Как выявить в локальной сети с какого компьютера идут запросы на днс на резолв определенного адреса с помощью wireshark?

Question

[dbama]

Есть локальная сеть. Клиенты ходят в интернет через прокси. У прокси прописан днс локальный. И логах найдены запросы от прокси на резолв адресов, которые находятся в запрещенных.
Как вычислить с какой машины идут запросы?
Включить лог всех пакетов которые dst = proxy ? И там уже просто поиском поискать текст, правильно ?
Или как лучше сделать?

Answer 1

[Rsa97]

Посмотреть в логах прокси, кто запрашивает эти адреса.

Comments

[dbama]

Ну, если бы все так было просто, то вопрос не появился бы

[SunTechnik]

dbama, а в чем сложность? Вроде как самый очевидный способ.

Если не настроено - настроить журналирование запросов на прокси.
Wareshark на каком компе планируете запускать? Если не на прокси или не на зазеркаленном порту прокси, то многое просто не увидите...

[dbama]

SunTechnik, Стоит Kerio и на нем не вижу, хотя вроде вкл все что можно.
Зазеркалить смогу.

[SunTechnik]

dbama, у Вас же между Proxy и клиентами стоит коммутатор.
Все unicast пакеты от клиентов к Proxy идут напрямую. На порт kerio они не передаются, поэтому Вы их и не видите.

[dbama]

SunTechnik, Kerio это и есть прокси. Имею ввиду что на нем не вижу в журналах ничего.
Вроде перерыл все настройки.

[Rsa97]

dbama, Вроде Kerio умеет собирать HTTP-логи. Если не можете настроить, то можно, конечно, прямо на машине с Kerio запустить Wireshark и слушать порт 3128, но это не так удобно.
Ну и всегда остаётся вариант, что по этим адресам ломится не клиент, а какой-либо софт непосредственно с сервера. Тогда на прокси вы ничего не увидите.

[dbama]

Rsa97, На машине с Керио не поставить ничего. Логи в Керио вкл, в журналах пусто.
В принципе понял что нужно отзеркалить порт и wireshark все пакеты снять