Analyza poctu spojeni

Ivo Hazmuk ivo at vutbr.cz
Wed Dec 10 10:57:33 CET 2008


Ahoj vespolek,

Zbyněk Burget wrote:
> neresil nekdo z vas analyzu poctu vygenerovanych spojeni per IP v siti?
> Nejhezci by bylo to nejak vytahnout z natd - ten to ve syvch tabulkach 
> bude mit hezky vsechno poznaceno - a to jak pro TCP provoz, tak pro UDP. 
> Jde o to, nejakym zpusobem odchytit magora, ktery na bezdratove siti 
> pusti torrent snazici se otevrit stovky az tisice spojeni za sekundu. Az 
> jsem vyzkousel kde co, mam na svych AP (Mikrotik Routerboard) i nejake 
> automaty, ktere podezrelou stanici proste vykopnou ze site a podaji 
> zpravu o tom, co udelaly, ale nefunguje to spolehlive (obcas nevykopne, 
> obcas vykopne, koho nema) a zbytecne to zatezuje CPU v tom AP. Jediny 
> spolehlivy zpusob, jak takoveho klienta najit, stale zustava rucni 
> prace, kdy podle provozu na AP odhadnu, kdo by to tak mohl delat a pak 
> na routeru spustim trafshow (nastavba nad tcpdump), kde vidim, kolik 
> spojeni je od daneho klienta v danem okamziku navazano.

ja osobne bych na to zkusil pouzit netflow. Na vhodnem miste v siti bych 
sbiral flow a potom je zpracoval.

Podivej se na nfsen. nfcapd je kolektor, ktery data sbira a nfdump umi z 
netflow delat primo nejake zakladni statistiky. Takze neni problem najit 
IP adresu s abnormalne velkym poctem relaci.

Jedina drobna chybka je, ze to neni on the fly, ale se zpozdenim, ktere 
si vsak sam muzes zvolit.

Nebo si muzes napsat vlastni kolektor, ktery to bude delat za behu.

> Nevi nekdo o nejakem analyzeru provozu, ktery by tohle zvladnul? Pri 
> hledani (neceho uplne jineho) jsem objevil security/bro - ale po letmem 
> zacteni do jejich homesite jsem naznal, ze chodit na vrabce s 
> mezikontitentalni jadernou raketou nebude to nejrozumnejsi reseni.

Na svem barakovem smerovaci netflow data sbiram na vnitrnich rozhrani, 
abych mel data pred natem. A z toho uz pripadne zlobice umim vysapat.

	I.



More information about the Users-l mailing list