|
Название: Детализация трафика Отправлено: zmap от 21 Сентября 2012, 08:49:02 Есть такой вопрос. Как можно просмотреть в детализации трафика на какой внешний (белый) ip ходили серые ip и в какое время? Ну или может можно напрямую через БД вывести результат. Заранее спасибо!
Название: Re: Детализация трафика Отправлено: stix от 21 Сентября 2012, 09:59:44 ну какбы все remote ip за пределами твоей локальной сети будут внешние.
чем не устраивает существующая детальная статистика? там же netflow логирует src & dst адреса Название: Re: Детализация трафика Отправлено: zmap от 21 Сентября 2012, 10:23:55 Ну к примеру приходит письмо от gorod.dp.ua что с вашего ip 99.99.99.99 была атака в 18:00 01.01.2002. И нужно дать ответ, а это шлюз через который ходят 3000 клиентов. Как найти по времени и внешнему сайту какой серый ip это сделал?
Название: Re: Детализация трафика Отправлено: stix от 21 Сентября 2012, 10:39:24 поднимать на nat сервере netflow сенсор.
и слушать внутренний интерфейс. в зависимости от настроек и типа нетфлоу сенсора можно выбрать какую инфу отправлять на нетфлоу коллектор. например в роли сенсора - Ipcad, в роли коллектора - flow-capture но учти, нагрузка от 3000 абонентов будет такая, что мало не покажется. каждый пакетик нужно залогировать и отпарсить. Название: Re: Детализация трафика Отправлено: zmap от 21 Сентября 2012, 10:54:32 ну вот сейчас работает детализация трафика и закидует в дополнительную базу. только сейчас что бы посмотреть в какое время на сайт конектился клиент то надо открывать каждого абонента и смотреть по времени кто куда ходил. я вот подумал можно же вытянуть инфу с базы и отфильтровать внешний Ip с датой и локальным ip.
Название: Re: Детализация трафика Отправлено: stix от 21 Сентября 2012, 11:27:30 z-таблицы содержат максимально детализированную статистику по ip, портам и протоколам для трафика каждого абонента для которого включена такая функция. Эти таблицы наиболее требовательны к ресурсам памяти т.к. хранят очень большое количество информации. Последнее является причиной почему таблицы с трафиком создаются персонально для каждого дня.
Структура: mid - id клиента (см. таблицу users); time - время среза статистики в формате: timestamp минус timestamp начала суток; bytes - трафик, байт; direction - направление, 0 - от клиента, 1 - к клиенту; ip - ip удаленной стороны, упакованный в 4 байта; port - порт удаленной стороны; proto - номер протокола. Время среза статистики для уменьшения объема таблицы предоставлено в сокращенном виде. Как известно, timestamp сообщает о количестве секунд, прошедших с начала 1970 года. В нашем случае за начало принимается 0 часов 0 минут тех суток, на которые предоставлена информация. Таким образом, если значение time = 10 в таблице z2008x3x8, то оно будет указывать на срез 10 секунд 8 марта 2008 года. Название: Re: Детализация трафика Отправлено: zmap от 21 Сентября 2012, 11:48:11 Спасибо буду разбираться.
Название: Re: Детализация трафика Отправлено: zmap от 21 Сентября 2012, 14:55:06 все разобрался спасибо! :D
Название: Re: Детализация трафика Отправлено: stix от 21 Сентября 2012, 15:31:43 пожалуйста
Название: Re: Детализация трафика Отправлено: zmap от 28 Сентября 2012, 15:04:34 Я извиняюсь за вопрос. а как перегнать к примеру 96211953 в нормальное 91.193.63.1 ? (в десятичное та перегнать просто если знаешь какой Ip искать, а вот к примеру какие Ip на порт 25 ходили)
Название: Re: Детализация трафика Отправлено: zmap от 28 Сентября 2012, 15:42:40 Сообщение можно удалить. workhack.ru/ blog/ poligon/ 44.html
Название: Re: Детализация трафика Отправлено: Efendy от 28 Сентября 2012, 15:47:21 mysql> SELECT INET_NTOA(96211953);
|