
2010-01-07 20:26
148 查看
这次经济危机对大型企业伤害很大,国内除了一些内需型的基本不受影响之外,各个公司都开始了寒冬之际的裁人行为。这期间,为了顺利推行裁人,降低企业赔偿金,一些平时不使用的手段大家都用了上来,一切为了让员工犯错,为了一切犯错的员工。本文虽然写的是监控方案,但希望读者朋友们通过下面这个故事,逆推出一些解决方案。
俗话说天有不测风云,前两天我还和冷阳悠闲地打剑侠世界,这两天一过,我们老板找我谈话,说要和谐人口了,公司人太多。考虑到公司要让我卷铺盖回家了,所以能利用的资源还是赶紧利用下吧。
公司虽然对网络方面不太重视,可是设备还是很舍得投资的:全三层华三交换机构建的网络。为了最后做一次好人,我决定帮老板抓几个上班乱看网站的家伙,让他一口气全开了,节约资金。
嗅探的干活
下个SnifferPro,安装过程简单,切记要重启,不重启根本抓不到数据包注①。
还有必须要下JAVA,不下不显示仪表盘信息,打开http://www.java.com/zh_CN/,鲜红的JAVA+等你到来。如图1所示。
装好一切,就可以干活了,不过这玩意直接在局域网内嗅探,是抓不到什么好东西的,所以我们还得设置端口镜像注②。
这次我是拿我的最贵的那台交换机开刀的。一般路由器有两个接口,一个外,一个内,正常接法是外口光猫,内口接交换机。但是这种低级的方法我不用。为啥?因为公司有钱,带宽是100M的,这样用很浪费。唉,这么有钱的公司还是要开我。
最终接法是光猫接入交换机,然后路由器的两个端口也同样接入交换机。这样接有两个好处:1.可以对交换机上的其他主机设置外网IP;2,可以用交换机直接对各个端口进行限速和VLAN划分,或者隔离网络。
内网入口插入交换机,在23端口;找一台PC,接入交换机,在11端口。
开始配置H3C的交换机,鼠标全部搞定,根本不用命令行,如图2所示。
点击端口>镜像,设置监控口和镜像口
其实如果没有web界面,用语句写也很简单。telnet到交换机的IP下,开始如下操作:
配置文件给个全的。这交换机基本没有做别的用途,所以配置清单很清爽。
华为的机器其实很简单,比如手工设置21端口,给他限速和端口镜像。
配置部分是这样的,我们可以逆推出命令行,telnet到交换机:
同志们仔细看,所谓的配置文件完全是积木一样堆积命令行而成的,配置交换机的综合难度非常低。当然,以上操作的目的就是为了完成最开始用鼠标两下就解决的问题。
完成任务继续下面走,看Snifferpro是工作的。
因为配置好了镜像,所以嗅探器工作正常,打开后有个仪表盘,数据很直观。如图3所示
点第2排按钮中的电脑图标,看个排行榜,然后左下角选择成IP模式,因为模式是显示MAC地址的,很不直观。
看到了吧,排行榜前头的就是用流量最大的,如果机器卡,毫无疑问,这些娃娃要罚钱了。因为今天我的目的就是罚钱,所以前10名里头我准备一个都不放过,如图4所示。
继续后面操作,点矩阵那个按钮,可以看到下面的宝贝,如图5所示
最右边如果集中到一个点,说明大部分人访问这个站。反之同理。左边的集中到一个点,那这个人很可能在迅雷,所以链接很多IP。顺便看看排行榜。过了10分钟最后,右边开始有大量线条集中到左边一个IP,我很容易又抓到一个人开始罚款。
再旁边可以看到这个按钮,不过这玩意用处不大。他显示的是一个服务器到客户端响应时间的排行榜,如图6所示。
接下来,让我们知道协议分布,不过Sniffer只可以监不能控。知道了也没大作为。当然我的目的就是只监不控,一切为了罚款和裁员!如图7所示。
我们点一下工具栏按钮的捕获,好玩的东西来了。如图8所示
点一下左边的objects,如图9所示
协议,双方地址,后面还有访问的毫秒数,一些其他信息,访问时间等等。非常适合抓捕现行犯,从上图我们可以看到有个可怜的孩子正在上youku,毫无疑问,这是要罚款的。
点一下左边的connection,显示一下当前连接,如图10所示。
下图就相当详细了。很有用。还能看到这个链接已经交流了多少数据量……,如图11所示。
俗话说天有不测风云,前两天我还和冷阳悠闲地打剑侠世界,这两天一过,我们老板找我谈话,说要和谐人口了,公司人太多。考虑到公司要让我卷铺盖回家了,所以能利用的资源还是赶紧利用下吧。
公司虽然对网络方面不太重视,可是设备还是很舍得投资的:全三层华三交换机构建的网络。为了最后做一次好人,我决定帮老板抓几个上班乱看网站的家伙,让他一口气全开了,节约资金。
嗅探的干活
下个SnifferPro,安装过程简单,切记要重启,不重启根本抓不到数据包注①。
还有必须要下JAVA,不下不显示仪表盘信息,打开http://www.java.com/zh_CN/,鲜红的JAVA+等你到来。如图1所示。
图1 |
这次我是拿我的最贵的那台交换机开刀的。一般路由器有两个接口,一个外,一个内,正常接法是外口光猫,内口接交换机。但是这种低级的方法我不用。为啥?因为公司有钱,带宽是100M的,这样用很浪费。唉,这么有钱的公司还是要开我。
最终接法是光猫接入交换机,然后路由器的两个端口也同样接入交换机。这样接有两个好处:1.可以对交换机上的其他主机设置外网IP;2,可以用交换机直接对各个端口进行限速和VLAN划分,或者隔离网络。
内网入口插入交换机,在23端口;找一台PC,接入交换机,在11端口。
开始配置H3C的交换机,鼠标全部搞定,根本不用命令行,如图2所示。
图2 |
图 |
配置文件给个全的。这交换机基本没有做别的用途,所以配置清单很清爽。
******************************************************************************** *Copyright(c)2004-2007HangzhouH3CTech.Co.,Ltd.Allrightsreserved.* *Withouttheowner'spriorwrittenconsent,* *nodecompilingorreverse-engineeringshallbeallowed.* ******************************************************************************** Loginauthentication Username:tt(输入用户) Password:(输入密码,默显) %Apr1208:38:16:6852000H3CSHELL/5/LOGIN:-1-jh(172.30.38.21)inunit1logi ndis ^%Incompletecommandfoundat'^'position. sy(进入system模式,华为和思科的设备都可以简写,只要不存在歧义,多短都可以,但是很明显,现在最短是2字节。) SystemView:returntoUserViewwithCtrl+Z. [H3C]discu(displaycurrent-configuration的缩写,作用是打印配置文件,作为一个耍酷装帅的IT工程师,简写是一定要学会的,要不就跟我一样得失业。。) # sysnameH3C # superpasswordlevel3simple*******(配置没改,明文。。。一个敬业的IT工程师一定要明文保存密码,以保证离职之后能顺利找回。) # radiusschemesystem#domainsystem # local-userh3c passwordsimpleh3c service-typetelnet level3 local-usertt passwordsimple******(z这里其实是明文密码) service-typetelnet level3 # vlan1 # interfaceVlan-interface1 ipaddress172.30.30.204255.255.0.0 # interfaceAux1/0/0 # interfaceEthernet1/0/1 # interfaceEthernet1/0/2 # interfaceEthernet1/0/3 # interfaceEthernet1/0/4 # interfaceEthernet1/0/5 # interfaceEthernet1/0/6 # interfaceEthernet1/0/7 # interfaceEthernet1/0/8 # interfaceEthernet1/0/9 # interfaceEthernet1/0/10 # interfaceEthernet1/0/11 monitor-port(监视此端口) # interfaceEthernet1/0/12 # interfaceEthernet1/0/13 # interfaceEthernet1/0/14 # interfaceEthernet1/0/15 # interfaceEthernet1/0/16 # interfaceEthernet1/0/17 # interfaceEthernet1/0/18 # interfaceEthernet1/0/19 # interfaceEthernet1/0/20 # interfaceEthernet1/0/21 line-rateinbound32000 line-rateoutbound40000 mirroring-portboth(限速还有镜像此端口) # interfaceEthernet1/0/22 # interfaceEthernet1/0/23 line-rateinbound32000 line-rateoutbound40000 # interfaceEthernet1/0/24 # interfaceGigabitEthernet1/1/1 # interfaceGigabitEthernet1/1/2 # interfaceGigabitEthernet1/1/3 # interfaceGigabitEthernet1/1/4 # undoirf-fabricauthentication-mode # interfaceNULL0 # voicevlanmac-address0001-e300-0000maskffff-ff00-0000 # snmp-agent snmp-agentlocal-engineid800063A2000FE25E69A26877 snmp-agentsys-infoversionv3 # user-interfaceaux07 ser-interfacevty04 authentication-modescheme # return |
interfaceEthernet1/0/21 line-rateinbound32000 line-rateoutbound40000 mirroring-portboth |
[H3C]int(输入3个字母之后点tab可以自动连写后面可能存在的单词) [H3C]interface [H3C]interface?(命令后面带?可以列出可能可以使用的参数)Aux AuxinterfaceEthernet EthernetinterfaceGigabitEthernetGigabitEthernetinterfaceLoopBack LoopBackinterfaceNULL NULLinterface Vlan-interfaceVLANinterface [H3C]interfaceEthernet? <1-1>Unitnumber(提示你给哪个单元接口设置) [H3C]interfaceEthernet1/0/21 [H3C-Ethernet1/0/21] [H3C-Ethernet1/0/21]mirroring-portboth [H3C-Ethernet1/0/21]sa(保存配置文件) |
完成任务继续下面走,看Snifferpro是工作的。
因为配置好了镜像,所以嗅探器工作正常,打开后有个仪表盘,数据很直观。如图3所示
图3 |
看到了吧,排行榜前头的就是用流量最大的,如果机器卡,毫无疑问,这些娃娃要罚钱了。因为今天我的目的就是罚钱,所以前10名里头我准备一个都不放过,如图4所示。
图4 |
图5 |
再旁边可以看到这个按钮,不过这玩意用处不大。他显示的是一个服务器到客户端响应时间的排行榜,如图6所示。
图6 |
图7 |
图8 |
图9 |
点一下左边的connection,显示一下当前连接,如图10所示。
图10 |
图11 |
相关文章推荐
- 自己动手打造属于自己的智能家居(二)
- 自己动手打造ORM(三) —自定义Attribute
- 自己动手打造WEB服务器 Windows + Apache + PHP + MySQL
- 自己动手打造PE系统
- 动手打造自己的跨语言异构模块通信解决方案
- 自己动手打造基于 WKWebView 的混合开发框架(一)WKWebView 上手
- 自己动手用麦咖啡(mcafee)打造自己的安全网站!安全系统(服务器)
- 《自己动手打造“超高精度浮点数类”》源代码简要导读
- 自己动手,打造数据库通用查询控件(using c#)
- 动手打造自己强大的右键菜单
- 自己动手打造ICO容器
- 自己动手打造“超高精度浮点数类”
- 打造自己的Ubuntu渗透利器--Nmap、Zenmap、Sqlmap安装
- 教你自己动手打造称心如意的Windows 10 纯净安装版系统!
- 比ISA更简单的监管利器,谈谈关于公司上网监管的一点事儿
- 自己动手打造嵌入式Linux软硬件开发环境
- 深入浅出PE文件格式---自己动手打造PE Show
- 【转载】自己动手打造Fiddler挖洞插件
- Syncthing – 数据同步利器---自己的网盘,详细安装配置指南,内网使用,发现服务器配置
- 自己动手打造Apache绿色免安装版