Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Squid überwachungsprogramm

Mitglied: nEmEsIs

nEmEsIs (Level 2) - Jetzt verbinden

04.11.2008, aktualisiert 23:27 Uhr, 9386 Aufrufe, 4 Kommentare

Hi @ all
Habe folgendes Problem:
Habe einen Squid Server unter Linux in einem Schulnetzwerk am laufen und dort schaffen es ein Schüler immerwieder den Squid Proxy zu umgehen.
Das führ dazu das die DSL Leitung zu ist bis zum geht nicht mehr. Ich vermute es ist ein einzelner.... Sind grob 120 Clients.
Ich kenne es von der Kerio Winrout Firewall das man von jeder IP den aktuellen down und up Stream beobachten kann, also wieviel kb der einzelne
von der Leitung verwendet....
Und sowas such ich am besten Grafisch für den Squid, um zu sehen wer im Netzwerk wieviel KB/sec verbraucht um zu sehen ob es sich dabei wirklich um einen Downloader handelt.
Ich brauche nix, wo ich sehen kann wieviel Volumen der einzelen User in letzer Zeit verbraucht hat, da dies denk ich mal net da auffällt wenn zb. der Downloader sich nen Tunnel über Port 443 aufgebaut hat via VPN oder ähnlichem.
Desweitern stellt sich dir Frage, ob es vielleicht möglich ist mit einem P2P-Client und eintragen des Proxy´s möglich ist herrauszukommen.
Wenn ich einen Externen Proxy eintrage geht dies nicht, das ist schon abgeschaltet.

Hoffe ihr könnt mir helfen

MFG Nemesis

PS: Ein Programm um den Squid extern zu Überwachen währe hilfreich.
Mitglied: Alphavil
04.11.2008 um 14:54 Uhr
Um so etwas zu überwachen gibts nur eins:

Nagios und hier das passende Portal dazu: http://www.nagios-portal.org

Ansonsten gibt es zum Squid noch einen SquidGuard den du dahinter hängen kannst


Greetz André
Bitte warten ..
Mitglied: problemsolver
04.11.2008 um 16:43 Uhr
Hi,

was für eine Linuxversion hast Du im Einsatz?
Versuch doch mal an der Konsole:
(... iftop - display bandwidth usage on an interface by host ...)
01.
iftop
Mit iftop --help oder man iftop kannst Du Dir die Hilfe anzeigen lassen.
Mit iftop -i eht0 oder eth1 kann man dann den traffic noch auf ein Interface begrenzen. Ich würde Dir die interne Netzwerkkarte empfehlen...
Dadurch kannst Du ermitteln, wer wieviel Traffic gerade verursacht wird und wohin die Verbindung mit Quelle und Ziel aufgebaut worden ist.

Ansonsten müsstest Du Dir die access.log Datei des Squids mal mit tail -f /var/log/squid/access.log anschauen... so hättest Du auch noch eine live Übersicht der aufgerufenen Seiten... Wahrscheinlich jedoch zuviel Input. Wenn Du dann noch "Beweise" benötigst wäre Folgendes möglich:

01.
tail -f /var/log/squid/access.log | grep "die-ip-adresse-des-verdächtigen"
Somit kannst Du live mitverfolgen, was die IP-Adresse veranstaltet.
Wenn man dann uuuunbedingt möchte, könnte man auch noch mit IPTABLES ggf. diese IP-Adresse via Script dann blocken indem eine Regel hinzugefügt wird. Bitte dann nicht vergessen, diese dann auch wieder zu löschen ... Aber das werde ich jetzt hier nicht erklären, da das hier zu sehr ausschweifen würde...

Vielleicht habe ich schon eine kleine Anregung gegeben.

Gruß

Markus
Bitte warten ..
Mitglied: nEmEsIs
04.11.2008 um 18:58 Uhr
Hi Markus
da ich aber nicht weiß wer der verdächtige ist hab ich da bei 120 clients schlechte Changen ... wenn dann müsste ich sowas für jede IP machen und ob ich dann da sehe wieviel kb pro secunde durchfließen bezweifel ich ... da wenn es sich um eine Tauschbörse handelt oder ähnliches das sicher nicht mit http:// anfängt ... aber danke für den Befehl, dann kann ich schon mal stichproben durchführen ...

Mfg Nemesis
Bitte warten ..
Mitglied: problemsolver
04.11.2008 um 23:27 Uhr
Hi Nemesis,

es hört sich alles komplizierter an, wie es eigentlich ist.
Die Verwendung von iftop, grep und tail ist reeeelativ leich erlernt und die weiteren Ideen dazu fallen einem auch dann schnell ein

Es gibt allerdings noch eine andere Idee, die ich Dir nicht vorenthalten möchte:
Du könntest mit dem sog. SARG (Squid Analysis Report Generator) dir eine Übersicht von den am häufigsten besuchten Seiten von den Rechnern machen. ( http://sarg.sourceforge.net )

Je nach Einstellung deines Squids umfassen die access.log Dateien mehrere Tage (meistens eine Woche).
Diese benötigt der Sarg zur Auswertung. Die Ausgabe sieht so aus, dass SARG HTML Seiten erstellt, die du dann direkt auf dem Webserver der Linuxmaschine anschauen kannst. (sofern einer installiert ist)

Um allerdings wirklich eine gute Datenbasis zu haben, gehe ich von festen Client-IPs bei den Rechnern im Klassenraum aus. (alternativ bietet sich auch eine Authentifizierung am Squid an, was die Sache allerdings wieder verkompliziert. Ich vermute, dass Du einen transparenten Proxy bei euch aufgesetzt hast...)
Beispiel für eine Auswertung mit SARG
01.
#Get current date 
02.
TODAY=$(date +%d/%m/%Y) 
03.
 
04.
#Get Yesterday's Date 
05.
YESTERDAY=$(date --date "1 day ago" +%d/%m/%Y) 
06.
 
07.
/usr/bin/sarg -l /var/log/squid/access.log -o /var/www/htdocs/squid-reports/weekly -z -d $YESTERDAY-$TODAY
Hierbei würde eine Auswertung über die Access.log gehen, die vom gestrigen Tag bis zum heutigen Tag reicht. Die Auswertung würde dann in einen Pfad geschrieben werden, der in dem Squid-reports Verzeichnis in deinem Webroot (htdocs) landet.

Du könntest dann genau sehen, welcher Rechner zu welcher Uhrzeit auf welcher Seite gelandet wäre. Auch die Topsites würden zusätzlich aufgelistet werden... Naja... Bei Interesse kannst Du Dich ja mal in das Thema einarbeiten. Ist auch alles nicht so schwer

Weiterhin viel Erfolg

Gruß

Markus
Bitte warten ..
Ähnliche Inhalte
Windows 10

Monitoring-Wartungs-Überwachungsprogramm für Leihlaptops?

gelöst Frage von EdaseinsWindows 108 Kommentare

Hi Guys, Ich suche nach einem Programm welches ich auf mehreren Leihlaptops installieren kann welches mir berichtet, (möglichst täglich ...

Linux Netzwerk

Squid Fehlermeldung

gelöst Frage von AKillerInHellLinux Netzwerk5 Kommentare

Naben liebe Admins Habe folgendes Problem auf meiner CentOS VM mit Squid und Webmin. Es ist erstmal nur eine ...

Ubuntu

Squid cacht nicht

gelöst Frage von HenereUbuntu3 Kommentare

Hallo zusammen, ich habe einen Squid3 auf Ubuntu 14.04LTS installiert. (apt-get install squid) Aber er cacht nicht. Ich bekomme ...

Linux

Squid Problematik

gelöst Frage von eazy-isiLinux4 Kommentare

Hallo zusammen, bei der Konfigurationen eines SQUID-ProxyServers habe ich Probleme mit der User-Authentifizierung. Bei der Anmeldung am Squid wird ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 11 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 17 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 21 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...