Инструкция
Как правило, данных происходит двумя путями: непосредственным подключением к удаленному компьютеру, в результате которого хакер получает возможность просматривать папки компьютера и копировать нужную ему информацию, и с использованием троянских программ. Обнаружить работу профессионально написанной троянской программы очень сложно. Но таких программ не так уж много, поэтому в большинстве случаев пользователь замечает в работе компьютера некоторые странности, свидетельствующие о его заражении. Например, попытки подключиться к сети, непонятная сетевая активность, когда вы не открываете никаких страниц, и т.д. и т.п.
Во всех подобных ситуациях необходимо проконтролировать трафик, для этого вы можете воспользоваться штатными средствами Windows. Откройте командную строку: «Пуск» - «Все программы» - «Стандартные» - «Командная строка». Ее можно открыть и так: «Пуск» - «Выполнить», потом введите команду cmd и нажмите Enter. Откроется черное окно, это и есть командная строка (консоль).
Введите в командной строке команду netstat –aon и нажмите Enter. Появится список подключений с указанием ip-адресов, с которыми соединяется ваш компьютер. В графе «Состояние» вы можете посмотреть статус соединения – например, строка ESTABLISHED говорит о том, что данное соединение активно, то есть присутствует в данный момент. В графе «Внешний адрес» указан ip-адрес удаленного компьютера. В графе «Локальный адрес» вы найдете информацию об открытых на вашем компьютере портах, через которые осуществляются соединения.
Обратите внимание на последнюю графу – PID. В ней указаны идентификаторы, присвоенные системой текущим процессам. Они очень полезны при поиске приложения, ответственного за интересующие вас соединения. Например, вы видите, что через какой-то порт у вас установлено соединение. Запомните PID-идентификатор, потом в том же окне командной строки наберите tasklist и нажмите Enter. Появится список процессов, в его второй колонке указаны идентификаторы. Найдя уже знакомый идентификатор, вы легко определите, какое приложение установило данное соединение. Если название процесса вам незнакомо, введите его в поисковик, вы тут же получите о нем всю необходимую информацию.
Для контроля трафика можно использовать и специальные программы – например, BWMeter. Утилита полезна тем, что может полностью контролировать трафик, указывая, с какими адресами соединяется ваш компьютер. Помните, что при правильной настройке он не должен лезть в сеть, когда вы не пользуетесь интернетом – даже в том случае, если браузер запущен. В ситуации, когда индикатор подключения в трее то и дело сигнализирует о сетевой активности, необходимо отыскать ответственное за подключение приложение.
Руководитель компании любого масштаба должен быть в курсе количества потребляемых его организацией ресурсов, сколько и куда уходит денежных средств, сколько потребляется электроэнергии, каковы расходы на телефонию и т.д. В последние 10-15 лет добавился еще один пункт расходов: на Интернет. Чтобы правильно заложить в бюджете компании расходы на интернет-трафик , необходимо достоверно знать, каково его ежемесячное потребление в компании. Поэтому учет трафика - одна из важнейших обязанностей системного администратора, на плечи которого и ложится подсчет трафика, его экономия, куда входит непрерывный контроль над тем, чтобы объем выделенного на компанию, например, недельного трафика не превышал установленного лимита.
Для экономии средств все больше организаций переходит на использование безлимитных пакетов доступа в Интернет, но важность учета трафика от этого не уменьшается. Так, например, в сети возможно периодическое падение скорости соединения с Интернетом, причин которому может быть много: от недобросовестного провайдера или работника, скачивающего в рабочее время большие файлы, до падения какого-либо из сетевых интерфейсов. А низкая скорость интернета или вовсе его отсутствие для современного бизнеса чревато понижением качества услуг сегодня и потерей партнеров и клиентов завтра.
В зависимости от политики безопасности учет трафика может быть реализован следующими способами:
1. С использованием SNMP-протокола (Simple Network Management Protocol) . Плюсом данного метода является отсутствие необходимости устанавливать дополнительное ПО на компьютеры пользователей. В данном случае программа учета трафика устанавливается только на ПК системного администратора, а на удаленных компьютерах необходимо лишь правильно настроить работу службы SNMP, что для специалиста совсем не трудно. Данный протокол позволяет учитывать трафик, во-первых, на компьютерах под ОС Windows и Linux, а во-вторых, на сетевых принтерах, на коммутаторах и других сетевых устройствах. Поэтому у системного администратора появляется возможность также контролировать работу активного сетевого оборудования компании. Зачастую, по умолчанию протокол SNMP отключен в ОС и его необходимо доустановить и настроить.
2. С помощью службы WMI (Windows Management Instrumentation) , являющейся альтернативой SNMP. Данный метод учета трафика, также как и предыдущий, не требует установки никаких дополнительных модулей на подконтрольные компьютеры. Однако, этот способ подходит только для ОС Windows.
3. Если политика безопасности компании запрещает использование служб SNMP и WMI, то системный администратор может воспользоваться учетом трафика посредством установки агентов на удаленные компьютеры, которые обычно прилагаются к программе учета трафика. Если агент реализован в виде службы, то он считывает все значения трафика незаметно для пользователя и без нагрузки на компьютер.
4. Следующий способ - учет трафика посредством протокола NetFlow , который был разработан компанией Cisco и предназначен для сбора информации об IP-трафике внутри сети. Принцип его работы заключается в накапливании в специальном буфере всей статистики о передаваемых IP-пакетах, а затем в ее обработке. Самым главным плюсом данного способа является возможность вести учет трафика в крупных компаниях со сложной и территориально распределенной сетью. Правда, нужно отметить, что данный метод учета трафика можно реализовать лишь в сетях, где есть оборудование, поддерживающего протокол NetFlow, а оно, надо признать, стоит довольно дорого.
5. Еще один метод - подсчет сетевых пакетов с помощью сниффера или анализатора трафика . Данный способ позволяет узнать IP-адрес как отправителя, так и получателя, а значит, увидеть, на что тратятся ресурсы организации. Важно знать, что в сетях с большим объемом передаваемого трафика или большой пропускной способностью данный вид учета трафика может давать некоторые погрешности.
Использование сразу несколько методов учета трафика помогает получить полное представление о работе предприятия и его сотрудников. Учет трафика отдельно по каждому протоколу, а также автоматическое отображение всей собранной информации в виде таблиц и графиков позволяет вычислить сотрудников, наиболее активно использующих интернет, а также узнать, на какие именно цели он тратится: на просмотр фотографий, скачивание файлов, обмен сообщениями или просмотр видеороликов в интернете.
Некоторые программы для учета трафика позволяют настроить их реакцию на определенные события, например, на превышение установленного лимита потребленного трафика или падение какого-либо сетевого интерфейса. Благодаря этому системный администратор быстрей реагирует на эти события и устраняет неполадки с минимальными потерями времени и сил. Но самая главная задача процесса учета трафика - это возможность всегда быть в курсе текущих расходов, на основе чего можно тщательней планировать бюджет в будущем, а также делать объективные выводы о работе сотрудников организации.
Подробней о программе учета трафика можно узнать тут http://www.10-strike.com/rus/bandwidth-monitor/
Куда утекает трафик? Как найти "утечку" простейшими средствами.
Говорят, что в природе есть две загадки: откуда берется пыль, и куда деваются деньги? Точно также в интернете есть своя загадка: куда "утекает" трафик? Конечно в стационарных условиях, с современными высокоскоростными линиями эта проблема свою актуальность потеряла - но как только мы выезжаем на отдых, на природу, в деревню, там, где единственный способ свези с интернетом - сотовая связь, эта проблема встаёт во весь рост. Покупаем у оператора пакет в 1-2-4-8 гигабайт, вроде бы ничего не делали, а он израсходовался((. Куда же он делся? И можно ли как-то найти "источник утечки" "подручными средствами"?
Вообще, если уж Вы собрались "на природу" и будете пользоваться интернетом с ограниченным трафиком, очень желательно заранее
поставить программу контроля трафика. Например, совершенно бесплатный NetLimiter Monitor . Тогда, посмотрев её статистику, мы увидим, например, что трафик, входящий и исходящий потребляет браузер FireFox(в первом примере) ... или только входящий потребляется программой обмена мгновенными сообщениями Miranda. Всё просто и прозрачно.
 |
У радиолюбителей, когда нет возможности пользоваться точным, "качественным", измерителем часто пользуются "количественным" - который обычно называют тестером. В нашей системе контроля трафика тестером послужит индикатор локальной сети/беспроводной сети/модема - в общем того интерфейса , через который компьютер подключен к интерфейсу. Также таким тестером может послужить индикатор количества входящего/исходящего трафика Dashboard-а сотового модема(программы управления сотовым модемом).
Как определить на какой индикатор ориентироваться? В трее может быть несколько индикаторов сети/беспроводной сети/модема. Очень просто, если Вы точно не представляете на какой индикатор смотреть, то можно отследить нужный нам по изменению активности. Попробуйте в браузере, например, загрузить любой сайт и посмотрите какой индикатор стал активным - засветился или часто замигал. Если около индикатора стоит красный крестик - можно сразу не обращать на него внимание. В скриншоте-примере активный интерфейс отмечен зелёной точкой, а неработающий - красный.
Найдя индикатор нашего соединения с интернет теперь мы можем начать ревизию. Сначала грубо оценим - есть "утечка" вообще. Перестанем обращаться к интернет, дождёмся загрузки всех сайтов и пр. - и посмотрим на наш индикатор. Он должен не гореть. Если длительное время он не зажигается даже на короткое время - скорее всего "непроизводительной утечки" нет. Но, скорее всего, Вы заметите что он периодически "вспыхивает". Значит какая-то программа обращается к интернет. Попробуем отыскать - какая же из программ(или вкладок браузера) этим занимается.
Как же определить какая их той кучи программ, что в данный момент активно в компьютере, обращается к интернету? Воспользуемся "методом Волка" из "Ну Погоди!". Помните когда он, преследуя Зайца, забежал в телевизионный магазин? Чтобы определить, где же скрывается Заяц, он стал отключать телевизоры - и в конце-концов отыскал его. Так и мы попробуем найти "зайца" или "зайцев".
Для этого воспользуемся TaskManager-ом. "Обычным", системным TaskManager-ом мы выгружаем программы, когда они "зависают". Можно ли им наоборот, ввести программы в контролируемое "зависание"? К сожалению нет - стандартный системный TaskManager это не может. Зато имеется огромное число альтернативных TaskManager-ов, которым это под силу. Все такие программы мы рассматривать не будем - ограничимся только двумя.
Первая и достаточно мощная - это . Несмотря на такое громкое название - это совершенно безопасная для системы и очень мощная в плане исследования и управления запущенными программами и процессами. Скачайте и установите её - она Вам поможет не только в этом вопросе - множество вопросов работы системы могут быть прояснены с её помощью. Если Вы не можете или не имеете возможности установить программу(например в случае запрета установки программ или не желаете добавлять её в группу программ) - скачайте портабельный вариант. Он позволит Вам начать исследование системы "на ходу", без излишних установок. Кроме того Вы можете записать портабельный вариант -а на флешку и использовать в любом месте.
Запустите её и давайте посмотрим на главное окно, закладка Processes. Вы увидите множество запущенных в вашей системе программ и процессов. Чем ниже в окне программа - тем позднее она запущена. Самая нижняя программа в окне запущена последней.
Кстати, эта программа также косвенно показывает какая программа обращается в интернет(хотя и не только). Посмотрит на колонку I/O Total. Если в этой колонке у программы ненулевые цифры - то программа занимается обменом данных с "внешним миром" - по отношении к памяти программы, конечно. Если у программ, относящихся к интернет(список будет в конце статьи) эта цифра ненулевая - смело включаем её в список подозреваемых.Теперь как же мы будем с помощью этой программы искать программы, которые "активничают"? Очень просто. Начиная снизу(с самых последних) начнём "замораживать" интернет-программы. Для этого наживаем правой кнопкой мыши на название программы и выбираем в меню Suspend Process . После этого смотрим на наш индикатор - не прекратились ли обращения в сеть интернет? Если да - то мы нашли все программы, "доящие" трафик(их, скорее всего, не одна). Если обращения не прекратились - но изменился "темп" миганий - то почти наверняка "замороженная" программа одна "из тех". Если же ничего не изменилось - "размораживаем" программу нажав правой кнопкой мыши на название программы и выбрав пункт Resume Process .
После того, как "список обвиняемых" будет готов оценим, что же с ним делать. Если в список попали только программы обмена мгновенными сообщениями и общения - например как Skype(skype.exe), ICQ(icq.exe), Qip(qip.exe), Miranda(miranda32.exe) - то надо подумать, стоит ли вообще держать их постоянно активными. Дело в том, что эти программы постоянно обмениваются данными по сети интернет - и этого избежать нельзя. Одни потребляют мало трафика(например - ICQ, Qip, Miranda), другие - несколько больше(например Skype) - но обмен будет в любом случае. Так что если хотите сэкономить на этих программах - завершайте их работу тогда, когда не используете. Или "замораживайте" на время "простоя" TaskManager-ом. Но, к слову, любая из таких программ потребляет совсем немного трафика - так что если у Вас уж не совсем ограниченный пакет трафика - можно оставить эти программы работать постоянно.Другая группа программ, которая может потреблять трафик даже в "состоянии покоя" - это браузеры. Такие как Internet Explorer(iexplorer.exe), Mozilla FireFox(firefox.exe), Mozilla SeaMonkey(seamonkey.exe), Opera(opera.exe), Google Chrome(chrome.exe), Safari(safari.exe) - ну и возможно другие. Некоторые страницы сайтов, которые вы открываете, может быть сделаны так, что периодически загружают информацию для обновления состояния экрана. Её объём может быть порой значительным. К сожалению нет простой возможности "заморозить" закладку браузера. Поэтому в "первый проход" Вам придётся обходить все закладки и закрывать все подозрительные. На будущее, выявив такие страницы, не оставляйте их после просмотра - а закрывает их. Сами сайты могут быть самыми разными - например в этом году увидел что страницы сайта GisMeteo периодически(и достаточно часто) обновляются - хотя погода так быстро не меняется)).
Ещё могут быть "забытые" программы, которые автоматически загружаются при загрузке системы - чаще всего это программы работы с торрентами(трекерами) - например мюТоррент(uTorrent.exe). Просто запретите таким программам стартовать автоматически - пока вы в условиях ограниченного трафика.
Если программа не относится к вышеперечисленным и она не системная(см. список ниже) - то есть повод насторожится. Очень вероятно что Ваша система заражена вирусом/трояном - и он тихо делает своё "чёрное дело" не извещая Вас. "Заморозьте" такие процессы и не "размораживайте" их - и поищите в интернет что же это за программа. Если это безобидная программа - то просто отключите её на время "ограниченного обмена". Если же это, по сведения в интернете, троянская/вирусная программа - лечите Ваш компьютер.
Если же трафик потребляет системная программа - то лучше всего включить firewall в системе - системный или внешнюю программу, - и запретить ненужные обращения. Настройка furewall-а - дело отдельной статьи, - но в интернет полно всяческих описаний настройки. Воспользуйтесь понятным Вам. Файрволл позволит Вам более точно контролировать трафик и позволит заблокировать доступ в интернет тем программам, которых вы не желаете "выпускать в свет".
Но, скажете Вы, этот достаточно сложен для начинающих. Нет ли чего того же функционально - но как можно проще? Оказывается есть! Это - крайне простой, но при этом достаточно мощный Task Manager, имеющий возможность "замораживать"/"размораживать" программы - и при этом не требующий установки. размер его вообще ничтожен - 38.4к сама программа и около 100к - все файлы. Такой размер не сильно "разорит" ваш пакет трафика.
После того, как вы запустите (лучше вообще поместить её в автозагрузку - ей надо очень мало памяти) её можно вызвать по сочетанию клавиш Ctr+Shift+~ . Мы увидим окно со списком запущенных программ - при этом чем выше программа, тем позже она запущена. Самая последняя находится в начале списка.
 |
 |
Вот теперь, пользуясь одной из этих программ, Вы можете найти "источник утечки" и решить что делать с этой программой/программами.
Приложение - названия программ и их исполняемых файлов, появляющихся в списке TaskManager-ов:
Браузеры:
Internet Explorer - iexplorer.exe
Mozilla FireFox - firefox.exe
Mozilla SeaMonkey - seamonkey.exe
Opera - opera.exe
Google Chrome - chrome.exe
Safari - safari.exe
Maxthon Browser - maxthon.exe
Программы обмена мгновенными сообщениями и общения:
Skype - skype.exe
ICQ - icq.exe
Qip - qip.exe
Miranda - miranda32.exe
R&Q - rnq.exe
P2P программы(для работы с торрентами и прямого обмена файлами):
мюТоррент - uTorrent.exe
Edonkey - edonkey.exe
Emule - emule.exe
Системные программы - не "замораживайте" их без необходимости - возможно полное "замораживание" системы!:
System Idle Process
System
smss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
Список дан больше для примера, перечислены только самые известные программы. Если Вы видите программу не из этого списка - посмотрите в интернете что это за исполняемый файл
Статья обсуждается на Всеобщем форуме в этом топе .
Копия статьи помещена
Программ для учёта трафика в локальной сети достаточно много: как платных, так и бесплатных, сильно различающихся по функционалу. Одна из наиболее популярных Open Source программ – SAMS. Она работает на платформе Linux совместно со Squid.
SAMS требует наличия PHP5, будем использовать Ubuntu Server 14.04. Нам понадобятся пакеты Squid, Apache2, PHP5 с модулями.
Учет трафика интернета в локальной сети linux
Попробуем разобраться, как это работает.
Squid раздаёт интернет, принимая запросы на порту 3128. При этом он пишет детальный лог access.log. Всё управление осуществляется через файл squid.conf. Squid обладает широкими возможностями по управлению доступом к интернету: разграничение доступа по адресам, контроль полосы пропускания для конкретных адресов, групп адресов и сетей.
SAMS работает на основе анализа логов прокси-сервера Squid. Система учёта трафика в локальной сети следит за статистикой прокси-сервера, и в соответствии с заданными политиками принимает решение о блокировке, разблокировке или ограничении скорости для клиента Squid.
Установка SAMS
Устанавливаем пакеты.
apt-get install apache2 php5 php5-mysql mysql-server php5-gd squid3
Скачиваем и устанавливаем SAMS
wget https://github.com/inhab-magnus/sams2-deb/archive/master.zip
unzip master.zip
cd sams2-deb-master/
dpkg -i sams2_2.0.0-1.1_amd64.deb
Устанавливаем web-интерфейс
dpkg -i apache2/sams2-web_2.0.0-1.1_all.deb
В файл /etc/sams2.conf вносим изменения.
DB_PASSWORD=/Пароль к MySql/
Запускаем SAMS
service sams2 start
Настройка Squid
Вносим изменения в файл /etc/squid3/squid.conf
http_port 192.168.0.110:3128
cache_dir ufs /var/spool/squid3 2048 16 256
Включаем логирование и ротацию логов с хранением в 31 день.
access_log daemon:/var/log/squid3/access.log squid
logfile_rotate 31
Останавливаем Squid, создаём кэш.
service squid3 stop
service squid3 start
Для чистоты эксперимента настраиваем один из браузеров на работу с прокси 192.168.0.110 через порт 3128. Попробовав подключиться, получаем отказ в соединении – в Squid не настроены права на доступ к прокси.
Начальная настройка SAMS
В другом браузере открываем адрес (192.168.0.110 – адрес сервера).
http://192.168.0.110/sams2
Он нам скажет, что не может подключиться к базе данных и предложит выполнить установку.
Указываем сервер базы данных (127.0.0.1), логин и пароль от MySql.
Начальная настройка системы учёта трафика выполнена. Остаётся только выполнить настройку программы.
Мониторинг трафика в локальной сети
Логинимся в систему под администратором (admin/qwerty).
Стоит сразу сказать об авторизации пользователей. 
В ветке Squid открываем прокси-сервер и нажимаем внизу кнопку «Настройка прокси-сервера».
Самое главное здесь – указать в адресах папок и файлов, где это необходимо, свой IP-адрес, иначе прокси-сервер не запустится.
Суть всех изменений в настройках SAMS в том, что они записываются в squid.conf. В фоне работает sams2deamon, который отслеживает изменения в настройках, требующих внесения в конфигурационный файл (там же можно задать интервал отслеживания).
Заполняем поле «Пользователь» и «IP адрес». В качестве имени пользователя возьмём тот же IP (IP компьютера, не сервера!). В поле «Разрешенный трафик» вносим «0», то есть без ограничений. Все остальные поля опускаем.
Будет добавлен новый acl для этого IP-адреса и разрешение для работы через Squid. Если конфиг не был изменен автоматически, переходим в ветку прокси и нажимаем кнопку «Переконфигурировать Squid». Изменения в конфиг будут внесены вручную.
Пробуем открыть любой URL в браузере. Проверяем access.log и видим запросы, обрабатываемые прокси. Для проверки работы SAMS откроем страницу «Пользователи», внизу нажмём кнопку «Пересчитать трафик пользователей».
Пользуясь кнопками внизу по управлению статистикой, можно получить детальную информацию по статистике посещения пользователем страниц.
Инструкция
При подключении компьютера к сети в системном трее появляется значок соединения в виде двух связанных между собой компьютеров. Если у вас такого значка нет, откройте свойство сетевого соединения: «Пуск – Панель управления – Сетевые подключения». Выберите ваше соединение, нажмите его правой кнопкой мышки и отметьте птичкой пункт «При подключении вывести значок в область уведомлений».
Именно значок соединения в трее позволяет визуально контролировать обмен информацией с интернетом. В том случае, если вы ничего не открываете и не скачиваете, у вас не запущено обновление операционной системы или антивирусной программы, но компьютер продолжает активное взаимодействие с сетью, необходимо срочно разобраться в причинах этого. Вполне возможно, что ваш компьютер заражен троянской программой или его , и теперь с вашего ip-адреса производятся противоправные действия.
Попробуйте понять, какое приложение использует трафик. Если у вас запущен браузер, закройте его и оцените ситуацию по значку соединения в трее. В том случае, если он продолжает показывать активность, по очереди закрывайте все запущенные программы.
Если все приложения закрыты, но компьютер продолжает общаться с сетью, откройте командную строку: «Пуск – Все программы – Стандартные – Командная строка» и оцените текущую ситуацию с помощью команды netstat –aon. Введите ее в командную строку, нажмите Enter, вы получите список текущих сетевых подключений. В графе «Состояние» отражен текущий статус соединения – существует оно в текущий момент, уже закончено или открывшая находится в состоянии ожидания.
Обратите внимание на установленные соединения, они обозначены как ESTABLISHED. В последней колонке – PID – указаны так называемые идентификаторы процессов. Определить, какой программе принадлежит конкретный идентификатор, вам поможет команда tasklist. Введите ее в уже открытое окно командной строки, нажмите Enter. Вы получите список запущенных процессов, при этом рядом с именем процессов будут стоять и их идентификаторы. Сопоставив PID из первой таблицы с идентификаторами второй, вы сможете понять, каким процессам они принадлежат.
Следующий шаг состоит в том, чтобы по очереди закрывать активные процессы и смотреть на активность соединения. Закрыть процессы вы можете двумя способами – в Диспетчере задач (Ctrl + Alt + Del) или в командной строке. В первом случае откройте Диспетчер задач, нажмите «Вид – Выбрать столбцы». Отметьте птичкой пункт «Идентификатор процесса». Теперь вы будете видеть идентификаторы (PID) рядом с названиями процессов.
Выберите в окне командной строки один из активных сетевых процессов, найдите его в Диспетчере задач. Нажмите правой кнопкой мышки, выберите пункт «Завершить процесс». После этого посмотрите, не остановилась ли сетевая активность. Если нет, закрывайте второй активный сетевой процесс и т.д. Вы можете закрывать их и непосредственно из командной строки, выполнив: taskkill /pid 1234, где вместо 1234 подставьте PID процесса, который требуется завершить.
Иногда компьютер с сетью слишком активно, но все равно неконтролируемо обменивается какими-то пакетами. Чтобы выяснить, с какими ip-адресами он соединяется, воспользуйтесь программой BWmeter. Она позволяет просматривать и записывать в лог всю необходимую информацию по установленным соединениям.
Отчетность
