R: Monitoraggio traffico

----- Original Message -----
From: Alberto Fiorentini <alb.f@libero.it>
To: <ml@sikurezza.org>
Sent: Monday, May 21, 2001 11:56 AM
Subject: Re: Monitoraggio traffico


> From: "Igor Falcomata'" <igor@infosec.it>
>
> > Donato Brandolini scribbe:
> >
> > > Sto cercando un software che giri su piattaforma windows che sia in
> grado
> > > di effettuare un monitoraggio del traffico ip che passa sulla rete,
con
> la
> > > possibilita' di ottenere report periodici del traffico con IP sorgente
> ed
> > > IP destinazione.
> >
> > fatti e finiti:
> >
> > NAI Sniffer (www.sniffer.com) $$
> > NetBoy (www.ndgsoftware.com) $$
>
> [cut]
>
> Qualcosa di freeware, che "giri" sotto Win98?
> Grazie, Alberto.
in realta' koba aveva gia citato i migliori freeware (imho) che girano anche
sotto w98 e cioe' :

>Analyzer (netgroup-serv.polito.it/analyzer (mi pare, cmq da li' si arriva))
>Windump (netgroup-serv.polito.it/windump)
Analyzer ha la sua bella(?) gui in stile windows... e' dotato di un packet
driver che ovviamente va installato preventivamente e sul quale si appoggia
per sniffare.
Dal livello osi 1 in giu supporta un sacco di cose.. e non certo solo
l'IP... e anche piu in dettaglio protocolli di routing tipo rip igrp e ospf.
I developer hanno lavorato parecchio in realta per crearsi dei formati di
logging , filtering , di esportazione e importazione di dump di traffico...
Anzi se vogliamo analyzer serve in buona parte per questo.. hanno cercato di
astrarsi dal formato specifico di logging o di import di altro traffico...
Di default ha 2 formati (custom loro ma documentati.. l' ACP e il LOG) ma
tramite quello che chiamano "file di definizione delle catture" (formato
LFF) si puo impostare un formato qualsiasi.. sia per importare che per
esportare dati..
Non finisce qui cmq... ci sono anche delle macro impostabili per filtrare il
dump... con un linguaggio simile al C .. c'e' una parte dedicata alle
statistiche di traffico (anche qui con un file di
definizione..customizzabile ) e altro ancora.
Ah di default esporta anche in html.. di suo salva lo stesso contenuto
informativo dell' acp (cioe anche i flag il tos il ttl etc...). Consigliato
un forte filtraggio preventivo, per evitare di vedere sul disco un miliardo
di piccoli .html (yes.. salva ogni frame sorgente e destinazione separati)
Insomma c'e' parecchio materiale davvero dentro analyzer. L'unica cosa...
non fa grafici (esporta di suo anche in cvs pero'... quindi ogni buon
windozaro puo darlo in pasto a Excel per es .. cosa? solo sw free? ah ok.. a
StarOffice allora :))

>Snort con le opportune rules e qualche script (www.snort.org)
snort (avevo provato la 1.6 circa 1 anno fa.. poi risultata exploitabile se
non ricordo male :)) funge da riga di comando... ed e' identico(?) a quello
unixiano... (non so dire quanto unstable cmq.. troppe poche prove). funge
sempre anche da w98 e usa il solito packet driver
 http://netgroup-serv.polito.it/winpcap )

ethereal pure e' tosto... ma mai provato sotto w98...



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List