思科 路由 BT 下载查询

未名湖

求助啊，实验环境
思科路由，WS-C3750G-24TS
想查询是谁用bt下载呢，怎么操作啊。

不知道怎么做，做了搜索，都是谁怎么封下载的，关键是我连那个ip下载的都不知道怎么查

各位大拿，帮帮我

rayki

首先这个不是路由。。是switch。。  做端口镜像。。  然后用sniffer抓包。 啥都看到了。  谁并发最多，谁就在bt。。  这种事情。我记得还在国内的时候就很普遍了。
偶不是大拿。 只是提供个思路。

黑山老妖

network monitor 软件可以看到局域网上谁在用那个端口和数据包。
以前有一个叫netboy的很好用。现在哪个好用我不清楚了。

未名湖

谢谢ls们，等会加分，我现在有wireshark，可以抓包吗
怎么做，

黑山老妖

用netboy不用抓包。
它会给你显示一个很visual的图。上面是每个network node，然后连到哪里，什么protocol都有。流量越大，node越大。一目了然。

Yonny

原帖由 未名湖 于 2011-11-10 10:48 发表
谢谢ls们，等会加分，我现在有wireshark，可以抓包吗
怎么做，

WIRESHARK就是抓包的利器呀。

把交换机上连路由器的端口镜像过来，抓20秒包，肉眼就能看出那个IP的连接数最多。封了就行。

rayki

3750G 可以用Port-Based Traffic Control 来配合使用.. 看了看manual,感觉storm-control 应该符合要求。。 自己测试一下那个阀值最合适。理论上。bt一开。。 storm就来了。。 然后就可以自动block端口了。。

kersey

这个好玩，看来Networking比较有意思。。。

未名湖

感谢各位的回复，先给你们加分先

未名湖

原帖由 未名湖 于 2011-11-11 09:11 发表
感谢各位的回复，先给你们加分先

我昨天捣鼓了半天，也没有搞定。
首先思科的东西，玩不转啊，不知道怎么端口镜像 ，我只知道可以web access它，但进去以后没有看到有端口镜像的选择或者命令啊。

我的一台DC计算机（10.2.20.20）上有wireshark，然后我试图 远程抓路由的端口的包（10.2.20.1）.但始终无法访问。

最后我在DNS服务器上用另一个抓包软件设置抓包，看晚上的时间，谁请求DNS最多（看图）。这种方法可以吗，查了出两台计算机请求多，第二台不是，第一台不知道怎么访问

你们谁能先给我普及一下，怎样端口镜像，怎么操作啊
我先说一下我们的网络环境，整个网络，几台服务器在10.2.20.XXX这个段下面，然后客户端在192.168.0/16 里面。大概100多台。分散在10几个地方，用的是telstra的连入（什么方式不知道）。反正最后都连接到10.2.20.XXX这个段下，然后统一通过10.2.20.1进行internet访问。
10.2.20.20/21两台机子是DC 和DNS server

[ 本帖最后由 未名湖 于 2011-11-11 09:22 编辑 ]

superblue

Use SPAN:

http://www.cisco.com/en/US/produ ... 86a008015c612.shtml

or enable netflow if your license support it.

Google Netflow

rayki

lz 没做过以前?  cisco 是span.. 设置一下就好了. 没用过web, CLI简单给你写几个, 假设你准备monitor 1/0/1 - 23 , 24 为服务器端口.
configure terminal
no monitor session
monitor session 1 source interface giga 1/0/1 - 23
monitor session 1 destination interface giga 1/0/24

最后检查一下show monitor  or show run

然后你可以用wireshark 抓包了..  看你的ip有多个vlan. 命令里面还可以设置vlan range.  
如果client 太多，跨越switch, 就用RSPAN吧. 唯一的不同就是最后目的vlan 改成remote vlan id

monitor session 1 destination remote vlan 2001 ?
monitor session 1 source remote vlan 2001
monitor session 1 destination interface gigabitethernet 1/0/24

未名湖

原帖由 rayki 于 2011-11-11 11:49 发表
lz 没做过以前?  cisco 是span.. 设置一下就好了. 没用过web, CLI简单给你写几个, 假设你准备monitor 1/0/1 - 23 , 24 为服务器端口.
configure terminal
no monitor session
monitor session 1 source interface gi ...

谢谢啊，做过就不问了，我先试一下

夜游神

为什么要抓包那么复杂啊~~弄些简单的ACL block掉BT类的流量就好了~~
楼主就算抓到一堆包，估计分析起来，他也够呛的~~~

acaicai

镜像就是把所有经过源接口的包原封不动复制一份到目的接口去。目的接口连着装wireshark的PC。配置12楼写的很详细了。

貌似3750不支持netflow。cisco 2007年官方文档是这么说的。最新的没查到。3750G的configuration guide 里也没有。

对unicast storm-control不是很理解。一个公司如果有几十兆的internet带宽应该已经算多了。那这个storm control threshold怎么设呢，千兆口，设低了影响内网通信，设高了超过internet带宽对限制internet 流量来说貌似没意义。有明白人帮忙解释解释。

查BT这个活是不应该在交换机上干的。路由器上应该是可以用NBAR通过qos来限制的，起码可以match protocol bittorrent.要查的话网络管理流量分析软件应该最好的选择。再有不知道proxy-server上能不能看到。

未名湖

LS 和ls的回复对我这个菜鸟来说，都是很深奥的，我得仔细研究。谢谢先

rayki

夜游神说得很对。  其实ACL最方便了..直接block掉.   而且查bt，路由和FW更好.
unicast  storm-control 真没在cisco的设备上试过..  以前用其他的小厂家的switch做过类似的实验。。 只要bt一开。。 端口可以自动block 或者block一段时间..  感觉控制的还挺人性的.. 一样,请网络大牛们.谁明白的给解释一下.

未名湖

刚看了一下，服务器上装了个这个cisco ASDM 5.2 for ASA，能用这个搞定这个工作吗，里面也有monitor 功能，我可以登录

[ 本帖最后由 未名湖 于 2011-11-11 12:44 编辑 ]

acaicai

可能是个人水平有限，不觉得acl可行，用什么端口号呢？BT的端口号可以改的。而且block了，也查不到谁在用阿。

防火墙不熟，就会简单的NAT，ACL, VPN 和抓包。ASDM只是用来管理ASA的。如果是实验环境，估计防火墙工作量不大，你可以看看log，不知道看不看到BT的。

http://www.cisco.com/en/US/produ ... 86a00808c38a6.shtml

rayki

不知道lz内部网走得什么应用。。 如果ACL封闭特别的端口.或者端口段 确实比较麻烦。 更何况是动态的。
但是如果企业网的应用是固定的。。  如果反其道而行之。 只开放特定的应用端口。起到效果是一样的。
比如telstra的备份网络.  只开放netbackup的通讯端口.  lz可以参考相应开放额外80,8080 or ftp, tftp这种. 其他一律默认deny掉。。效果一样的不错。
仅供参考.   

//ASA真的是不懂. 请懂行的兄弟来解释吧.

kersey

看得心痒痒，搬个小板凳听课。。。

zhongbingo

http://www.cisco.com/en/US/produ ... 86a00808c38a6.shtml

da_wang

mark, 学习

woody

做网管抓人，这种得罪人的事少做， 建议你发现嫌疑后，remote去看看他的机器上运行的service，再叫helpdesk去处理。

好像你ASA，switch估计cisco router都有，那就都试一试：

在防火墙上查：
有ASA之类防火墙的话，你们应该有default policy block所有in/out的数据，你可将ASDM sys log的level改成Warnings，设好buffer 5000，然后点击启动，哗啦哗啦你就看到一大丢的block了。如果你又syslog server，那样收集15秒的数据就够了，别老开着，记着恢复一下改动前的log的配置。操作，都在ASDM下的home page就够了。

如果没有block outbound的policy，那show conn，或者show xlate也应该能看出来。


在路由器上查：
开启netflow，cisco，juniper都支持的， 然后show ip cach flow， 就看到了1对N的session，应该就是那个了。

ACL在实际运营网络查BT不太好，除非你们实际运用的端口你都知道，然后debug ip access-list，或者给access-list加上log。
真要block，还得用NBAR，好像有时候NBAR也没用。

在交换机上查：
3750G没有netflow，只有6500或者4500+netflow card才支持。

你要真知道哪个工作组的交换机， 其实那个啪啦啪啦端口拼命闪的就是，家里的普通modem也是一样

或者，clear counters ，然后马上 show interfaces | in Ether|packets， 流量在几秒内最大的，估计就是他了。

再不行就SPAN了，楼上筒子写得很清楚，只是千万不要把source和destination搞反，你自己接的那台机器的端口是destination，然后接上你的有sniffer的机器，然后立马你就看到N多session，分析一下就能看出来。

缺点是你无法远程抓包，都得去现场，最多跨switch/VLAN抓包.

[ 本帖最后由 woody 于 2011-11-12 10:30 编辑 ]

Mr.Yang

原帖由 woody 于 2011-11-12 10:18 发表
做网管抓人，这种得罪人的事少做， 建议你发现嫌疑后，remote去看看他的机器上运行的service，再叫helpdesk去处理。

好像你ASA，switch估计cisco router都有，那就都试一试：

在防火墙上查：
有ASA之类防火墙的话，你们应该有de ...

多谢分享

未名湖

忘了更新了，因为事情一直没有解决
我尝试过很多ls介绍的方法。
至于asa，和思科的adsm 都没有直接的查询单个ip的流量的方法，倒是有测试某个端口流量的东西，但是要知道，一个端口出来，连上switch，可以很多ip，后来没有办法，觉得要在思科上搞定很困难

由于环境是有很多个subnet组成。可以用购买一套专门的软件，但很费钱。

后来朋友介绍了一个国内用的很流行的软件，基于arp requet的，叫p2pover。可以免费安装，查询流量，很好用。
但其间也有问题，p2pover只能在一个subnet试用。所以我在几个有很多用户的subnet，分别装了这个，再其它有不多用户机的subnet，就直接远程登录，查询有没有下载软件了，然后记录操作系统上的cable数值，然后第二天检查一下，经过的流量。

目前还在研究，很好玩，很费神

lingyang

cisco在网管软件方面的确做的很差很多时候就算产生数据了没有很好的软件去分析，

ISR-G2上15.0开始的支持的NBAR2可以分析数据的class-id, application id, application categories, application attributes 应该能解决你的问题，不过像3750这样的应该还不在roadmap上。

可以看看其他vendor目前有没有性价比好的解决方案

Limitless

在路由上查NAT table，哪个内网ip映射的外网端口最多就是谁的。
之后就可以在路由上专门针对这个ip抓包进行确认。
封锁的话比较困难，bt现在基本都是随机端口+加密协议，所以还是做QoS限制流量比较管用

[ 本帖最后由 Limitless 于 2011-12-3 05:35 编辑 ]

薰依草

楼主可以直接让管server的人在group policy 里禁止任何p2p软件的运行，这样任何pc都无法运行bt软件

degra

还是user education 比较好， 发个company policy出来， 说明发现后回怎么处理， 大家都清楚明白