none
Script de monitoramento de trafego e portas RRS feed

  • Pergunta

  • Boa tarde,

     

    Estou entrando agora nesse mundo de scripts e já tenho uma pergunta meio complicada.

     

    Existe uma maneira de monitorar um usuário através de um script, de modo que eu possa ver que portas e softwares estão sendo utilizados pelo mesmo?

     

    É como um investigador rápido. Ele me mostra um relatório dos programas que estão acessando a net, portas que estão sendo usadas e tamanho do ultimo pacote disparado.

     

    Se tiver uma maneira, por favor, agradeço muito.

    terça-feira, 16 de setembro de 2008 17:26

Respostas

  • Cara talves vc consiga fazer o que vc quer usando o netstat -abo (tenta aê na sua maquina).
    Vai gerar uma lsita mais ou menos igual a abaixo:
    Talves dê certo se vc criar um script que executa o
    netstat -abo e grave um txt para você.
    Se o negócio for com relação ao acesso a internet faz um projetinho de um filtro de conteúdo...se sua empresa tiver grana recomento o websense, mas dá pra partir para soluções gratuitas também (mas o websense é o melhor).
    Dizem por aê que o GFI também é muito bom, me parece, não tenho certeza, que ele integra junto com o ISA.


    Conexões ativas

      Proto  Endereço local         Endereço externo       Estado           PID
      TCP    0.0.0.0:135            nome.da.estacao:0             LISTENING       924
      RpcSs
     [svchost.exe]
      TCP    0.0.0.0:445            nome.da.estacao:0             LISTENING       4

     Não é possível obter informações de propriedade

    x: falha na inicialização do Windows Sockets: 5
      TCP    0.0.0.0:554            nome.da.estacao:0             LISTENING       3976
     [wmpnetwk.exe]
      TCP    0.0.0.0:905            nome.da.estacao:0             LISTENING       2584
     [vpxd.exe]
      TCP    0.0.0.0:2869           nome.da.estacao:0             LISTENING       4

     Não é possível obter informações de propriedade

    x: falha na inicialização do Windows Sockets: 5
      TCP    0.0.0.0:3389           nome.da.estacao:0             LISTENING       1564
      Dnscache
     [svchost.exe]
      TCP    0.0.0.0:8010           nome.da.estacao:0             LISTENING       5472
     [psi.exe]
      TCP    0.0.0.0:10243          nome.da.estacao:0             LISTENING       4

     Não é possível obter informações de propriedade

    x: falha na inicialização do Windows Sockets: 5
      TCP    0.0.0.0:16992          nome.da.estacao:0             LISTENING       864
     [LMS.exe]
      TCP    0.0.0.0:16993          nome.da.estacao:0             LISTENING       864
     [LMS.exe]
      TCP    0.0.0.0:18443          nome.da.estacao:0             LISTENING       3456
     [vmaService.exe]
      TCP    0.0.0.0:49152          nome.da.estacao:0             LISTENING       576
     [wininit.exe]
      TCP    0.0.0.0:49153          nome.da.estacao:0             LISTENING       1068
      Eventlog
     [svchost.exe]
      TCP    0.0.0.0:49154          nome.da.estacao:0             LISTENING       668
     [lsass.exe]
      TCP    0.0.0.0:49155          nome.da.estacao:0             LISTENING       1108
      Schedule
     [svchost.exe]
      TCP    0.0.0.0:54080          nome.da.estacao:0             LISTENING       2116
      PolicyAgent
     [svchost.exe]
      TCP    0.0.0.0:54100          nome.da.estacao:0             LISTENING       652
     [services.exe]
      TCP    0.0.0.0:54496          nome.da.estacao:0             LISTENING       428
     [spoolsv.exe]
      TCP    ip_da_estacao:139       nome.da.estacao:0             LISTENING       4

     Não é possível obter informações de propriedade

    x: falha na inicialização do Windows Sockets: 5
      TCP    ip_da_estacao:54154     nome.do.DC:microsoft-ds   ESTABLISHED     4

     Não é possível obter informações de propriedade

    x: falha na inicialização do Windows Sockets: 5
      TCP    ip_da_estacao:54179     dns3:5222              ESTABLISHED     5472
     [psi.exe]
      TCP    ip_da_estacao:54381     ip.servidor.dmz:ms-wbt-server  ESTABLISHED     452
     [mstsc.exe]
      TCP    ip_da_estacao:54417    ip.servidor.antivirus:ms-wbt-server  ESTABLISHED     577
     [mstsc.exe]
      TCP    ip_da_estacao:55513     nome.do.DC:1025           ESTABLISHED     5504
     [OUTLOOK.EXE]
      TCP    ip_da_estacao:56568     prds052:1150           ESTABLISHED     5504
     [OUTLOOK.EXE]
      TCP    ip_da_estacao:56638     a72-246-216-60:http    ESTABLISHED     4132
     [firefox.exe]
      TCP    ip_da_estacao:56639     a72-246-216-60:http    ESTABLISHED     4132
     [firefox.exe]
      TCP    ip_da_estacao:56640     a72-246-216-60:http    ESTABLISHED     4132
     [firefox.exe]
      TCP    ip_da_estacao:56641     a72-246-216-60:http    ESTABLISHED     4132
     [firefox.exe]
      TCP    ip_da_estacao:56642     a72-246-216-60:http    ESTABLISHED     4132
     [firefox.exe]
      TCP    ip_da_estacao:56643     a72-246-216-66:http    ESTABLISHED     4132
     [firefox.exe]
      TCP    ip_da_estacao:56644     a72-246-216-66:http    TIME_WAIT       0
      TCP    ip_da_estacao:56645     a72-246-216-66:http    TIME_WAIT       0
      TCP    ip_da_estacao:56646     a72-246-216-66:http    TIME_WAIT       0
      TCP    ip_da_estacao:56647     a72-246-216-66:http    TIME_WAIT       0
      TCP    ip_da_estacao:56648     a72-246-216-66:http    TIME_WAIT       0
    quarta-feira, 17 de setembro de 2008 19:53

Todas as Respostas

  • Cara talves vc consiga fazer o que vc quer usando o netstat -abo (tenta aê na sua maquina).
    Vai gerar uma lsita mais ou menos igual a abaixo:
    Talves dê certo se vc criar um script que executa o
    netstat -abo e grave um txt para você.
    Se o negócio for com relação ao acesso a internet faz um projetinho de um filtro de conteúdo...se sua empresa tiver grana recomento o websense, mas dá pra partir para soluções gratuitas também (mas o websense é o melhor).
    Dizem por aê que o GFI também é muito bom, me parece, não tenho certeza, que ele integra junto com o ISA.


    Conexões ativas

      Proto  Endereço local         Endereço externo       Estado           PID
      TCP    0.0.0.0:135            nome.da.estacao:0             LISTENING       924
      RpcSs
     [svchost.exe]
      TCP    0.0.0.0:445            nome.da.estacao:0             LISTENING       4

     Não é possível obter informações de propriedade

    x: falha na inicialização do Windows Sockets: 5
      TCP    0.0.0.0:554            nome.da.estacao:0             LISTENING       3976
     [wmpnetwk.exe]
      TCP    0.0.0.0:905            nome.da.estacao:0             LISTENING       2584
     [vpxd.exe]
      TCP    0.0.0.0:2869           nome.da.estacao:0             LISTENING       4

     Não é possível obter informações de propriedade

    x: falha na inicialização do Windows Sockets: 5
      TCP    0.0.0.0:3389           nome.da.estacao:0             LISTENING       1564
      Dnscache
     [svchost.exe]
      TCP    0.0.0.0:8010           nome.da.estacao:0             LISTENING       5472
     [psi.exe]
      TCP    0.0.0.0:10243          nome.da.estacao:0             LISTENING       4

     Não é possível obter informações de propriedade

    x: falha na inicialização do Windows Sockets: 5
      TCP    0.0.0.0:16992          nome.da.estacao:0             LISTENING       864
     [LMS.exe]
      TCP    0.0.0.0:16993          nome.da.estacao:0             LISTENING       864
     [LMS.exe]
      TCP    0.0.0.0:18443          nome.da.estacao:0             LISTENING       3456
     [vmaService.exe]
      TCP    0.0.0.0:49152          nome.da.estacao:0             LISTENING       576
     [wininit.exe]
      TCP    0.0.0.0:49153          nome.da.estacao:0             LISTENING       1068
      Eventlog
     [svchost.exe]
      TCP    0.0.0.0:49154          nome.da.estacao:0             LISTENING       668
     [lsass.exe]
      TCP    0.0.0.0:49155          nome.da.estacao:0             LISTENING       1108
      Schedule
     [svchost.exe]
      TCP    0.0.0.0:54080          nome.da.estacao:0             LISTENING       2116
      PolicyAgent
     [svchost.exe]
      TCP    0.0.0.0:54100          nome.da.estacao:0             LISTENING       652
     [services.exe]
      TCP    0.0.0.0:54496          nome.da.estacao:0             LISTENING       428
     [spoolsv.exe]
      TCP    ip_da_estacao:139       nome.da.estacao:0             LISTENING       4

     Não é possível obter informações de propriedade

    x: falha na inicialização do Windows Sockets: 5
      TCP    ip_da_estacao:54154     nome.do.DC:microsoft-ds   ESTABLISHED     4

     Não é possível obter informações de propriedade

    x: falha na inicialização do Windows Sockets: 5
      TCP    ip_da_estacao:54179     dns3:5222              ESTABLISHED     5472
     [psi.exe]
      TCP    ip_da_estacao:54381     ip.servidor.dmz:ms-wbt-server  ESTABLISHED     452
     [mstsc.exe]
      TCP    ip_da_estacao:54417    ip.servidor.antivirus:ms-wbt-server  ESTABLISHED     577
     [mstsc.exe]
      TCP    ip_da_estacao:55513     nome.do.DC:1025           ESTABLISHED     5504
     [OUTLOOK.EXE]
      TCP    ip_da_estacao:56568     prds052:1150           ESTABLISHED     5504
     [OUTLOOK.EXE]
      TCP    ip_da_estacao:56638     a72-246-216-60:http    ESTABLISHED     4132
     [firefox.exe]
      TCP    ip_da_estacao:56639     a72-246-216-60:http    ESTABLISHED     4132
     [firefox.exe]
      TCP    ip_da_estacao:56640     a72-246-216-60:http    ESTABLISHED     4132
     [firefox.exe]
      TCP    ip_da_estacao:56641     a72-246-216-60:http    ESTABLISHED     4132
     [firefox.exe]
      TCP    ip_da_estacao:56642     a72-246-216-60:http    ESTABLISHED     4132
     [firefox.exe]
      TCP    ip_da_estacao:56643     a72-246-216-66:http    ESTABLISHED     4132
     [firefox.exe]
      TCP    ip_da_estacao:56644     a72-246-216-66:http    TIME_WAIT       0
      TCP    ip_da_estacao:56645     a72-246-216-66:http    TIME_WAIT       0
      TCP    ip_da_estacao:56646     a72-246-216-66:http    TIME_WAIT       0
      TCP    ip_da_estacao:56647     a72-246-216-66:http    TIME_WAIT       0
      TCP    ip_da_estacao:56648     a72-246-216-66:http    TIME_WAIT       0
    quarta-feira, 17 de setembro de 2008 19:53
  •  

    se for isso que o amigo ai em cima falou, vc deve criar uma bat que criei um log.

    depois vc deve executar essa bat na maquina da pessoa, melhor via dos, via psexec

    com a mesma bat vc pode retornar o arquivo de log para sua maquina.

     

    Espero ter ajudado.

     

    quinta-feira, 18 de setembro de 2008 04:19
  • Não seria mais fácil utilizar um programa qualquer.

     

    Tipo Essential Net Tools ???

     

    Um script vai dar muito trabalho e tem que roda na máquina do cara, e verificar os logs, e tals..

     

    Tem um monte de programa pela net que faz isso...

     

     

    quinta-feira, 18 de setembro de 2008 21:15
    Moderador
  • Opa...com certeza seria muito mais fácil.

     

    Mas dentro da empresa que trabalho temos que homologar todo sistema que esta sendo instalado.

    Isso envolve tanto a equipe técnica quanto a equipe financeira para ver as verbas para compra de licenças, sem contar o pessoal do jurídico para ver os contratos e validar as licenças...

     

    Cara isso demora muito e é muito burocratico.

     

    E como os scripts são "de graça" e não requerem direitos autorais, fica mais simples no final.

     

    Mas valew pela dica do programa.

    sexta-feira, 19 de setembro de 2008 10:45
  • Valew pela dica. Esse comando realmente me da uma visão bem detalhada do assunto e vai ajudar muito.

     

    Grande abraço e sucesso sempre.

     

    sexta-feira, 19 de setembro de 2008 10:46
  • Eu fiz um programa que monitora não só o que o usuário faz no computador bem como os aplicativos que ele está usando. Mostrando o tempo de uso de cada aplicativo.

    Se ficar interessado só entrar em contato.

    arlindopereiraangelim@hotmail.com

    quinta-feira, 26 de janeiro de 2017 18:46