Если кто-то подключен через VPN к серверу, можно ли определить, копирует ли он и вставляет ли файлы (с сервера на своем компьютере) в сеанс подключения к удаленному рабочему столу?
1 ответ
Если кто-то подключен через VPN к вашей сети, он действует так, как если бы он был в локальной сети. Итак, главный вопрос:
Можем ли мы сказать, копирует ли кто-нибудь файл из локальной сети?
Теоретически должен быть способ отфильтровать это с помощью программы под названием Wire Shark (или аналогичной).
Что вы должны сделать, это фильтровать трафик NFS:
Фильтр дисплея
Полный список полей фильтра отображения NFS можно найти в справочнике по фильтру отображения.
Показывать только трафик NFS:
nfs
Вы не можете напрямую фильтровать NFS во время захвата. Однако, если вы знаете используемый порт (см. Выше), вы можете отфильтровать его.
Capture NFS traffic over the default port (2049)
https://wiki.wireshark.org/Network_File_System
Редактировать:
Я нашел здесь более подробный ответ на тему Super User, который подтверждает и дополняет мою теорию:
Как записать трафик внутри VPN?
После некоторых дальнейших исследований я обнаружил, что существует более идеальное программное обеспечение для этой цели, которое называется Microsoft Network Monitor.
КАК: Захватить сетевой трафик на VPN-сервере
Мы рекомендуем использовать Microsoft Network Monitor при захвате сетевого трафика на VPN-сервере, поскольку сетевой монитор, по-видимому, лучше перехватывает весь трафик из фильтра VPN-сервера.
Wireshark, кажется, только захватывает пакеты, отправленные на VPN-сервер, а не с VPN-сервера.
Wireshark может использовать формат файла захвата сетевого монитора, поэтому при желании вы можете просмотреть захват с помощью Wireshark.
Краткое руководство по сетевому монитору
Создайте файл отображения для определенного IP-адреса:
- на вкладке "Захват" - в окне "Фильтр дисплея" - выберите "Загрузить фильтр" -> "Стандартные фильтры" -> "Адреса" -> "Адреса IPv4" - "Изменить" IPv4.Адрес == "на интересующий вас адрес и нажмите Применить
Чтобы показать IP-адреса, а не имена хостов в перехватах:
- на вкладке "Захват" - в окне "Сводка кадра" - выберите "Столбцы" -> «Выбрать столбцы ...» - замените "Источник" на "Исходный сетевой адрес" и "Место назначения" на "Адрес сети назначения"