Перейти к содержимому
Калькуляторы

какой программой анализировать pcap файл (или пакеты с интерфейса) на предмет проблем работы tcp протокола?

ТСПУ может вмешиваться  в работу tcp протокола разным образом, возможно и не только ТСПУ может вмешиваться -  редкая потеря пакетов, некоректная работа линков агрегации (tcp out of order) и т.д.

 

Есть ли программа которая анализируетфайл  с захваченными ip/tcp (лучше в реале с интерфейса пакеты чтобы снимала)  которая выявит нарушения спецификации работы tcp протокола или выявит аномалии?

 

 

Чтобы программа присылала что то типа:

- такая то сторона (IP) не прислала пакет такой то - tcp сессия разорвалась,

- не пришел пакет  с флагом ACK на этапе 3 way tcp handshaking с IP ХХ

 

примеры проблем - тормоза youtube, не открываются сайты из за рубежа и т.д.

 

Можно настроить tcp в linux чтобы логировались такие ошибки ядром? 

Можно настроить tcp в linux чтобы логировались такие ошибки ядром с привязкой к tcp сессии? 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы будете завалены мусором вроде: 

 

Да, можно посадить человека разгребать, или даже так: 

 

ip.thumb.jpg.f8b93dec14736cfc297f28e010dc55fc.jpg

 

 

но обычно задачу сию сильно недооценивают...сколько я видел провальных внедрений IDS/IPS!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для каких-то простых случаев Wireshark сам пишет дополнительную информацию или позволяет собрать поток.

А в сложных случаях и человек сходу не разберется.

Так что такая программа (если она вообще существует) либо будет спамить кучей алармов (которые нужно будет изучать самому), либо будет срабатывать только на какие-то частные случаи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сборка счетчиков netstat стеком типа node exporter + prometheus + grafana

https://github.com/prometheus/node_exporter/blob/master/collector/netstat_linux.go

https://github.com/influxdata/telegraf/tree/master/plugins/inputs/nstat

если есть какие-либо скачки, то уже искать что-то в дампе за определенное время.

tshark консольный аналог wireshark есть вывод различных статистик, скармливать ему pcap-файлы, вывод куда-то логировать и что-то с ним делать.

Или использовать tshark для парсинга данных и отправку его в elasticsearch.

https://www.elastic.co/blog/analyzing-network-packets-with-wireshark-elasticsearch-and-kibana

Или ковырять стек Elasticsearch

https://www.elastic.co/guide/en/beats/packetbeat/current/packetbeat-overview.html

https://discuss.elastic.co/t/big-differences-between-tcpdump-and-packetbeat/126082

 

Скорее всего похожий функционал есть в каких-либо DPI, можно попробовать начать с Suricata
 

Я бы начал, если есть опыт с Kibana + elasticsearch, поробуйте в елк вгрузить дампы из tshark, и искать reordered и тп. Далее рисовать график с распределением адресов таких пакетов, это если есть уже мешок готовых дампов.

Либо сразу на хост подключенном к mirror-порту ставить packetbeat.

 

Изменено пользователем naves

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.