QWE Опубликовано 22 ноября, 2024 ТСПУ может вмешиваться в работу tcp протокола разным образом, возможно и не только ТСПУ может вмешиваться - редкая потеря пакетов, некоректная работа линков агрегации (tcp out of order) и т.д. Есть ли программа которая анализируетфайл с захваченными ip/tcp (лучше в реале с интерфейса пакеты чтобы снимала) которая выявит нарушения спецификации работы tcp протокола или выявит аномалии? Чтобы программа присылала что то типа: - такая то сторона (IP) не прислала пакет такой то - tcp сессия разорвалась, - не пришел пакет с флагом ACK на этапе 3 way tcp handshaking с IP ХХ примеры проблем - тормоза youtube, не открываются сайты из за рубежа и т.д. Можно настроить tcp в linux чтобы логировались такие ошибки ядром? Можно настроить tcp в linux чтобы логировались такие ошибки ядром с привязкой к tcp сессии? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 22 ноября, 2024 Вы будете завалены мусором вроде: Да, можно посадить человека разгребать, или даже так: но обычно задачу сию сильно недооценивают...сколько я видел провальных внедрений IDS/IPS! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 ноября, 2024 Для каких-то простых случаев Wireshark сам пишет дополнительную информацию или позволяет собрать поток. А в сложных случаях и человек сходу не разберется. Так что такая программа (если она вообще существует) либо будет спамить кучей алармов (которые нужно будет изучать самому), либо будет срабатывать только на какие-то частные случаи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
naves Опубликовано 22 ноября, 2024 (изменено) сборка счетчиков netstat стеком типа node exporter + prometheus + grafana https://github.com/prometheus/node_exporter/blob/master/collector/netstat_linux.go https://github.com/influxdata/telegraf/tree/master/plugins/inputs/nstat если есть какие-либо скачки, то уже искать что-то в дампе за определенное время. tshark консольный аналог wireshark есть вывод различных статистик, скармливать ему pcap-файлы, вывод куда-то логировать и что-то с ним делать. Или использовать tshark для парсинга данных и отправку его в elasticsearch. https://www.elastic.co/blog/analyzing-network-packets-with-wireshark-elasticsearch-and-kibana Или ковырять стек Elasticsearch https://www.elastic.co/guide/en/beats/packetbeat/current/packetbeat-overview.html https://discuss.elastic.co/t/big-differences-between-tcpdump-and-packetbeat/126082 Скорее всего похожий функционал есть в каких-либо DPI, можно попробовать начать с Suricata Я бы начал, если есть опыт с Kibana + elasticsearch, поробуйте в елк вгрузить дампы из tshark, и искать reordered и тп. Далее рисовать график с распределением адресов таких пакетов, это если есть уже мешок готовых дампов. Либо сразу на хост подключенном к mirror-порту ставить packetbeat. Изменено 22 ноября, 2024 пользователем naves Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...