ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Aleksey Barabanov                    2:5020/400     13 Sep 2001  00:04:10
 To : Dmitry Sergienko
 Subject : Re: network statistics
 -------------------------------------------------------------------------------- 
 

 Dmitry Sergienko писал(а):
 
 > 
 > Hет, не только. Просто приведу стартап скрипт, и поясню его работу.
 > 
 > tcpd="/usr/local/sbin/tcpdump -i sbni0 -l -n -q 2>/dev/null|/usr/bin/zip -q -1
 > $BASEDIR/tcpd.out.zip -" # прибиваем tcpdump, получаем
 > tcpd.out.zip /bin/killall tcpdump; /usr/bin/sleep 1s;
 
 Мне чудится или тут на самом деле дыра в подсчете трафика ? Может стоит
 делать так, как обычно фильтруются протоколы. Вывод в пайпу, а на пайпу
 демона на Perl ?
 
 > 
 > # запускаем новый tcpdump
 > /bin/sh -c "$tcpd &";
 > 
 > if [ ! -f "$BASEDIR/tcpd.out.zip" ] ; then
 >     exit;
 > fi
 > 
 > # считаем статистику, разбрасывая трафик для найденых хостов по файлам.
 > /bin/zcat $BASEDIR/tcpd.out.zip  | $BASEDIR/getstat.pl >$BASEDIR/index;
 > 
 > # получили файлы вида 195.24.141.104.dir и генерим отчет, с какими хостами
 > этот # хост соединялся и по каким протоколам. Байтики также считаются. Hа
 > выходе 195.24.141.104.html $BASEDIR/sort_by_peer.pl; # генерим index.html для 
 > 195.24.141.104.html $BASEDIR/sort_index.pl < $BASEDIR/index >
 > $HTMLDIR/index.html # прибиваем ненужные файлы. /bin/rm -f
 > $BASEDIR/tcpd.out.zip $BASEDIR/*.dir
 
 И дальше в цикле ... А где ж тормоза то ощущаются ?
 
 > 
 >  a> Я правда не предполагал резолвить в протокол. В протоколе важно
 >  a> считать трафик.
 > Именно так и происходит. Этим занимается sort_by_peer для каждого обсчитанного
 > хоста в отдельности.
 
 Hу не совсем. Вы же резолвите весь трафик. Я же предлагаю резолвить
 только где-нибудь в sort_by_peer.cgi и только если за этой статистикой
 обратился клиент. Hо вам конечно, как я далее вижу, так не сделать, ибо
 вы еще и троянцев хотите ловить.
 
 >  a> А резолвить надо в запрошенный репорт, когда клиент
 >  a> буянит и от трафика отказывается.
 > Здесь не только в этом цель. Другой целью является обнаружение работы
 > троянцев.
 
 А как вы их детектируете по "tcpdump -q ..." ? Если по портам, то может
 "iptables -j LOG ..." будет проще и быстрее ?
 
 Bye.
 -- 
 Aleksey Barabanov <alekseybb@mtu-net.ru>
 --- ifmail v.2.15dev5
  * Origin: Office Intranet (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    network statistics   Dmitry Sergienko   01 Sep 2001 18:44:18   Re: network statistics   Roman Hlynovski   04 Sep 2001 09:48:37   Re: network statistics   Al Zaharov   07 Sep 2001 23:30:28   Re: network statistics   Roman Hlynovski   10 Sep 2001 14:07:49   Re: network statistics   Al Zaharov   11 Sep 2001 00:28:35   Re: network statistics   Roman Hlynovski   11 Sep 2001 12:33:00   Re: network statistics   Anton Alabushev   06 Sep 2001 10:35:00   Re: network statistics   Dmitry Sergienko   10 Sep 2001 17:44:04   Re: network statistics   Aleksey Barabanov   11 Sep 2001 11:15:42   Re: network statistics   Dmitry Sergienko   11 Sep 2001 10:08:46   Re: network statistics   Aleksey Barabanov   11 Sep 2001 18:00:02   Re: network statistics   Dmitry Sergienko   12 Sep 2001 08:50:10   Re: network statistics   Aleksey Barabanov   13 Sep 2001 00:04:10   Re: network statistics   Dmitry Sergienko   13 Sep 2001 13:21:34   Re: network statistics   Aleksey Barabanov   13 Sep 2001 19:18:28   Re: network statistics   Dmitry Sergienko   13 Sep 2001 18:57:04