Inter Projekt
 
www.InterProjekt.pl  
Teraz jest 19 października 2017, godz. 03:42

Wszystkie czasy w strefie UTC + 1 [czas letni (DST)]




Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 7 ] 
Autor Wiadomość
 Tytuł: spam, wirusy i trojany...
PostNapisane: 11 lipca 2007, godz. 18:00 
Offline
Avatar użytkownika

Dołączył(a): 8 lipca 2007, godz. 16:03
Posty: 36
Witam!!!
Mam pytanie jak w mikrotiku obserwować klienta, w ten sposób że np kiedy zauważymy że
jets spamerem czy że ma trojana , poprostu za duzo wysyla zablokowac jego mac czy ip.
Jakie są mozliwosci i przy jakich wartościach warto zwrocic uwage na klienta.

Dzięki chłopaki z góry za odpowiedź , uważam że to ważne pytanie....

Pozdrawiam


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł:
PostNapisane: 13 lipca 2007, godz. 14:05 
Offline

Dołączył(a): 23 stycznia 2006, godz. 17:19
Posty: 26
Proponuje zajrzeć na link: http://wiki.mikrotik.com/wiki/How_to_au ... MTP_output

co prawda dotyczy on tylko spammerów natomiast trudno wymyślić jakąś złotą regułę czy przepis na wszystko... natomiast "analogicznie" do powyższego przykładu możesz użyć tego rozwiązania dla innych portów/usług.


Góra
 Zobacz profil  
 
 Tytuł:
PostNapisane: 15 lipca 2007, godz. 10:36 
Offline
Avatar użytkownika

Dołączył(a): 8 lipca 2007, godz. 16:03
Posty: 36
to co pan przedstawił to limitowanie danej usługi czy portu ...
Natomiast ja chciał bym wiedzieć jak podgladać ile kto wysłał po danym porcie i co najważniejsze np
Jaka wartosć danych wysłanych np po porcie 25 mozna powiedziec jest już za duza.
Poprostu w jakim momencie bede wiedzial że np dana osoba ma zawirusowany komputer, czy że jest spamerem.
Jak obserwowac podsiec , potem klienta i blokować delikwentów :twisted: wiem że
dobry firewall to najważniejsza sprawa ...

Dziękuje za każdą sugestie. :mrgreen:


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł:
PostNapisane: 16 lipca 2007, godz. 15:10 
Offline

Dołączył(a): 23 stycznia 2006, godz. 17:19
Posty: 26
Cytuj:
to co pan przedstawił to limitowanie danej usługi czy portu ...
Natomiast ja chciał bym wiedzieć jak podgladać ile kto wysłał po danym porcie

Nie ma takiej możliwości - aby to zrobić w miare automatycznie a na dodatek w sposób który sam Mikrotik mógłby takie coś analizować. To nie jest system stworzony do takich rzeczy - mówisz o czyms takim jak "traffic analyzer".

Jeżeli bardzo byś chciał coś takiego zrobić to możesz "logować/rejestrować" cały ruch i wysyłać go do sysloga do jakieś maszyny. A tam osobny program robiłby Ci piękne wykresy i inne cuda na podstawie tych danych. Jednakże obawiam się że to bardzo mocno mogło by wpłynąć na wydajność samego mikrotika.

Cytuj:
i co najważniejsze np Jaka wartosć danych wysłanych np po porcie 25 mozna powiedziec jest już za duza.

Przypuszczam że nikt tego nie wie... wartości podane w przykładnie który jest powyżej zostały pewnie dobrane drogą doświadczalną i sugeruje od nich zacząć - jeżeli chodzi o SMTP.

Cytuj:
Poprostu w jakim momencie bede wiedzial że np dana osoba ma zawirusowany komputer, czy że jest spamerem. Jak obserwowac podsiec , potem klienta i blokować delikwentów wiem że dobry firewall to najważniejsza sprawa ...

Możesz także zrobić proste regułki dla każdego numeru IP z osobna i co jakiś czas obserwować ile kto pakietów wysyła i odbiera. Jeżeli wartość ta będzie odbiegała od normy (od innych użytkowników) można zaryzykować stwierdzenie Wirusa albo dokładniej się temu przyjżeć. Myśle że dało by się zrobić automat - wykorzystując skrypty który co określony czas wysyła Ci statystyki wszystkich użytkowników (tak żebyś się nie musiał logować i oglądać)


Góra
 Zobacz profil  
 
 Tytuł:
PostNapisane: 16 lipca 2007, godz. 18:00 
Offline
Avatar użytkownika

Dołączył(a): 8 lipca 2007, godz. 16:03
Posty: 36
okj. Rozumiem o co Panu chodzi.

Natomiast ja nie chcę tak dokładnie analizować danych wysylanych od klientow.
Chodzi mi tylko o ogólną wiedze o danej podsieci.
Dopiero jak bym zauważyl że jest za duzo wyslanych danyh.
I teraz własnie... Jak znaleść klienta w posieci wiedząc że np z regułki zbudowanej w firewalu
widze że podsiec wysyla wiecej niż zykle...
Budując regulke osobno dla kazdego usera to jest masakra doslownie. Nie ma czegoś na zasadzie scanera podsieci??
Albo jakiś skrypt który daje sobie rade z adresami które wysyłają najwiecej np ponad dany prog.

Mam jeszcze jedno pytanko.

Czy informacje podawane dla jakis regulek w kolumnie bytes i packet są podliczane od ostatniego uruchomienia komputera??
Czy mt podlicza je ciagle.
Jak to sie ma do tego wszytskiego??


Dzieuje.
Proszę o cierpliwosc ale musze to wiedzieć :o :shock:


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł:
PostNapisane: 19 lipca 2007, godz. 22:00 
Offline

Dołączył(a): 23 stycznia 2006, godz. 17:19
Posty: 26
Cytuj:
okj. Rozumiem o co Panu chodzi.

Natomiast ja nie chcę tak dokładnie analizować danych wysylanych od klientow.
Chodzi mi tylko o ogólną wiedze o danej podsieci.
Dopiero jak bym zauważyl że jest za duzo wyslanych danyh.
I teraz własnie... Jak znaleść klienta w posieci wiedząc że np z regułki zbudowanej w firewalu widze że podsiec wysyla wiecej niż zykle...
Budując regulke osobno dla kazdego usera to jest masakra doslownie. Nie ma czegoś na zasadzie scanera podsieci??

ok poświęce się... ;)
żeby analizować podsieć/klienta musisz zrobić wpisy w firewally dla każdego z nich i dla podsieci, nie sądze żeby to była masakra gdyż możesz skryptów które Ci wygeneruja (tysiące wpisów). Nie będe tutaj przedstawiał takiego skryptu ponieważ na internecie jest ich pełno. Natomiast pokaże Ci jak zacząć:

Przypuśćmy że mamy podsieć z klientami 192.168.100.0/24
Tworzymy dla nich regułki (ja tutaj zrobie to tylko dla jednego ponieważ możesz użyć skryptu który zrobi Ci to automatycznie)
najpierw definiujesz sobie dwa łańcuchy IN (dla przychodzącego ruchu) i OUT dla wychodzącego z danej podsieci:

Kod:
chain=forward src-address=192.168.100.0/24 action=jump jump-target=OUT
  chain=forward dst-address=192.168.100.0/24 action=jump jump-target=IN


następnie w każdym z łańcuchów tworzysz regułke per user dla moich potrzeb użyje tutaj tylko jednego adresu (chcesz więcej - wykorzystaj skrypt(y) które Ci to wygenerują)

Kod:
chain=OUT src-address=192.168.100.53 action=accept
  chain=IN dst-address=192.168.100.53 action=accept


No i juz masz wszystko co potrzebujesz możesz liczyć ilość bajtów/pakietów dla podsieci i dla użytkownika ;)

No tak .... ale ty chcesz mieć to automagicznie.... proponuje wykorzystać poniższy skrypt który uruchamiany powiedzmy raz dziennie będzie logował kto ile czego wysłał:

Kod:
:for i from=2 to=254 do = {

:if ([:len [/ip firewall filter find dst-address=("192.168.100." . $i) chain=IN]] > 0 ) \
do={ \
:log warning  ("+--" . ("192.168.100." . $i))
:log warning  ("|    `---- Packets   in   " . [ /ip firewall filter get [ /ip firewall filter find dst-address=("192.168.100. " . $i) chain=IN ] packets ]   \
. "       out   " . [ /ip firewall filter get [ /ip firewall filter find src-address=("192.168.100. " . $i) chain=OUT ] packets ]  )
:log warning  ("|    `---- Bytes       in   " . [ /ip firewall filter get [ /ip firewall filter find dst-address=("192.168.100. " . $i) chain=IN ] bytes ] \
. " out   " . [ /ip firewall filter get [ /ip firewall filter find src-address=("192.168.100. " . $i) chain=OUT ] bytes ] ) \
}  \
else={  } 

}


zamieniając ":log warning" na :put możesz bezpośrednio zobaczyć wynik w konsoli u mnie wygląda to tak.

Kod:
+--192.168.100.53
|    `---- Packets   in   40570       out   232289
|    `---- Bytes       in   39255734 out   24497372
+--192.168.100.54
|    `---- Packets   in   10570       out   232
|    `---- Bytes       in   59234 out   144372



miłej zabawy

Cytuj:
Albo jakiś skrypt który daje sobie rade z adresami które wysyłają najwiecej np ponad dany prog.

Odpowiednia przeróbka tego co Ci dałem (dorobienie kilku instrukcji if) i dasz rade ze wszystkim

Cytuj:
Czy informacje podawane dla jakis regulek w kolumnie bytes i packet są podliczane od ostatniego uruchomienia komputera??

tak
Cytuj:
Czy mt podlicza je ciagle.

tak
Cytuj:
Jak to sie ma do tego wszytskiego??

możesz sobie co jakiś czas sam czyścić liczniki:
/ip firewall filter reset-counters-all
/ip firewall filter reset-counters <numer>
tak żeby mieć np. dzienny obraz tego kto co ile ściąga/wysyła.

Cytuj:
Dzieuje.

Proszę bardzo.


Góra
 Zobacz profil  
 
 Tytuł:
PostNapisane: 20 lipca 2007, godz. 00:21 
Offline
Avatar użytkownika

Dołączył(a): 8 lipca 2007, godz. 16:03
Posty: 36
Dzieki ... Myśle że spokojnie mi to wystarczy ;]
Życze miłego dnia


Góra
 Zobacz profil Wyślij e-mail  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 7 ] 

Wszystkie czasy w strefie UTC + 1 [czas letni (DST)]


Kto przegląda forum

Użytkownicy przeglądający to forum: Brak zalogowanych użytkowników i 0 gości


Nie możesz rozpoczynać nowych wątków
Nie możesz odpowiadać w wątkach
Nie możesz edytować swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Skocz do:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Publikowane wiadomości są prywatnymi opiniami użytkowników forum. Inter Projekt S.A. nie ponosi odpowiedzialności za treść wiadomości.
Informacje o cookies