информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяСтрашный баг в WindowsЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Массовый взлом SharePoint 
 Microsoft Authenticator прекращает... 
 Очередное исследование 19 миллиардов... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
если вы видите этот текст, отключите в настройках форума использование JavaScript
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
Админам: Какой бы вы хотели бы видеть систему подсчета трафика в реальном времени под винду? 11.10.01 17:37  Число просмотров: 946
Автор: beetle Статус: Незарегистрированный пользователь
<"чистая" ссылка>
самое нужное - служба, опрашивающая snmp агенты и помещающая данные в sql. все, этого достаточно. имхо. кстати, может кто такое видел?
<sysadmin>
Админам: Какой бы вы хотели бы видеть систему подсчета трафика в реальном времени под винду? 10.10.01 11:08  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
Какой бы вы хотели бы видеть систему подсчета трафика в реальном времени под винду? Если серьезно, то я закончил packet filtering framework который правда еще не очень сильно протестен, но работает под всеми виндами (разумеется два разных драйвера). Даже успел сделать на ее основе ethernet bridge, а то как оказалось бывают клинические случаи когда надо связать wireless и wired ethernet, a расщепить адресное пространство на две подсети не получается.

В-общем хотелось бы увидеть пожелания, логгинг трафика организовать нет проблемы практически в любом виде, правда GUI делать я не люблю, но можно вспомнить MFC по такому случаю.
Админам: Какой бы вы хотели бы видеть систему подсчета трафика в реальном времени под винду? 11.10.01 17:37  
Автор: beetle Статус: Незарегистрированный пользователь
<"чистая" ссылка>
самое нужное - служба, опрашивающая snmp агенты и помещающая данные в sql. все, этого достаточно. имхо. кстати, может кто такое видел?
видеть систему подсчета трафика в реальном времени под винду? 11.10.01 02:25  
Автор: free Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Какой бы вы хотели бы видеть систему подсчета трафика в
> реальном времени под винду?

..с открытым исходным кодом.
обоснование 13.10.01 01:17  
Автор: free Статус: Незарегистрированный пользователь
<"чистая" ссылка>
В этом случае меня бы полностью устроило консольное приложение. В самом деле - зачем создавать свой gui, если каждый может написать gui, удовлетворяющий его личным требованиям + твоя прога не графический редактор, чтобы gui иметь.
Важно чтобы она не затыкалась и корректно выдавала результаты подсчета, а уж в каком виде эти результаты просматривать - админ сам решит.
обоснование 13.10.01 12:43  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
> В этом случае меня бы полностью устроило консольное
> приложение. В самом деле - зачем создавать свой gui, если
> каждый может написать gui, удовлетворяющий его личным
> требованиям + твоя прога не графический редактор, чтобы gui
> иметь.
> Важно чтобы она не затыкалась и корректно выдавала
> результаты подсчета, а уж в каком виде эти результаты
> просматривать - админ сам решит.

Не вижу большого смысла в открытии исходников драйверов, не то что в них разобраться, а и собрать то не каждому удастся. Можно обсудить и предоставить интерфейс к этим драйверам, тогда действительно останется только написать аппликашку которая им пользуется. В том то и вопрос, какой интерфейс, что в него включать ?
интерфейс 14.10.01 16:29  
Автор: free Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Не вижу большого смысла в открытии исходников драйверов, не
> то что в них разобраться, а и собрать то не каждому
> удастся.

Тогда надо определиться для кого пишется эта программа - для юзера или для админа.
Какой же админ позволит существовать в системе таким драйверам, созданным неизвестно кем да еще и работающим непонятно как? - ведь если закрыть исходники, то проект может умереть просто потому, что никто не осмелиться использовать его результаты. Кто может гарантировать безглючную и безопасную работу твоей программы?

> Можно обсудить и предоставить интерфейс к этим
> драйверам, тогда действительно останется только написать
> аппликашку которая им пользуется. В том то и вопрос, какой
> интерфейс, что в него включать ?

imho, опять же зависит от того для кого создается программа. Например такой интерфейс - в stdout через определенные интервалы времени выдаются два числа - количество байт входящего/выходящего трафика. И ничего больше. А что еще нужно пользователю? - а кому-то нужно больше. Например - протокол, по которому передан трафик. Кому то нужно знать устройства, по которым идет трафик, кому-то - порты, кому-то - тип и название сокетов, время, дата передачи пакета, айпи/мак адреса получателя/отправителя, и т.п.
Это я к тому, что было бы классно, если бы программа выдавала все данные, которые она только сможет узнать о пакетах, а админ разбереться, что ему нужно, и интересующий его трафик сможет подсчитать самостоятельно.
интерфейс 15.10.01 12:58  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
> Тогда надо определиться для кого пишется эта программа -
> для юзера или для админа.
> Какой же админ позволит существовать в системе таким
> драйверам, созданным неизвестно кем да еще и работающим
> непонятно как? - ведь если закрыть исходники, то проект
> может умереть просто потому, что никто не осмелиться
> использовать его результаты. Кто может гарантировать
> безглючную и безопасную работу твоей программы?

Если уж на то пошло, то на твоем месте я бы попросил исходники ядра NT у MS, а то кто гарантирует ее безопасную и стабильную работу? Если речь идет о троянах, то как раз открытие подобных исходников и может привести к возникновению их новой и мощной разновидности.

> Это я к тому, что было бы классно, если бы программа
> выдавала все данные, которые она только сможет узнать о
> пакетах, а админ разбереться, что ему нужно, и интересующий
> его трафик сможет подсчитать самостоятельно.

Можно и весь Ethernet frame в User mode перекинуть, только вот в каой степени все это скажется на поизводительности? Тем более что речь идет о том что где-то это еще надо сохранить, то есть отправить на диск. Суть как раз в том чтобы найти золотую середину.
Я думаю в реальном времени считать трафик смысла нет. 10.10.01 11:21  
Автор: Glory <Mr. Glory> Статус: Elderman
<"чистая" ссылка>
В реальном времени можно сделать мониторинг юзеров и контроль за ними. А систему подсчета трафика сделать в виде GUI, но обязательно с поддержкой командной строчки, чтоб можно было ее отшедулить и скидывать каждый день в HTML отчет по трафику за прошедшие сутки и напр. за текущий месяц. Ну и естественно в самой системе предусмотреть детализацию отчета по юзерам, по сервисам, по хостам etc.
Я думаю в реальном времени считать трафик смысла нет. 10.10.01 11:39  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
> Ну и естественно в самой системе предусмотреть
> детализацию отчета по юзерам, по сервисам, по хостам etc.

Я правильно понимаю?

По юзерам - по IP адресам заданных локальных подсетей
По сервисам - FTP, HTTP and etc..
По хостам - по IP удаленных хостов (ну это потом пожно отмапить и в URL)

По чему еще?

а хотелось бы... 17.10.01 06:46  
Автор: Rojer Статус: Незарегистрированный пользователь
<"чистая" ссылка>
итак, каков ход мысли?
мы хотим знать сколько всего было трафика - входящего и исходящего.
причём, нужно разделять, что есть внешний, а что есть внутренний трафик - для этого д.б. некие правила (желательно, совместимые с чем-нибудь распространённым - например, tcpdump, чтобы не приходилось переучиваться).
т.е., к примеру, я должен в начале лога видеть: с такого-то по такое-то число внутреннего трафика входящего столько-то, исходящего столько-то. внешнего, соответственно. правила для каждой категории задаёт админ сам.

далее деление по хостам. для каждого хоста - запись суммарного трафика по каждой из 4 категорий, плюс детализация по каждому remote-хосту - когда, сколько, запрашиваемая служба (порт). для каждого хоста должна быть регистрация изменений mac-адреса (время).

вот...такой лог позволит быстро решить главную задачу подсчёта трафика: найти неуёмных и надавать им по рукам ;)
Правильно 10.10.01 14:59  
Автор: Glory <Mr. Glory> Статус: Elderman
<"чистая" ссылка>
по ARP, чтобы не хулиганили 10.10.01 11:57  
Автор: paganoid Статус: Member
<"чистая" ссылка>
Ты имел ввиду MAC адреса? 10.10.01 12:15  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
Есть вот что 10.10.01 12:52  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
Есть хороший логанализатор
MS WinsockPRoxy LogAnalyzer (C) Sergey Tikhomirov 1999
e-mail s_tikhomirov@mail.ru
http://www.geocities.com/Sergey_007/

все что нужно в нем есть. анализирует MS PROXY логи.
Не совсем понял 10.10.01 13:09  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
> Есть хороший логанализатор
> MS WinsockPRoxy LogAnalyzer (C) Sergey Tikhomirov 1999
> e-mail s_tikhomirov@mail.ru
> http://www.geocities.com/Sergey_007/
>
> все что нужно в нем есть. анализирует MS PROXY логи.

Это к чему? Писать логи в формате MS PROXY? В принципе возможно, но он вобще-то немного на более высоком уровне работает. Еще вопрос писать ли логи напрямую из драйвера или позволить их забирать аппликашке/сервису?
Неа не так 10.10.01 13:54  
Автор: mentat[ZH Moscow] Статус: Незарегистрированный пользователь
<"чистая" ссылка>
сделать так чтобы логи потом можно было анализировать и получать готовые результаты в таком виде в котором выдает эта прога, или например встроенный анализатор.

например я могу вывести список пользователей и количество скачаной/закачаной инфы в байтах
могу по отдельным пользователям, могу по одному, могу запрошеные ДНС адреса опять же выборку по юзерам,
рейтинг пользователей по трафику.
время проведенное в сети конкретными юзерами.
IP адреса машин с которых юзер ходил в инет.
и т.п. хочешь скину на мыло прогу, посмотришь ее возможности, и могу кусок лока своего чтоб на живом примере.
прога весит 70кб
лог 700кб

> > Есть хороший логанализатор
> > MS WinsockPRoxy LogAnalyzer (C) Sergey Tikhomirov 1999
> > e-mail s_tikhomirov@mail.ru
> > http://www.geocities.com/Sergey_007/
> >
> > все что нужно в нем есть. анализирует MS PROXY логи.
>
> Это к чему? Писать логи в формате MS PROXY? В принципе
> возможно, но он вобще-то немного на более высоком уровне
> работает. Еще вопрос писать ли логи напрямую из драйвера
> или позволить их забирать аппликашке/сервису?
Давай 10.10.01 13:57  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
Давай, так предметней будет.

vadim@ntndis.com
да 10.10.01 12:20  
Автор: paganoid Статус: Member
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach