Админам: Какой бы вы хотели бы видеть систему подсчета трафика в реальном времени под винду?10.10.01 11:08 Автор: SerpentFly <Vadim Smirnov> Статус: Member
Какой бы вы хотели бы видеть систему подсчета трафика в реальном времени под винду? Если серьезно, то я закончил packet filtering framework который правда еще не очень сильно протестен, но работает под всеми виндами (разумеется два разных драйвера). Даже успел сделать на ее основе ethernet bridge, а то как оказалось бывают клинические случаи когда надо связать wireless и wired ethernet, a расщепить адресное пространство на две подсети не получается.
В-общем хотелось бы увидеть пожелания, логгинг трафика организовать нет проблемы практически в любом виде, правда GUI делать я не люблю, но можно вспомнить MFC по такому случаю.
Админам: Какой бы вы хотели бы видеть систему подсчета трафика в реальном времени под винду?11.10.01 17:37 Автор: beetle Статус: Незарегистрированный пользователь
В этом случае меня бы полностью устроило консольное приложение. В самом деле - зачем создавать свой gui, если каждый может написать gui, удовлетворяющий его личным требованиям + твоя прога не графический редактор, чтобы gui иметь.
Важно чтобы она не затыкалась и корректно выдавала результаты подсчета, а уж в каком виде эти результаты просматривать - админ сам решит.
обоснование13.10.01 12:43 Автор: SerpentFly <Vadim Smirnov> Статус: Member
> В этом случае меня бы полностью устроило консольное > приложение. В самом деле - зачем создавать свой gui, если > каждый может написать gui, удовлетворяющий его личным > требованиям + твоя прога не графический редактор, чтобы gui > иметь. > Важно чтобы она не затыкалась и корректно выдавала > результаты подсчета, а уж в каком виде эти результаты > просматривать - админ сам решит.
Не вижу большого смысла в открытии исходников драйверов, не то что в них разобраться, а и собрать то не каждому удастся. Можно обсудить и предоставить интерфейс к этим драйверам, тогда действительно останется только написать аппликашку которая им пользуется. В том то и вопрос, какой интерфейс, что в него включать ?
> Не вижу большого смысла в открытии исходников драйверов, не > то что в них разобраться, а и собрать то не каждому > удастся.
Тогда надо определиться для кого пишется эта программа - для юзера или для админа.
Какой же админ позволит существовать в системе таким драйверам, созданным неизвестно кем да еще и работающим непонятно как? - ведь если закрыть исходники, то проект может умереть просто потому, что никто не осмелиться использовать его результаты. Кто может гарантировать безглючную и безопасную работу твоей программы?
> Можно обсудить и предоставить интерфейс к этим > драйверам, тогда действительно останется только написать > аппликашку которая им пользуется. В том то и вопрос, какой > интерфейс, что в него включать ?
imho, опять же зависит от того для кого создается программа. Например такой интерфейс - в stdout через определенные интервалы времени выдаются два числа - количество байт входящего/выходящего трафика. И ничего больше. А что еще нужно пользователю? - а кому-то нужно больше. Например - протокол, по которому передан трафик. Кому то нужно знать устройства, по которым идет трафик, кому-то - порты, кому-то - тип и название сокетов, время, дата передачи пакета, айпи/мак адреса получателя/отправителя, и т.п.
Это я к тому, что было бы классно, если бы программа выдавала все данные, которые она только сможет узнать о пакетах, а админ разбереться, что ему нужно, и интересующий его трафик сможет подсчитать самостоятельно.
интерфейс15.10.01 12:58 Автор: SerpentFly <Vadim Smirnov> Статус: Member
> Тогда надо определиться для кого пишется эта программа - > для юзера или для админа. > Какой же админ позволит существовать в системе таким > драйверам, созданным неизвестно кем да еще и работающим > непонятно как? - ведь если закрыть исходники, то проект > может умереть просто потому, что никто не осмелиться > использовать его результаты. Кто может гарантировать > безглючную и безопасную работу твоей программы?
Если уж на то пошло, то на твоем месте я бы попросил исходники ядра NT у MS, а то кто гарантирует ее безопасную и стабильную работу? Если речь идет о троянах, то как раз открытие подобных исходников и может привести к возникновению их новой и мощной разновидности.
> Это я к тому, что было бы классно, если бы программа > выдавала все данные, которые она только сможет узнать о > пакетах, а админ разбереться, что ему нужно, и интересующий > его трафик сможет подсчитать самостоятельно.
Можно и весь Ethernet frame в User mode перекинуть, только вот в каой степени все это скажется на поизводительности? Тем более что речь идет о том что где-то это еще надо сохранить, то есть отправить на диск. Суть как раз в том чтобы найти золотую середину.
Я думаю в реальном времени считать трафик смысла нет.10.10.01 11:21 Автор: Glory <Mr. Glory> Статус: Elderman
В реальном времени можно сделать мониторинг юзеров и контроль за ними. А систему подсчета трафика сделать в виде GUI, но обязательно с поддержкой командной строчки, чтоб можно было ее отшедулить и скидывать каждый день в HTML отчет по трафику за прошедшие сутки и напр. за текущий месяц. Ну и естественно в самой системе предусмотреть детализацию отчета по юзерам, по сервисам, по хостам etc.
Я думаю в реальном времени считать трафик смысла нет.10.10.01 11:39 Автор: SerpentFly <Vadim Smirnov> Статус: Member
> Ну и естественно в самой системе предусмотреть > детализацию отчета по юзерам, по сервисам, по хостам etc.
Я правильно понимаю?
По юзерам - по IP адресам заданных локальных подсетей
По сервисам - FTP, HTTP and etc..
По хостам - по IP удаленных хостов (ну это потом пожно отмапить и в URL)
По чему еще?
а хотелось бы...17.10.01 06:46 Автор: Rojer Статус: Незарегистрированный пользователь
итак, каков ход мысли?
мы хотим знать сколько всего было трафика - входящего и исходящего.
причём, нужно разделять, что есть внешний, а что есть внутренний трафик - для этого д.б. некие правила (желательно, совместимые с чем-нибудь распространённым - например, tcpdump, чтобы не приходилось переучиваться).
т.е., к примеру, я должен в начале лога видеть: с такого-то по такое-то число внутреннего трафика входящего столько-то, исходящего столько-то. внешнего, соответственно. правила для каждой категории задаёт админ сам.
далее деление по хостам. для каждого хоста - запись суммарного трафика по каждой из 4 категорий, плюс детализация по каждому remote-хосту - когда, сколько, запрашиваемая служба (порт). для каждого хоста должна быть регистрация изменений mac-адреса (время).
вот...такой лог позволит быстро решить главную задачу подсчёта трафика: найти неуёмных и надавать им по рукам ;)
> Есть хороший логанализатор > MS WinsockPRoxy LogAnalyzer (C) Sergey Tikhomirov 1999 > e-mail s_tikhomirov@mail.ru > http://www.geocities.com/Sergey_007/ > > все что нужно в нем есть. анализирует MS PROXY логи.
Это к чему? Писать логи в формате MS PROXY? В принципе возможно, но он вобще-то немного на более высоком уровне работает. Еще вопрос писать ли логи напрямую из драйвера или позволить их забирать аппликашке/сервису?
Неа не так10.10.01 13:54 Автор: mentat[ZH Moscow] Статус: Незарегистрированный пользователь
сделать так чтобы логи потом можно было анализировать и получать готовые результаты в таком виде в котором выдает эта прога, или например встроенный анализатор.
например я могу вывести список пользователей и количество скачаной/закачаной инфы в байтах
могу по отдельным пользователям, могу по одному, могу запрошеные ДНС адреса опять же выборку по юзерам,
рейтинг пользователей по трафику.
время проведенное в сети конкретными юзерами.
IP адреса машин с которых юзер ходил в инет.
и т.п. хочешь скину на мыло прогу, посмотришь ее возможности, и могу кусок лока своего чтоб на живом примере.
прога весит 70кб
лог 700кб
> > Есть хороший логанализатор > > MS WinsockPRoxy LogAnalyzer (C) Sergey Tikhomirov 1999 > > e-mail s_tikhomirov@mail.ru > > http://www.geocities.com/Sergey_007/ > > > > все что нужно в нем есть. анализирует MS PROXY логи. > > Это к чему? Писать логи в формате MS PROXY? В принципе > возможно, но он вобще-то немного на более высоком уровне > работает. Еще вопрос писать ли логи напрямую из драйвера > или позволить их забирать аппликашке/сервису?
Давай10.10.01 13:57 Автор: SerpentFly <Vadim Smirnov> Статус: Member
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
