操纵开源工具实现轻量级上网行为审计[网络技术]

根源ispublic.com

Google上貌似找不到操纵开源软件实现上网行为审计的文章——这也难怪,开源在国内并不风行,而上网行为审计在国外也不风行.不过这并不代表不能实现,IS in Public通过本文供应一种操纵开源嗅探工具与脚本实现轻量级上网行为审计的思绪与办法.

实施条件:
服务器一台:
流量越大性能要求要高,远程管理需求双网卡,若果有大量的数据必须写入磁盘,倡议RAID0/RAID10;

交换机镜像口:
存在条件将全部需求审计的网络流向镜像给行为审计服务器;

软件环境:
操作系统             CentOS5.5-i386
审计工具             Justniffer0.5.7
依靠关系             boost1.33.1
                             libpcap0.9.4
                             libnet1.1.2.1
                             libnids1.24
                             gcc4.1.2(仅在编译时有效)

实施步骤
1.安装操作系统:
为日记保存途径成立分区,若数据量较大且条件答应,最好能做RAID0大概RAID10;
仅需安装以下组件:
        Applications
                 Editors
                 Text-based Internet
        Development
                 Development Libraries
                 Development Tools
        Base System
                 Base

2.安装libpcap

#yum -y install libpcap-devel若编译安装

#./configure
#make
#make install3.安装libnet

#yum -y install libnet若编译安装

#./configure
#make
#make install4.安装justniffer

#tar zxvf justniffer_0.5.7.tar.gz
#cd justniffer-0.5.7
#./configure
#make
#make install假定镜像口衔接到eth0,履行以下号令看能否能抓到包:

#justniffer -i eth0 -r假如屏幕有信息显示则阐明安装成功.

开始审计
Justniffer目前支持的协议有: HTTP, JDBC, RTSP, SIP, SMTP, IMAP, POP, LDAP.对我们最有代价的大概是HTTP和SMTP,即网页浏览与邮件发送.至于IM信息,不倡议过量考虑,毕竟大大都IM软件（如QQ）都已自行加密,并且MSN也有MSNSHELL和各种插件.

假如仅仅需求监督员工浏览了哪些URL,倡议利用号令:

#justniffer -i eth0 -p "port 80" -l "%request.timestamp(%F %T) %source.ip \
%dest.ip %request.header.host %request.url %request.header.referer%newline"\
>> /var/log/httpmonitor假如需求监督包含员工发帖记录在内的一些具体信息,倡议利用号令:

#justniffer -i eth0 -p "port 80" -l "%request.timestamp(%F %T) %source.ip \
%dest.ip%newline%request" >> /var/log/httpmonitor假如需求监督员工发送的邮件（不包含邮件收取和web拜候方法）,可以利用号令:

#justniffer -i eth0 -p "port 25" -r >> /var/log/mailmonitor具体的justniffer号令参数请参考官方网站.

中文问题
一个对比令人头疼的问题是中文的编码问题,不过像百度贴吧、天际这些网站对发帖中的中文都利用了URI编码.一个用perl将URI编码的参数转换成中文的例子:

#!/usr/bin/perl
#From Tsing of ispublic.com
use URI::Escape;
$content=uri_unescape($ARGV[0]);
print "$content\n";
先写到这,之后有空再写几个用于大型企业布置的脚本.