如何知道是否有人通过 VPN 复制文件

如何知道是否有人通过 VPN 复制文件

如果有人通过服务器上的 VPN 连接,是否可以判断他是否在远程桌面连接会话中复制和粘贴文件(从他们计算机上的服务器)?

答案1

如果有人通过 VPN 连接到您的网络,则表现就像他在局域网中一样。因此,主要问题是:

我们能否判断是否有人正在从局域网复制文件?

理论上应该有一种方法可以用一个叫做线鲨(或类似)


您应该做的是过滤 NFS 流量:

显示过滤器

NFS 显示过滤器字段的完整列表可以在显示中找到过滤器参考

仅显示 NFS 流量:
nfs

您无法在捕获时直接过滤 NFS。但是,如果您知道所使用的端口(见上文),则可以过滤该端口。

Capture NFS traffic over the default port (2049)

https://wiki.wireshark.org/Network_File_System


编辑
我在超级用户上找到了更深入的答案,证实并完善了我的理论:

如何记录 VPN 内部的流量?


经过进一步的研究,我发现有一个更理想的软件可以实现这个目的,叫做Microsoft 网络监视器

如何:在 VPN 服务器上捕获网络流量

我们建议在 VPN 服务器上捕获网络流量时使用 Microsoft 网络监视器,因为网络监视器似乎更擅长拦截来自 VPN 服务器过滤器的所有流量。

Wireshark 似乎只能捕获发送到 VPN 服务器的数据包,而不能捕获来自 VPN 服务器的数据包。

Wireshark 可以使用网络监视器捕获文件格式,因此如果您愿意,可以使用 Wireshark 查看捕获内容。


网络监视器快速指南

为特定 IP 地址创建显示文件:

-在“捕获”选项卡下 -在“显示过滤器”窗口中 -选择“加载过滤器”->“标准过滤器”->“地址”->“IPv4 地址” -将“IPv4.Address ==”修改为您感兴趣的地址,然后按“应用”

要在捕获中显示 IP 地址而不是主机名:

-在“捕获”选项卡下 -在“帧摘要”窗口中 -选择“列”->“选择列...” -将“源”替换为“源网络地址”,将“目标”替换为“目标网络地址”

相关内容