Биллинговая система Nodeny
23 Ноября 2024, 15:14:20 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]
  Печать  
Автор Тема: Детализация трафика  (Прочитано 8554 раз)
zmap
Пользователь
**

Карма: 0
Offline Offline

Сообщений: 14


Просмотр профиля Email
« : 21 Сентября 2012, 08:49:02 »

Есть такой вопрос. Как можно просмотреть в детализации трафика на какой внешний (белый) ip ходили серые ip и в какое время? Ну или может можно напрямую через БД вывести результат. Заранее спасибо!
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #1 : 21 Сентября 2012, 09:59:44 »

ну какбы все remote ip за пределами твоей локальной сети будут внешние.

чем не устраивает существующая детальная статистика?
там же netflow логирует src & dst адреса
Записан
zmap
Пользователь
**

Карма: 0
Offline Offline

Сообщений: 14


Просмотр профиля Email
« Ответ #2 : 21 Сентября 2012, 10:23:55 »

Ну к примеру приходит письмо от gorod.dp.ua что с вашего ip 99.99.99.99 была атака в 18:00 01.01.2002. И нужно дать ответ, а это шлюз через который ходят 3000 клиентов. Как найти по времени и внешнему сайту какой серый ip это сделал?
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #3 : 21 Сентября 2012, 10:39:24 »

поднимать на nat сервере netflow сенсор.
и слушать внутренний интерфейс.
в зависимости от настроек и типа нетфлоу сенсора можно выбрать какую инфу отправлять на нетфлоу коллектор.

например в роли сенсора - Ipcad, в роли коллектора - flow-capture
но учти, нагрузка от 3000 абонентов будет такая, что мало не покажется.
каждый пакетик нужно залогировать и отпарсить.
Записан
zmap
Пользователь
**

Карма: 0
Offline Offline

Сообщений: 14


Просмотр профиля Email
« Ответ #4 : 21 Сентября 2012, 10:54:32 »

ну вот сейчас работает детализация трафика и закидует в дополнительную базу. только сейчас что бы посмотреть в какое время на сайт конектился клиент то надо открывать каждого абонента и смотреть по времени кто куда ходил. я  вот подумал можно же вытянуть инфу с базы и отфильтровать внешний Ip с датой и локальным ip.
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #5 : 21 Сентября 2012, 11:27:30 »

 z-таблицы содержат максимально детализированную статистику по ip, портам и протоколам для трафика каждого абонента для которого включена такая функция. Эти таблицы наиболее требовательны к ресурсам памяти т.к. хранят очень большое количество информации. Последнее является причиной почему таблицы с трафиком создаются персонально для каждого дня.

Структура:

 mid      - id клиента (см. таблицу users);
 time      - время среза статистики в формате:
        timestamp минус timestamp начала суток;
 bytes      - трафик, байт;
 direction   - направление, 0 - от клиента, 1 - к клиенту;
 ip      - ip удаленной стороны, упакованный в 4 байта;
 port      - порт удаленной стороны;
 proto      - номер протокола.

Время среза статистики для уменьшения объема таблицы предоставлено в сокращенном виде. Как известно, timestamp сообщает о количестве секунд, прошедших с начала 1970 года. В нашем случае за начало принимается 0 часов 0 минут тех суток, на которые предоставлена информация. Таким образом, если значение time = 10 в таблице z2008x3x8, то оно будет указывать на срез 10 секунд 8 марта 2008 года.
Записан
zmap
Пользователь
**

Карма: 0
Offline Offline

Сообщений: 14


Просмотр профиля Email
« Ответ #6 : 21 Сентября 2012, 11:48:11 »

Спасибо буду разбираться.
Записан
zmap
Пользователь
**

Карма: 0
Offline Offline

Сообщений: 14


Просмотр профиля Email
« Ответ #7 : 21 Сентября 2012, 14:55:06 »

все разобрался спасибо!  Веселый
« Последнее редактирование: 21 Сентября 2012, 14:58:34 от zmap » Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #8 : 21 Сентября 2012, 15:31:43 »

пожалуйста
Записан
zmap
Пользователь
**

Карма: 0
Offline Offline

Сообщений: 14


Просмотр профиля Email
« Ответ #9 : 28 Сентября 2012, 15:04:34 »

Я извиняюсь за вопрос. а  как перегнать к примеру 96211953 в нормальное 91.193.63.1 ? (в десятичное та перегнать просто если знаешь какой Ip искать, а вот к примеру какие Ip на порт 25 ходили)
Записан
zmap
Пользователь
**

Карма: 0
Offline Offline

Сообщений: 14


Просмотр профиля Email
« Ответ #10 : 28 Сентября 2012, 15:42:40 »

Сообщение можно удалить. workhack.ru/ blog/ poligon/ 44.html
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #11 : 28 Сентября 2012, 15:47:21 »

mysql> SELECT INET_NTOA(96211953);
Записан
Страниц: [1]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!