Как выявить в локальной сети с какого компьютера идут запросы на днс на резолв определенного адреса с помощью wireshark?
Есть локальная сеть. Клиенты ходят в интернет через прокси. У прокси прописан днс локальный. И логах найдены запросы от прокси на резолв адресов, которые находятся в запрещенных.
Как вычислить с какой машины идут запросы?
Включить лог всех пакетов которые dst = proxy ? И там уже просто поиском поискать текст, правильно ?
Или как лучше сделать?
dbama, а в чем сложность? Вроде как самый очевидный способ.
Если не настроено - настроить журналирование запросов на прокси.
Wareshark на каком компе планируете запускать? Если не на прокси или не на зазеркаленном порту прокси, то многое просто не увидите...
dbama, у Вас же между Proxy и клиентами стоит коммутатор.
Все unicast пакеты от клиентов к Proxy идут напрямую. На порт kerio они не передаются, поэтому Вы их и не видите.
dbama, Вроде Kerio умеет собирать HTTP-логи. Если не можете настроить, то можно, конечно, прямо на машине с Kerio запустить Wireshark и слушать порт 3128, но это не так удобно.
Ну и всегда остаётся вариант, что по этим адресам ломится не клиент, а какой-либо софт непосредственно с сервера. Тогда на прокси вы ничего не увидите.
Rsa97, На машине с Керио не поставить ничего. Логи в Керио вкл, в журналах пусто.
В принципе понял что нужно отзеркалить порт и wireshark все пакеты снять