telnet数据监测方案

解决方案：数据包都通过交换机转发，telnet到服务器时，产生的数据包都会通过与其相连的交换机接口，我们只需要把连接服务器接口的数据包捕获下来，再进行分析。捕获设备就是我们的linux机器。我们只需要做一个镜像把服务器对应交换机接口的数据镜像到与我们linux机器相连的接口上。然后利用linux的tcpdump捕获到这些数据包，再分析得到具体的信息。

 

 

一》镜像流量，做流量捕获。如果是由hub组成的网络环境，就不需要做SPAN，因为交换机只向目的地址连接的端口转发单播流量。所以是否要进行镜像流量，要看网络环境。

 

操作提示：dell交换机用空格键提示指令，例如输入show，当键入sh，再按空格，就会自动补全

但是思科和华为的交换机使用tab键补全的。

当不知道后续命令参数或者命令格式，可以在命令后面加“ ？”，会自动提示。例如“show ？”。

在思科设备下以下括号类可以省略。

 

1）从linux终端使用telnet进入到交换机

2）输入用户名和密码

3）进入到特权模式

swicth>en(abled)

4）进入到配置模式

switch#con(figure)

5）清除已经配置的SPAN（1代表一个session，我们公司的dell只有一个session，而思科交换机一般有两个）

switch(config)#no mon(iter) se(ssion) 1 

6）配置Probe Port（这个就是所要监视的接口（源端口），即AIX服务器，源端口是可以配置多个的）

dell交换机配置（我们公司的dell交换机在源端口中，不能加入vlan，即下面命令中的interface后面不能接vlan参数，只能一个一个的填写）：

switch(config)#mon(iter) se(ssion) 1 sou(rce) int(erface) 1/g34（1/g34是一台服务器对应的交换机接口）

switch(config)#mon(iter) se(ssion) 1 sou(rce) int(erface) 1/g35（1/g35是另一台服务器对应的交换机接口）

思科交换机配置：

switch(config)#mon(iter) se(ssion) 1 sou(rce) int(erface) 1/g34( - 35) (both)（1/g34是一台服务器对应的交换机接口，可以接一个接口，也可以接多个。both是个关键字，意思是镜像发送和接受的流量，代表tx&&rx）

switch(config)#mon(iter) se(ssion) 1 sou(rce) int(erface) vlan 1 (- 2)（1,2是所有服务器所在vlan,可以接一个vlan，也可以接多个）

7）配置Mirrored Port（这个就是我们监视用的机器（目的端口），即生成监视信息的终端，目的端口是唯一的）

switch(config)#mon(iter) se(ssion) 1 des(tination) int(erface) 1/g33（1/g33是我的电脑，在我电脑上可以监视到所有连接到252的流量）

8）配置Admin Mode（默认情况下为disabled，要修改成enabled）

switch(config)#mon(iter) se(ssion) 1 mode

9）查看配置的SPAN

switch#sh(ow) mon(iter) se(ssion) 1

10）如果SPAN配置是成功的，那么目的端口即以上配置的1/g33是不能上网的。

 

说明：

1）Probe Port的配置中后面接的1/g34，需要自己去查看交换机的接口，例如有f0/0，e1/1等等。

2）查看交换机的接口需要在特权模式下

switch#show arp

3）但是在交换机上是看不到IP地址的，只能查看到mac地址，需要我们自己弄清楚对应IP的情况。

 

二》linux上的监听：利用linux自身带的tcpdump工具，可以捕获到PC段对应接口的数据。

 

1）工作方法:

  用tcpdump, 把网卡设成混杂模式(promiscuous mode),监视局域网里的网络流量.

 

2）部署方法:

1.在/opt/dced下新建一个目录，比如audit

mkdir audit

2. 修改这个目录的权限，使所有用户可写.(为了应付tcpdump的bug,参考http://bugs.centos.org/view.php?id=1570)

chmod 777 audit

3. 建立规则文件,audit.rule. 内容如下:

为每台要监视的机器添加两行内容.

(例子1) 比如，要监视192.168.1.102上的telnet通信，文件内容就是

(src host 192.168.1.102 and src port 23 and not dst net 192.168.1) or

(dst host 192.168.1.102 and dst port 23 and not src net 192.168.1)

 

(例子2)要监视192.168.1.102以及102.168.1.31两台机器上的通信，文件内容就是:

(src host 192.168.1.102 and src port 23 and not dst net 192.168.1) or

(dst host 192.168.1.102 and dst port 23 and not src net 192.168.1) or

(src host 192.168.1.31 and src port 23 and not dst net 192.168.1) or

(dst host 192.168.1.31 and dst port 23 and not src net 192.168.1)

 

(解释) 这里的文件内容的文档在http://www.manpagez.com/man/7/pcap-filter/

1. 符合audit.rule里的规则的网络packet都会被记录下来

2. 要记录192.168.1.102的所有网络流量，规则可以是

host 192.168.1.102

3. 如果我们只想记录telnet流量,规则可以是

(src host 192.168.1.102 and src port 23) or

(dst host 192.168.1.102 and dst port 23) 

4. 如果我们的后台程序也telnet了192.168.1.102，记下的流量数据就太多了。所以排除本网络里的机器与192.168.1.102的通信。

  最后的规则就是这样的:

(src host 192.168.1.102 and src port 23 and not dst net 192.168.1) or

(dst host 192.168.1.102 and dst port 23 and not src net 192.168.1)

5. 监视多台机器就往后添加，只有最后一行没有or.

4. 进到audit目录

cd audit

5. 运行tcpdump

tcpdump命令的文档在http://www.tcpdump.org/tcpdump_man.html

 

tcpdump -i eth0 -s 65535 -G 86400 -F /opt/dced/audit/audit.rule -w telnet-%y.%m.%d-%H:%M:%S.dat

 

(解释)

-i eth0 表示监视网络接口eth0上的通信. (可以用tcpdump -D确认一下我们服务器上的网络接口的名字)

-s 65535 包的最大长度，这个应该不用改

-G 86400 表示每24小时重新创建一个文件保存数据。

-F /opt/dced/audit/audit.rule 是我们的规则文件

-w 指定文件名，文件命里面的%y, %m, %d, %H, %M, %S分别表示创建文件时的年月日，时分秒，可以改成其他的。

 

三》数据包分析：方案待定。

四》附录：公司dell交换机我们不知道密码：我们可以从超级终端进入进行设置。

开始》附件》通信》超级终端

然后给终端随便明一个名字。进入到下一个界面，直接默认选项“确认”。

进入到端口设置，除了每秒数为9600，其他全部选择会默认值。

然后选择 文件》属性》设置》终端仿真选择为VT100》确定。

重新启动交换机，在启动过程中选择启动项2，然后选择12项(password recovery)。再随便输入一个密码，就能进入到用户模式。