Jump to content
Калькуляторы

какой программой анализировать pcap файл (или пакеты с интерфейса) на предмет проблем работы tcp протокола?

QWE   

QWE
Posted

ТСПУ может вмешиваться  в работу tcp протокола разным образом, возможно и не только ТСПУ может вмешиваться -  редкая потеря пакетов, некоректная работа линков агрегации (tcp out of order) и т.д.

 

Есть ли программа которая анализируетфайл  с захваченными ip/tcp (лучше в реале с интерфейса пакеты чтобы снимала)  которая выявит нарушения спецификации работы tcp протокола или выявит аномалии?

 

 

Чтобы программа присылала что то типа:

- такая то сторона (IP) не прислала пакет такой то - tcp сессия разорвалась,

- не пришел пакет  с флагом ACK на этапе 3 way tcp handshaking с IP ХХ

 

примеры проблем - тормоза youtube, не открываются сайты из за рубежа и т.д.

 

Можно настроить tcp в linux чтобы логировались такие ошибки ядром? 

Можно настроить tcp в linux чтобы логировались такие ошибки ядром с привязкой к tcp сессии? 

 

Share this post

Link to post
Share on other sites

jffulcrum   

jffulcrum
Posted

Вы будете завалены мусором вроде: 

 

Да, можно посадить человека разгребать, или даже так: 

 

ip.thumb.jpg.f8b93dec14736cfc297f28e010dc55fc.jpg

 

 

но обычно задачу сию сильно недооценивают...сколько я видел провальных внедрений IDS/IPS!

 

Share this post

Link to post
Share on other sites

alibek   

alibek
Posted

Для каких-то простых случаев Wireshark сам пишет дополнительную информацию или позволяет собрать поток.

А в сложных случаях и человек сходу не разберется.

Так что такая программа (если она вообще существует) либо будет спамить кучей алармов (которые нужно будет изучать самому), либо будет срабатывать только на какие-то частные случаи.

Share this post

Link to post
Share on other sites

naves   

naves
Posted (edited)

сборка счетчиков netstat стеком типа node exporter + prometheus + grafana

https://github.com/prometheus/node_exporter/blob/master/collector/netstat_linux.go

https://github.com/influxdata/telegraf/tree/master/plugins/inputs/nstat

если есть какие-либо скачки, то уже искать что-то в дампе за определенное время.

tshark консольный аналог wireshark есть вывод различных статистик, скармливать ему pcap-файлы, вывод куда-то логировать и что-то с ним делать.

Или использовать tshark для парсинга данных и отправку его в elasticsearch.

https://www.elastic.co/blog/analyzing-network-packets-with-wireshark-elasticsearch-and-kibana

Или ковырять стек Elasticsearch

https://www.elastic.co/guide/en/beats/packetbeat/current/packetbeat-overview.html

https://discuss.elastic.co/t/big-differences-between-tcpdump-and-packetbeat/126082

 

Скорее всего похожий функционал есть в каких-либо DPI, можно попробовать начать с Suricata
 

Я бы начал, если есть опыт с Kibana + elasticsearch, поробуйте в елк вгрузить дампы из tshark, и искать reordered и тп. Далее рисовать график с распределением адресов таких пакетов, это если есть уже мешок готовых дампов.

Либо сразу на хост подключенном к mirror-порту ставить packetbeat.

 

Edited by naves

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Go to topic listing Программное обеспечение, биллинг и *unix системы