如果有人通过服务器上的 VPN 连接,是否可以判断他是否在远程桌面连接会话中复制和粘贴文件(从他们计算机上的服务器)?
答案1
如果有人通过 VPN 连接到您的网络,则表现就像他在局域网中一样。因此,主要问题是:
我们能否判断是否有人正在从局域网复制文件?
理论上应该有一种方法可以用一个叫做线鲨(或类似)
您应该做的是过滤 NFS 流量:
显示过滤器
NFS 显示过滤器字段的完整列表可以在显示中找到过滤器参考
仅显示 NFS 流量:
nfs
您无法在捕获时直接过滤 NFS。但是,如果您知道所使用的端口(见上文),则可以过滤该端口。
Capture NFS traffic over the default port (2049)
https://wiki.wireshark.org/Network_File_System
编辑:
我在超级用户上找到了更深入的答案,证实并完善了我的理论:
经过进一步的研究,我发现有一个更理想的软件可以实现这个目的,叫做Microsoft 网络监视器
如何:在 VPN 服务器上捕获网络流量
我们建议在 VPN 服务器上捕获网络流量时使用 Microsoft 网络监视器,因为网络监视器似乎更擅长拦截来自 VPN 服务器过滤器的所有流量。
Wireshark 似乎只能捕获发送到 VPN 服务器的数据包,而不能捕获来自 VPN 服务器的数据包。
Wireshark 可以使用网络监视器捕获文件格式,因此如果您愿意,可以使用 Wireshark 查看捕获内容。
网络监视器快速指南
为特定 IP 地址创建显示文件:
-在“捕获”选项卡下 -在“显示过滤器”窗口中 -选择“加载过滤器”->“标准过滤器”->“地址”->“IPv4 地址” -将“IPv4.Address ==”修改为您感兴趣的地址,然后按“应用”
要在捕获中显示 IP 地址而不是主机名:
-在“捕获”选项卡下 -在“帧摘要”窗口中 -选择“列”->“选择列...” -将“源”替换为“源网络地址”,将“目标”替换为“目标网络地址”