Jump to content

Умный снифер седьмого уровня

vladd
 Share

Recommended Posts

vladd

vladd

Posted
Posted

Всем привет!

 

Давно ищу софтину, которая бы слушала сетевой интерфейс, анализировала бы заголовки пакетов и сохраняла бы подробную статистику о трафике всех пользователей сети в свою базу. Чтобы в любое время, задав нужный временной интервал (например, вчера с 19:00 до 21:00) и IP клиента, можно было бы получить подробный отчет, куда этот самый клиент лазил и что качал:

 

- Список URL-ов, куда он выходил, аля access_log, с указанием объема каждого полученного файла.

- Список отправленных по SMTP и полученных по POP3/IMAP писем с адресами получателей и их объемами.

- Список скачанных по FTP файлов с указанием адресов и объемов.

- Список скачанных файлов в файлообменных сетях с указанием их названий и объемов.

- И тд, и тп..

 

Еще желательно, чтобы эта софтина не привязывалась бы к конкретным портам, а основывалась бы только на содержимом самих пакетов. Например, HTTP-трафик может быть и на порту 8088, и еще где угодно.

 

Бывает ли такое? Все какие-то недоделки попадаются, из которых даже с помощью целого набора напильников нельзя соорудить требуемый функционал.

vladd

vladd

Posted
  • Author
Posted

Просто достали клиенты, требующие предоставить им полностью детализацию и объяснить, куда у них уходит трафик. Просто список IP-адресов не канает, т.к. они в этом ничего не понимают, и требуют нанять им спеца для расшифровки. Клиенты серьезные, просто так не пошлешь. И просто как доп. услуга такая деталировка весьма востребована.

 

Помнится, когда-то кто-то предлагал коммерческое решение подобное этому. Только вспомнить не могу никак, что за контора..

 

Забыл дешифровку зашифрованного траффика.
Для этого просто сгодится пункт "зашифрованный трафик, HTTPS".

 

Как правило, преобладать в такой деталировке будут вирусы и входящий спам, а они не шифруются. Этого вполне достаточно для того, чтобы объяснить клиенту, что он не прав и сам скачал свой трафик.

Magnum72

Magnum72

Posted
Posted
Просто достали клиенты, требующие предоставить им полностью детализацию и объяснить, куда у них уходит трафик. Просто список IP-адресов не канает, т.к. они в этом ничего не понимают, и требуют нанять им спеца для расшифровки. Клиенты серьезные, просто так не пошлешь. И просто как доп. услуга такая деталировка весьма востребована.

 

Помнится, когда-то кто-то предлагал коммерческое решение подобное этому. Только вспомнить не могу никак, что за контора..

 

Забыл дешифровку зашифрованного траффика.
Для этого просто сгодится пункт "зашифрованный трафик, HTTPS".

 

Как правило, преобладать в такой деталировке будут вирусы и входящий спам, а они не шифруются. Этого вполне достаточно для того, чтобы объяснить клиенту, что он не прав и сам скачал свой трафик.

Единственное коммерчески приемлемое решение это анлимный тарифный план.

user_anonymous

user_anonymous

Posted
Posted

все пустить через сквид и давать отчет по УРЛ-ам на основе его статистики, предварительно объяснив клиентам, что статистика сквида - это лишь часть реального трафика.

YuryD

YuryD

Posted
Posted

Покажите им tmeter.ru бесплатный. пусть сами в своем траффике копаются...Особенно подходит для контор за NAT

vladd

vladd

Posted
  • Author
Posted
Есть netams, он может урлы протоколировать http://www.netams.com/doc/kb_url.html

 

Либо, если уж надо протоколировать все, tcpdump > file, а потом grep :)

В том то и дело что урлы не катят, нужно все. Поэтому и squid тоже не подходит. А tcpdump при трафике в несколько терабайт - как-то слишком жирно получается :)

 

Еще видел некий WireShark - вроде в описании то, что надо, а посмотрел - совсем не то. Подойдет ли он для поставленной задачи?

 

puh

puh

Posted
Posted

WireShark - это сниффер. считай, что тот же tcpdump, только с декодером пакетов.

не пойдёт.

slammer

slammer

Posted
Posted

Лет 5 назад развлекался с софтинкой GiveMeToo.

Письма по POP&IMAP, сообщения мессенджеров, файлы по ftp, smb, http-страницы - все это сохраняла полностью, в каталоги с именами в виде IP-адресов.

 

Под виндой.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.