|
zmap
|
 |
« : 21 Сентября 2012, 08:49:02 » |
|
Есть такой вопрос. Как можно просмотреть в детализации трафика на какой внешний (белый) ip ходили серые ip и в какое время? Ну или может можно напрямую через БД вывести результат. Заранее спасибо!
|
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
 Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #1 : 21 Сентября 2012, 09:59:44 » |
|
ну какбы все remote ip за пределами твоей локальной сети будут внешние.
чем не устраивает существующая детальная статистика?
там же netflow логирует src & dst адреса
|
|
|
|
|
Записан
|
|
|
|
|
zmap
|
|
« Ответ #2 : 21 Сентября 2012, 10:23:55 » |
|
Ну к примеру приходит письмо от gorod.dp.ua что с вашего ip 99.99.99.99 была атака в 18:00 01.01.2002. И нужно дать ответ, а это шлюз через который ходят 3000 клиентов. Как найти по времени и внешнему сайту какой серый ip это сделал?
|
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #3 : 21 Сентября 2012, 10:39:24 » |
|
поднимать на nat сервере netflow сенсор.
и слушать внутренний интерфейс.
в зависимости от настроек и типа нетфлоу сенсора можно выбрать какую инфу отправлять на нетфлоу коллектор.
например в роли сенсора - Ipcad, в роли коллектора - flow-capture
но учти, нагрузка от 3000 абонентов будет такая, что мало не покажется.
каждый пакетик нужно залогировать и отпарсить.
|
|
|
|
|
Записан
|
|
|
|
|
zmap
|
|
« Ответ #4 : 21 Сентября 2012, 10:54:32 » |
|
ну вот сейчас работает детализация трафика и закидует в дополнительную базу. только сейчас что бы посмотреть в какое время на сайт конектился клиент то надо открывать каждого абонента и смотреть по времени кто куда ходил. я вот подумал можно же вытянуть инфу с базы и отфильтровать внешний Ip с датой и локальным ip.
|
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #5 : 21 Сентября 2012, 11:27:30 » |
|
z-таблицы содержат максимально детализированную статистику по ip, портам и протоколам для трафика каждого абонента для которого включена такая функция. Эти таблицы наиболее требовательны к ресурсам памяти т.к. хранят очень большое количество информации. Последнее является причиной почему таблицы с трафиком создаются персонально для каждого дня.
Структура:
mid - id клиента (см. таблицу users);
time - время среза статистики в формате:
timestamp минус timestamp начала суток;
bytes - трафик, байт;
direction - направление, 0 - от клиента, 1 - к клиенту;
ip - ip удаленной стороны, упакованный в 4 байта;
port - порт удаленной стороны;
proto - номер протокола.
Время среза статистики для уменьшения объема таблицы предоставлено в сокращенном виде. Как известно, timestamp сообщает о количестве секунд, прошедших с начала 1970 года. В нашем случае за начало принимается 0 часов 0 минут тех суток, на которые предоставлена информация. Таким образом, если значение time = 10 в таблице z2008x3x8, то оно будет указывать на срез 10 секунд 8 марта 2008 года.
|
|
|
|
|
Записан
|
|
|
|
|
zmap
|
|
« Ответ #6 : 21 Сентября 2012, 11:48:11 » |
|
Спасибо буду разбираться.
|
|
|
|
|
Записан
|
|
|
|
|
zmap
|
|
« Ответ #7 : 21 Сентября 2012, 14:55:06 » |
|
все разобрался спасибо!  |
|
|
|
« Последнее редактирование: 21 Сентября 2012, 14:58:34 от zmap »
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #8 : 21 Сентября 2012, 15:31:43 » |
|
пожалуйста
|
|
|
|
|
Записан
|
|
|
|
|
zmap
|
|
« Ответ #9 : 28 Сентября 2012, 15:04:34 » |
|
Я извиняюсь за вопрос. а как перегнать к примеру 96211953 в нормальное 91.193.63.1 ? (в десятичное та перегнать просто если знаешь какой Ip искать, а вот к примеру какие Ip на порт 25 ходили)
|
|
|
|
|
Записан
|
|
|
|
|
zmap
|
|
« Ответ #10 : 28 Сентября 2012, 15:42:40 » |
|
Сообщение можно удалить. workhack.ru/ blog/ poligon/ 44.html
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #11 : 28 Сентября 2012, 15:47:21 » |
|
mysql> SELECT INET_NTOA(96211953);
|
|
|
|
|
Записан
|
|
|
|
|
