Аналог duration (NetFlow) механизмом pcap

0

1

Нужен алгоритм(-ы)(выборка по sequence, по номеру порта src и dst и тд и т.п) по которому с помощью pcap фильтров(код будет на С) можно определять :

1) Продолжительность сессии (аналог duration в Nfsen и start time в самом netflow)
2) Bytes per packet(среднее я буду уже сам считать)
3) Обьем инфы переданной в сессии.

2 и 3 опциональны.
По сути нужен функционал Wiresharkовского Follow TCP(SSL) stream

Ссылка

←	Ошибка Loaded plugins: fastestmirror при обновлении репозиториев Cent.OS

Apache+Ssl

→

Это для каких-то своих целей ? Готовый ipt_NETFLOW не подойдёт ?

AS ★★★★★
(19.05.11 14:31:56 MSK)

Ответ на: комментарий от AS 19.05.11 14:31:56 MSK

>Это для каких-то своих целей ? Готовый ipt_NETFLOW не подойдёт ?

Дело в том что Netflow(по крайней мере в циске) посылает отчет о сессии(флоу) когда она уже закрыта.Но можно настроить(чтобы по истечение) какого то времени(у нас 4 минуты) оно считало флоу закончившимся и отсылало нам об нем инфу(метод очень костыльный но на 7200 у нас просто другого варианта не было(6к у нас нету) )

Так,что надо писать свое чтобы он в реалтайме вылавливало качающих клиентов и их сессии циске в специальный access-list передовала(там уже циск им траф режет)

pinachet ★★★★★
(19.05.11 15:18:49 MSK) автор топика

/me нагуглил libtrace

Deleted
(19.05.11 15:21:28 MSK)

Ссылка

Ответ на: комментарий от pinachet 19.05.11 15:18:49 MSK

Так,что надо писать свое чтобы он в реалтайме вылавливало качающих клиентов и их сессии циске в специальный access-list передовала(там уже циск им траф режет)

А какой объём трафика? А то при большой нагрузке pcap может начать пропускать пакеты.

Deleted
(19.05.11 15:22:03 MSK)

Ответ на: комментарий от Deleted 19.05.11 15:22:03 MSK

>А какой объём трафика? А то при большой нагрузке pcap может начать пропускать пакеты.

Сейчас порядка 150 мбит/c

/me нагуглил libtrace

Я тока strace связанное могу найти

pinachet ★★★★★
(19.05.11 15:31:10 MSK) автор топика

Ответ на: комментарий от pinachet 19.05.11 15:31:10 MSK

http://research.wand.net.nz/software/libtrace.php - первая ссылка в гугле.

Deleted
(19.05.11 15:33:39 MSK)

Ответ на: комментарий от Deleted 19.05.11 15:33:39 MSK

>первая ссылка в гугле.

Я юзаю duckduckgo .Хотя я его наверное пропустил.

Насколько я0 понял на первый беглый взгляд это все читает из готового файла pcap, то есть это по сути пост анализинг(в принципе парсить pcap я могу и сам средствами perl )
Или я не прав?(просто инфы тут много и она очень разбросанна) - так что бейте не сильно ;)

pinachet ★★★★★
(19.05.11 15:46:54 MSK) автор топика

Ответ на: комментарий от pinachet 19.05.11 15:46:54 MSK

It supports multiple input methods, including device capture, raw and gz-compressed trace, and sockets; and mulitple input formats, including pcap and DAG.

P.S. Я эту библиотеку не пробовал, просто нагуглил.

Deleted
(19.05.11 15:48:06 MSK)

Ответ на: комментарий от Deleted 19.05.11 15:48:06 MSK

>P.S. Я эту библиотеку не пробовал, просто нагуглил.

Ты и мне тоже нагуглил ;)

По алгоритму(он правдо страшно как мне кажется кривоват и не оптимален,но для начала думаю сойдет)

Смотрим поток на такой «шаблон» source_ip:src_port и destination_ip:dst_port .Подпавшиеся под это считать уникальными флоу.Далее смотреть в таблицу открытых коннектов и если флоу там нету то добавлять,иначе в существующию увеличить время, количество байт + пересчитать bytes per packet.
Ну и раз в 30 секунд если флоу не пополняеться считать его мертвым и писать в какой нить файл.

pinachet ★★★★★
(19.05.11 16:17:31 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Ошибка Loaded plugins: fastestmirror при обновлении репозиториев Cent.OS

Admin

Apache+Ssl

→

Похожие темы