У меня есть такая настройка:
________Company LAN_______
_________ . '| _________
| | .| BUNCH OF | |
| Server1 |--> . | SECURITY | MyHost |
|_________| .| |_________|
. |__________________________
Моя основная цель - посмотреть, какие пакеты отправляет Server1
.
Сервер1
периодически отправляет пакеты на указанный целевой IP-адрес
, который я могу изменить. Если я установлю MyHost
в качестве целевого IP-адреса и использую Wireshark, я не смогу ничего захватить из-за брандмауэра компании.
По этой причине мне нужен Сервер вне компании, который запускает сниффер или что-то в этом роде, как на картинке ниже:
________Company LAN_______
_________ _________ | _________
| | | | | BUNCH OF | |
| Server1 |--->---| Server2 | | SECURITY | MyHost |
|_________| |_________| | |_________|
| |__________________|_______
'------------------------------'
Существует ли что-то подобное? Есть еще идеи?
Удаленное прослушивание с помощью Wireshark является одной из альтернатив
Запуск, т.е. rpcapd в Server2 захватывает полученный трафик, и вы запускаете его удаленно. wireshark от MyHost.
Конечно, связь между демоном удаленного захвата и вашим Wireshark должна очистить ваш уровень безопасности.
.Я нашел отличный сервис в конце
Это практически сниффер для HTTP сообщений. Так как Server1
в моем случае посылает HTTP сообщения, этот сервис отлично работал для меня!
Хорошим (бесплатным) приложением является NTOPNG http://www.ntop.org/products/ntop/ (более ранний NTOP), которое я использую уже много лет. С помощью этого приложения вы можете добавлять "зонды" в вашу сеть и собирать эти данные централизованно.
Однако, это приложение не дает вам глубокой информации уровня, как Wireshark, но это отличный способ отслеживать сетевой трафик и анализировать, какие пакеты были кем посланы (в случае, если вы используете, например, span-порт).
NTOP доступен для множества дистрибутивов linux. (например, apt-get install ntop)
.