[QWE]

ТСПУ может вмешиваться  в работу tcp протокола разным образом, возможно и не только ТСПУ может вмешиваться -  редкая потеря пакетов, некоректная работа линков агрегации (tcp out of order) и т.д.

 

Есть ли программа которая анализируетфайл  с захваченными ip/tcp (лучше в реале с интерфейса пакеты чтобы снимала)  которая выявит нарушения спецификации работы tcp протокола или выявит аномалии?

 

 

Чтобы программа присылала что то типа:

- такая то сторона (IP) не прислала пакет такой то - tcp сессия разорвалась,

- не пришел пакет  с флагом ACK на этапе 3 way tcp handshaking с IP ХХ

 

примеры проблем - тормоза youtube, не открываются сайты из за рубежа и т.д.

 

Можно настроить tcp в linux чтобы логировались такие ошибки ядром? 

Можно настроить tcp в linux чтобы логировались такие ошибки ядром с привязкой к tcp сессии? 

 

[jffulcrum]

Вы будете завалены мусором вроде: 

 

Да, можно посадить человека разгребать, или даже так: 

 

 

 

но обычно задачу сию сильно недооценивают...сколько я видел провальных внедрений IDS/IPS!

 

[alibek]

Для каких-то простых случаев Wireshark сам пишет дополнительную информацию или позволяет собрать поток.

А в сложных случаях и человек сходу не разберется.

Так что такая программа (если она вообще существует) либо будет спамить кучей алармов (которые нужно будет изучать самому), либо будет срабатывать только на какие-то частные случаи.

[naves]

сборка счетчиков netstat стеком типа node exporter + prometheus + grafana

https://github.com/prometheus/node_exporter/blob/master/collector/netstat_linux.go

https://github.com/influxdata/telegraf/tree/master/plugins/inputs/nstat

если есть какие-либо скачки, то уже искать что-то в дампе за определенное время.

tshark консольный аналог wireshark есть вывод различных статистик, скармливать ему pcap-файлы, вывод куда-то логировать и что-то с ним делать.

Или использовать tshark для парсинга данных и отправку его в elasticsearch.

https://www.elastic.co/blog/analyzing-network-packets-with-wireshark-elasticsearch-and-kibana

Или ковырять стек Elasticsearch

https://www.elastic.co/guide/en/beats/packetbeat/current/packetbeat-overview.html

https://discuss.elastic.co/t/big-differences-between-tcpdump-and-packetbeat/126082

 

Скорее всего похожий функционал есть в каких-либо DPI, можно попробовать начать с Suricata
 

Я бы начал, если есть опыт с Kibana + elasticsearch, поробуйте в елк вгрузить дампы из tshark, и искать reordered и тп. Далее рисовать график с распределением адресов таких пакетов, это если есть уже мешок готовых дампов.

Либо сразу на хост подключенном к mirror-порту ставить packetbeat.

 

Изменено 22 ноября, 2024 пользователем naves