Hemant Asked: 2009-08-13 21:24:02 +0800 CST2009-08-13 21:24:02 +0800 CST 2009-08-13 21:24:02 +0800 CST 如何监控远程机器的 TCP/IP(或 HTTP)流量? 772 是否有任何适用于 Windows 操作系统的应用程序(最好是免费的),我可以使用这些应用程序监控远程机器(在同一 Intranet 中)的 TCP/IP 流量? monitoring 6 个回答 Voted Best Answer nik 2009-08-13T21:40:36+08:002009-08-13T21:40:36+08:00 您是否有权访问远程 Windows 计算机? 如果是,您可以通过多种方式进行监控(取决于您的要求的深度) 例如,您也可以wireshark在远程机器上执行 如果您无权访问该机器, 您仅限于可以在网络上窃听的内容 这需要访问网络 (今天的网络通常不广播任何流量,因此很难窥探) 但是,如果您可以访问网络设备,则可以窥探它们 一个示例(已在此处的另一个答案中注明)是在路径 中设置代理 Squid代理有很好的方法来跟踪网络活动(使用更多工具) 另一种方法是从网络上的一个交换机镜像用户端口的流量。 一旦你进入tap网络路径,很多选项就会再次打开 假设您正在管理网络,并且可能正在管理有问题的 Windows 机器, 您将拥有上述其中一项可行的功能。 David Rickman 2009-08-13T21:30:29+08:002009-08-13T21:30:29+08:00 您是否希望监控他们访问的 URL 或 HTTP 有效负载中的恶意流量? 如果是前者,请在网关设备上使用代理并设置日志记录并使代理透明。 如果后者使用托管防病毒套件。 Runner 2009-08-13T23:00:10+08:002009-08-13T23:00:10+08:00 如果您想对内容进行详细的深入分析,您可以使用: http://www.ethereal.com/ 这两个工具都是免费的并且非常强大。 Bart Silverstrim 2009-08-14T04:40:07+08:002009-08-14T04:40:07+08:00 如果不使用 ARP 中毒,您将需要使用代理服务器或监控路由器/网关的流量。由于我们必须遵守的问责制问题,我们唯一一次必须这样做是在代理服务器上使用日志。 如果你使用像 Squid 这样的代理,你可以只解析日志文件。 cherniaev 2009-08-14T21:39:05+08:002009-08-14T21:39:05+08:00 一些可能相关的工具: Tcpdump 地图 线鲨 mikej 2009-08-19T03:44:10+08:002009-08-19T03:44:10+08:00 如果您和远程计算机之间有托管交换机,您可以简单地将流量镜像到本地计算机,然后使用任何带有适当过滤器的监控软件,请参阅如何监控远程流量
wireshark在远程机器上执行(今天的网络通常不广播任何流量,因此很难窥探)
tap网络路径,很多选项就会再次打开假设您正在管理网络,并且可能正在管理有问题的 Windows 机器,
您将拥有上述其中一项可行的功能。
您是否希望监控他们访问的 URL 或 HTTP 有效负载中的恶意流量?
如果是前者,请在网关设备上使用代理并设置日志记录并使代理透明。
如果后者使用托管防病毒套件。
如果您想对内容进行详细的深入分析,您可以使用:
http://www.ethereal.com/
这两个工具都是免费的并且非常强大。
如果不使用 ARP 中毒,您将需要使用代理服务器或监控路由器/网关的流量。由于我们必须遵守的问责制问题,我们唯一一次必须这样做是在代理服务器上使用日志。
如果你使用像 Squid 这样的代理,你可以只解析日志文件。
一些可能相关的工具:
如果您和远程计算机之间有托管交换机,您可以简单地将流量镜像到本地计算机,然后使用任何带有适当过滤器的监控软件,请参阅如何监控远程流量