Analyza poctu spojeni

Zbyněk Burget zburget at burgnet.cz
Wed Dec 10 10:46:50 CET 2008


Zdravim dotretice,

neresil nekdo z vas analyzu poctu vygenerovanych spojeni per IP v siti?
Nejhezci by bylo to nejak vytahnout z natd - ten to ve syvch tabulkach 
bude mit hezky vsechno poznaceno - a to jak pro TCP provoz, tak pro UDP. 
Jde o to, nejakym zpusobem odchytit magora, ktery na bezdratove siti 
pusti torrent snazici se otevrit stovky az tisice spojeni za sekundu. Az 
jsem vyzkousel kde co, mam na svych AP (Mikrotik Routerboard) i nejake 
automaty, ktere podezrelou stanici proste vykopnou ze site a podaji 
zpravu o tom, co udelaly, ale nefunguje to spolehlive (obcas nevykopne, 
obcas vykopne, koho nema) a zbytecne to zatezuje CPU v tom AP. Jediny 
spolehlivy zpusob, jak takoveho klienta najit, stale zustava rucni 
prace, kdy podle provozu na AP odhadnu, kdo by to tak mohl delat a pak 
na routeru spustim trafshow (nastavba nad tcpdump), kde vidim, kolik 
spojeni je od daneho klienta v danem okamziku navazano.

Je zde nekdo, kdo dany problem uz nejak resil? Pokud ano, jak?
Ja nejaka realna sance z natd vyrazit informaci o poctu zaznamu v jeho 
tabulce pro konkretni IP?
Nevi nekdo o nejakem analyzeru provozu, ktery by tohle zvladnul? Pri 
hledani (neceho uplne jineho) jsem objevil security/bro - ale po letmem 
zacteni do jejich homesite jsem naznal, ze chodit na vrabce s 
mezikontitentalni jadernou raketou nebude to nejrozumnejsi reseni.

Zbynek



More information about the Users-l mailing list