AK
Можно замиррорить весь трафик на отдельный порт свитча - и там уже послушать tcpdump-ом. Через недельку будете точно знать кто с кем общается.
Size: a a a
2021 October 16
A
Спасбо. Это внутренний трафик или внешний? Обезательно идти в server room? Нужно точно знать активность registered ports, включая dynamic and static ports.
AK
Вы дали слишком мало инфы для осмысленного/полезного ответа на ваши вопросы.
"Дайте больше букв!", лучше с картинками. Можно в личку.
"Дайте больше букв!", лучше с картинками. Можно в личку.
IA
Логи писать... удобные
Tcpdump путь в вд
Будете клеить фреймы сами. Будет каша
Tcpdump путь в вд
Будете клеить фреймы сами. Будет каша
SS
Не, есть хорошие анализаторы
IA
Я все равно за логи
КПД копания траффике даже wireshark-ом оч низкий
КПД копания траффике даже wireshark-ом оч низкий
SS
Я бы позвонил в Insight и спросил, что свежего для этой задачи у них есть на сегодня. Можно даже попробовать за отзыв взять у них что-то новое погонять пару недель, они это любят и практикуют 😉
IA
Вы точно с разраб опытом?)
SS
Если о чём-то неизвестно, - как это неизвестное заставить писать логи?
SS
Вообще ни разу. Я погонщик разрабов.
IA
Тогда понятно)
SS
Это называется "inventory" и живёт около букв operating and maintenance, O&A
VK
А я бы просто понатыкал бы агентов neflow везде и не заморачивался. Есть открытые/закрытые решения для всего, что имеет сетевой порт
A
Например? Типа порт сканеры? Так есть проблема, не все сервисы активны, есть базы, они изолированы, к тому же не все в одной сети.
МН
может, достаточно nmap натравить?
SS
Я же написал, что лучше спросить у профессионалов. Там каждые полгода новые новости. А я последний раз этим озадачивался лет пять назад.
Как выше написано, - делаем миррор всего трафика и сканируем сеть. Потом анализатор оставляем на срок примерно в два раза дольше, чем самое долгое событие в системе. По вкусу периодически повторяем сканирование. Потом смотрим, что он нашёл.
Как выше написано, - делаем миррор всего трафика и сканируем сеть. Потом анализатор оставляем на срок примерно в два раза дольше, чем самое долгое событие в системе. По вкусу периодически повторяем сканирование. Потом смотрим, что он нашёл.
SS
Особенно больно это у банков, у которых есть прекрасное событие "годовой отчёт" 😾
SS
Это если есть перечень систем и он по каким-то причинам достоверен.
https://t.me/ctorecordschat/139196
https://t.me/ctorecordschat/139196
VK
А это причём? Netflow пофиг на системы, он тупо соединения фиксирует