<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
  <title></title>
</head>
<body bgcolor="#ffffff" text="#000000">
Personally, I would fire up tcpdump -n -i eth0 (or whatever interface
you want to look at) and watch it until I'm satisfied at the source of
my network traffic. If you want to see the contents of the packets, you
can add the -X -s 0 which will print out the hex and ascii of the
packets. If I wanted to build a monitor on that, I'd probably write a
script to look for things outside of what I consider normal. Going
further, snort might be an option. Using this I was able to id an
infected windows box and clean it up. You'll probably just find your
boxen are broadcasting arp requests to make sure who has what ip.<br>
<br>
-One of the assembled<br>
<br>
Alex Kleider wrote:
<blockquote cite="mid:942495.80447.qm@web110304.mail.gq1.yahoo.com"
 type="cite">
  <pre wrap="">

--- On Wed, 11/26/08, Rick Moen <a class="moz-txt-link-rfc2396E" href="mailto:rick@linuxmafia.com"><rick@linuxmafia.com></a> wrote:

  </pre>
  <blockquote type="cite">
    <pre wrap="">From: Rick Moen <a class="moz-txt-link-rfc2396E" href="mailto:rick@linuxmafia.com"><rick@linuxmafia.com></a>
Subject: Re: [sf-lug] sending mail through SSH port forwarding
To: <a class="moz-txt-link-abbreviated" href="mailto:sf-lug@linuxmafia.com">sf-lug@linuxmafia.com</a>
Date: Wednesday, November 26, 2008, 11:02 AM
Quoting Alex Kleider (<a class="moz-txt-link-abbreviated" href="mailto:a_kleider@yahoo.com">a_kleider@yahoo.com</a>):

    </pre>
    <blockquote type="cite">
      <pre wrap="">Rick, may I ask for specifics as to which
      </pre>
    </blockquote>
    <pre wrap="">"monitors" do that?, alex
    </pre>
    <blockquote type="cite">
      <pre wrap="">(i.e. detect unauthorized/uninvited use of your
      </pre>
    </blockquote>
    <pre wrap="">+/-wireless network)

Sure, you can ask.  ;->

I have a better idea:  Rather than my posting in public the
details of
my house's particular LAN/WAN monitoring, you can ask
the assembled how
they might solve that problem.

    </pre>
  </blockquote>
  <pre wrap=""><!---->Dear 'Assembled,'
may I ask how you might solve this.
Context: 1. in reference to the above ... and ...
2. What made me take note of this particular thread is that when I see the lights blinking on my network switch I often wonder how can I find out who/what process is carrying on the "conversation" and with "whom."
..not just on the wireless but on the network in general.

thanks
alex

ps, Rick, is it correct to assume that you were reluctant to answer because knowing how you monitor your network would give an intruder
a head start on thwarting it?


      

_______________________________________________
sf-lug mailing list
<a class="moz-txt-link-abbreviated" href="mailto:sf-lug@linuxmafia.com">sf-lug@linuxmafia.com</a>
<a class="moz-txt-link-freetext" href="http://linuxmafia.com/mailman/listinfo/sf-lug">http://linuxmafia.com/mailman/listinfo/sf-lug</a>


  </pre>
</blockquote>
<br>
<br>
</body>
</html>