Web Forgalom Ellenőrzése

Rendszer működése: A mikrotik routeren beállítjuk hogy egy megadott ip címre küldjön ki minden rajta áthaladó csomagot, amit mi wiresharkkal elfogunk és lementünk csv fájlba amit meg majd beimportálunk egy access adatbázisba ahol elemezhetjük.

Szükséges dolgok: Mikrotik Router, Wireshark, Microsoft Access

Routeren szükséges beállítások

Routeren a Tools > Packet Sniffert válasszuk ki

General fülön legyen bepipálva az only headers (csak a fejléceket vizsgálja)

streaming fülön a streaming enabled (a megadott ip címre küldi a megadott interfészen átmenő forgalmat)

server-hez írjuk be azt az ip címet amire küldeni akarjuk a router megadoot interfészein átmenő forgalmat

filter fülön állíthatjuk be mely interfészekről küldje az adatot a szerverünk felé

az ip address-nél vehetjük fel hogy mely gépeket vizsgáljuk vagy mely gépeket zárjunk ki, a kizáráshoz tegyük be a kis felkiáltó jelet

port résznél állítsuk be hogy mely portokat figyelje

direction az rx a kimenő forgalom, a tx a bejövő

DHCP dinamikus kiosztáskor érdemes automatikusan egy mentést csinálni a routeren, ehhez scripteket kell írni

ezt a system > scripts menüből érjük el

az új scripthez menjünk a + jelre, és a source írjuk be a parancsot, ez most legyen az

/ip dhcp-server lease print detail file=lease1.txt ami lease1.txt néven elmenti a kiosztásokat

időzített futtatásához menjünk be a system > scheduler a + jellel hozzunk létre új feladatot

interval dobozban megadhatjuk hogy milyen gyakran fusson

on eventnél azt hogy milyen scriptet futtasson

ezt mi most a /system script run script1 paranccsal csináljuk

Ezzel a routeren beállítottunk mindent.

Wireshark beállítása

A szerverre tegyük fel a Wiresharkot és az Accesst.

wiresharkban állítsuk be a nézet fülön az időformátumot utc-re és a névfeloldásokat pipáljuk be szintén ebben a menüben

a capture > optionsben választhatjuk ki hogy mely hálókártyán áthaladó forglamat figyelje

lejjebb beállíthatjuk hogy milyen időközönként hozzon létre új fájlt és azt is hogy menniy idő vagy darab fájl után álljon le a csomagok elfogása

ezt lehet automatizálni egy wireshark.bat fájllal:

"C:\Program Files\Wireshark\tshark.exe" -i "Helyi kapcsolat" -t u -b duration:600 -a files:72 -w "C:\Users\molehand\Desktop\WebTraffic\200Packets.pcapng" -F pcapng -W n -N m -N n

-i :melyik hálókártyát használj

-t milyen időformátumba mentse

-b duration: milyen időtartamonként hozzon létre új fájlt (ms)

-a files: hány db fájl után álljon le a batch

-w hova mentse a fájlt

-F milyen formátumot használjon

-W n: elmenti a névfeloldásokat

-N m: maccím feloldásokta ment

-N n: hálózati cím feloldásokat ment

a batch file automatikus futtatását a feladat ütemezőben tudjuk beállítani

ezzel létre fognak jönni fájlok amiket ha újra megnyitunk a wiresharkban akkor a file > export packet dissecton menüben csv fájlba ki tudjuk exportálni, ami az accessben vagy más adatbáziskezelő rendszerben megnyitható és beimportálható

Access használata

Az Access-nek 2GB adatbázis határa van, így viszonylag kevés adatot tudunk elemezni a forgalomhoz képest az Accessben

Az Accessbe importálás menete:

hozzunk létre egy új adatbázist, majd menjünk a külső adatok szalagra és ott válasszuk a szövegfájlt

tallózzuk be a csv fájlunkat majd ok

válasszuk alul a speciális gombot és a kódolást állítsuk UTF-8-ra valamint a tizdesjelre írjunk be egy . majd OK

utána pipáljuk be hogy az első sor tartalmazza a neveket

a következő oldalon választhatjuk ki hogy milyen oszlopokkal akarunk dolgozni

és az utolsón pedig ellenőriztethetjük az adatbázist az Acces-sal hogy mennyire redundáns

Ha adatismétlődések lesznek, felajánlja nekünk az Access hogy az ismétlődést tartalmazó sorokat külön táblába szedje, ezt érdemes megcsinálni, az Access a végén felosztja a táblát és könnyen kereshető lesz benn sql nélkül is