Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
видеть систему подсчета трафика в реальном времени под винду? 11.10.01 02:25 Число просмотров: 915
Автор: free Статус: Незарегистрированный пользователь
|
> Какой бы вы хотели бы видеть систему подсчета трафика в
> реальном времени под винду?
..с открытым исходным кодом.
|
|
<sysadmin>
|
Админам: Какой бы вы хотели бы видеть систему подсчета трафика в реальном времени под винду? 10.10.01 11:08
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
Какой бы вы хотели бы видеть систему подсчета трафика в реальном времени под винду? Если серьезно, то я закончил packet filtering framework который правда еще не очень сильно протестен, но работает под всеми виндами (разумеется два разных драйвера). Даже успел сделать на ее основе ethernet bridge, а то как оказалось бывают клинические случаи когда надо связать wireless и wired ethernet, a расщепить адресное пространство на две подсети не получается.
В-общем хотелось бы увидеть пожелания, логгинг трафика организовать нет проблемы практически в любом виде, правда GUI делать я не люблю, но можно вспомнить MFC по такому случаю.
|
|
Админам: Какой бы вы хотели бы видеть систему подсчета трафика в реальном времени под винду? 11.10.01 17:37
Автор: beetle Статус: Незарегистрированный пользователь
|
|
самое нужное - служба, опрашивающая snmp агенты и помещающая данные в sql. все, этого достаточно. имхо. кстати, может кто такое видел?
|
|
видеть систему подсчета трафика в реальном времени под винду? 11.10.01 02:25
Автор: free Статус: Незарегистрированный пользователь
|
> Какой бы вы хотели бы видеть систему подсчета трафика в
> реальном времени под винду?
..с открытым исходным кодом.
|
| |
обоснование 13.10.01 01:17
Автор: free Статус: Незарегистрированный пользователь
|
В этом случае меня бы полностью устроило консольное приложение. В самом деле - зачем создавать свой gui, если каждый может написать gui, удовлетворяющий его личным требованиям + твоя прога не графический редактор, чтобы gui иметь.
Важно чтобы она не затыкалась и корректно выдавала результаты подсчета, а уж в каком виде эти результаты просматривать - админ сам решит.
|
| | |
обоснование 13.10.01 12:43
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
> В этом случае меня бы полностью устроило консольное
> приложение. В самом деле - зачем создавать свой gui, если
> каждый может написать gui, удовлетворяющий его личным
> требованиям + твоя прога не графический редактор, чтобы gui
> иметь.
> Важно чтобы она не затыкалась и корректно выдавала
> результаты подсчета, а уж в каком виде эти результаты
> просматривать - админ сам решит.
Не вижу большого смысла в открытии исходников драйверов, не то что в них разобраться, а и собрать то не каждому удастся. Можно обсудить и предоставить интерфейс к этим драйверам, тогда действительно останется только написать аппликашку которая им пользуется. В том то и вопрос, какой интерфейс, что в него включать ?
|
| | | |
интерфейс 14.10.01 16:29
Автор: free Статус: Незарегистрированный пользователь
|
> Не вижу большого смысла в открытии исходников драйверов, не
> то что в них разобраться, а и собрать то не каждому
> удастся.
Тогда надо определиться для кого пишется эта программа - для юзера или для админа.
Какой же админ позволит существовать в системе таким драйверам, созданным неизвестно кем да еще и работающим непонятно как? - ведь если закрыть исходники, то проект может умереть просто потому, что никто не осмелиться использовать его результаты. Кто может гарантировать безглючную и безопасную работу твоей программы?
> Можно обсудить и предоставить интерфейс к этим
> драйверам, тогда действительно останется только написать
> аппликашку которая им пользуется. В том то и вопрос, какой
> интерфейс, что в него включать ?
imho, опять же зависит от того для кого создается программа. Например такой интерфейс - в stdout через определенные интервалы времени выдаются два числа - количество байт входящего/выходящего трафика. И ничего больше. А что еще нужно пользователю? - а кому-то нужно больше. Например - протокол, по которому передан трафик. Кому то нужно знать устройства, по которым идет трафик, кому-то - порты, кому-то - тип и название сокетов, время, дата передачи пакета, айпи/мак адреса получателя/отправителя, и т.п.
Это я к тому, что было бы классно, если бы программа выдавала все данные, которые она только сможет узнать о пакетах, а админ разбереться, что ему нужно, и интересующий его трафик сможет подсчитать самостоятельно.
|
| | | | |
интерфейс 15.10.01 12:58
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
> Тогда надо определиться для кого пишется эта программа -
> для юзера или для админа.
> Какой же админ позволит существовать в системе таким
> драйверам, созданным неизвестно кем да еще и работающим
> непонятно как? - ведь если закрыть исходники, то проект
> может умереть просто потому, что никто не осмелиться
> использовать его результаты. Кто может гарантировать
> безглючную и безопасную работу твоей программы?
Если уж на то пошло, то на твоем месте я бы попросил исходники ядра NT у MS, а то кто гарантирует ее безопасную и стабильную работу? Если речь идет о троянах, то как раз открытие подобных исходников и может привести к возникновению их новой и мощной разновидности.
> Это я к тому, что было бы классно, если бы программа
> выдавала все данные, которые она только сможет узнать о
> пакетах, а админ разбереться, что ему нужно, и интересующий
> его трафик сможет подсчитать самостоятельно.
Можно и весь Ethernet frame в User mode перекинуть, только вот в каой степени все это скажется на поизводительности? Тем более что речь идет о том что где-то это еще надо сохранить, то есть отправить на диск. Суть как раз в том чтобы найти золотую середину.
|
|
Я думаю в реальном времени считать трафик смысла нет. 10.10.01 11:21
Автор: Glory <Mr. Glory> Статус: Elderman
|
|
В реальном времени можно сделать мониторинг юзеров и контроль за ними. А систему подсчета трафика сделать в виде GUI, но обязательно с поддержкой командной строчки, чтоб можно было ее отшедулить и скидывать каждый день в HTML отчет по трафику за прошедшие сутки и напр. за текущий месяц. Ну и естественно в самой системе предусмотреть детализацию отчета по юзерам, по сервисам, по хостам etc.
|
| |
Я думаю в реальном времени считать трафик смысла нет. 10.10.01 11:39
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
> Ну и естественно в самой системе предусмотреть
> детализацию отчета по юзерам, по сервисам, по хостам etc.
Я правильно понимаю?
По юзерам - по IP адресам заданных локальных подсетей
По сервисам - FTP, HTTP and etc..
По хостам - по IP удаленных хостов (ну это потом пожно отмапить и в URL)
По чему еще?
|
| | |
а хотелось бы... 17.10.01 06:46
Автор: Rojer Статус: Незарегистрированный пользователь
|
итак, каков ход мысли?
мы хотим знать сколько всего было трафика - входящего и исходящего.
причём, нужно разделять, что есть внешний, а что есть внутренний трафик - для этого д.б. некие правила (желательно, совместимые с чем-нибудь распространённым - например, tcpdump, чтобы не приходилось переучиваться).
т.е., к примеру, я должен в начале лога видеть: с такого-то по такое-то число внутреннего трафика входящего столько-то, исходящего столько-то. внешнего, соответственно. правила для каждой категории задаёт админ сам.
далее деление по хостам. для каждого хоста - запись суммарного трафика по каждой из 4 категорий, плюс детализация по каждому remote-хосту - когда, сколько, запрашиваемая служба (порт). для каждого хоста должна быть регистрация изменений mac-адреса (время).
вот...такой лог позволит быстро решить главную задачу подсчёта трафика: найти неуёмных и надавать им по рукам ;)
|
| | |
Правильно 10.10.01 14:59
Автор: Glory <Mr. Glory> Статус: Elderman
|
|
|
| | |
по ARP, чтобы не хулиганили 10.10.01 11:57
Автор: paganoid Статус: Member
|
|
|
| | | |
Ты имел ввиду MAC адреса? 10.10.01 12:15
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
|
|
| | | | |
Есть вот что 10.10.01 12:52
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
Есть хороший логанализатор
MS WinsockPRoxy LogAnalyzer (C) Sergey Tikhomirov 1999
e-mail s_tikhomirov@mail.ru
http://www.geocities.com/Sergey_007/
все что нужно в нем есть. анализирует MS PROXY логи.
|
| | | | | |
Не совсем понял 10.10.01 13:09
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
> Есть хороший логанализатор
> MS WinsockPRoxy LogAnalyzer (C) Sergey Tikhomirov 1999
> e-mail s_tikhomirov@mail.ru
> http://www.geocities.com/Sergey_007/
>
> все что нужно в нем есть. анализирует MS PROXY логи.
Это к чему? Писать логи в формате MS PROXY? В принципе возможно, но он вобще-то немного на более высоком уровне работает. Еще вопрос писать ли логи напрямую из драйвера или позволить их забирать аппликашке/сервису?
|
| | | | | | |
Неа не так 10.10.01 13:54
Автор: mentat[ZH Moscow] Статус: Незарегистрированный пользователь
|
сделать так чтобы логи потом можно было анализировать и получать готовые результаты в таком виде в котором выдает эта прога, или например встроенный анализатор.
например я могу вывести список пользователей и количество скачаной/закачаной инфы в байтах
могу по отдельным пользователям, могу по одному, могу запрошеные ДНС адреса опять же выборку по юзерам,
рейтинг пользователей по трафику.
время проведенное в сети конкретными юзерами.
IP адреса машин с которых юзер ходил в инет.
и т.п. хочешь скину на мыло прогу, посмотришь ее возможности, и могу кусок лока своего чтоб на живом примере.
прога весит 70кб
лог 700кб
> > Есть хороший логанализатор
> > MS WinsockPRoxy LogAnalyzer (C) Sergey Tikhomirov 1999
> > e-mail s_tikhomirov@mail.ru
> > http://www.geocities.com/Sergey_007/
> >
> > все что нужно в нем есть. анализирует MS PROXY логи.
>
> Это к чему? Писать логи в формате MS PROXY? В принципе
> возможно, но он вобще-то немного на более высоком уровне
> работает. Еще вопрос писать ли логи напрямую из драйвера
> или позволить их забирать аппликашке/сервису?
|
| | | | | | | |
Давай 10.10.01 13:57
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
Давай, так предметней будет.
vadim@ntndis.com
|
| | | | |
да 10.10.01 12:20
Автор: paganoid Статус: Member
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
