Сбор трафика пользователя.

[Ытя]

Привет всем. Вопрос, как можно собрать трафик пользователя, проходящий через PC-роутер. Именно тот трафик, который отображается в nettop и в tcpdump при детальном рассмотрении содержимого пакета. Подскажите софт, которому можно задать конкретный ip для сбора инфы.
Заранее благодарен.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

а чём не нравится идея юзать тот же tcpdump?

[ытя]

а чём не нравится идея юзать тот же tcpdump?

А он в файл может дампить? О_о

[vadim64]

Код: Выделить всё

tcpdump -w /some_dir/some_file

[Ытя]

Код: Выделить всё

tcpdump -w /some_dir/some_file

Пример интересен, а есть ли еще способ?

[vadim64]

а какие критерии для выбора способа?

[Ытя]

а какие критерии для выбора способа?

1. IP явно указанный.
2. фасовка по файлам. (по промежутку времени - грубо за каждые 15 минут, по размеру - не больше 10 мб, склейка пакетов до полного файла [пакеты картинки выстраиваются до картинки] - вообще шоколадно). если текст, то чтобы просто валился в кучу.

Вот, как бы минимум. По первому пункту, я так думаю, проблем нет, а вот по 2му - уже проблемы.

[Gamerman]

С такими критериями нужно самому софт писать

[Ытя]

С такими критериями нужно самому софт писать

Вот по-этому я и спросил есть ли такое.

[ev]

такого софта не видел в открытом доступе, пишется обычно на заказ и не дешево
плюс многое зависит от цели - это просто архив посмотреть или нужна еще аналитика (еще не встречал чтобы аналитика не нужна была)

[homoadminus]

аффтар, а вам зачем такое?

[Ытя]

такого софта не видел в открытом доступе, пишется обычно на заказ и не дешево
плюс многое зависит от цели - это просто архив посмотреть или нужна еще аналитика (еще не встречал чтобы аналитика не нужна была)

Из подобного ПАК знаю только СОРМ, но его не каждому продадут, да, и стоит оно не дешево.

аффтар, а вам зачем такое?

Это самый хороший способ узнать куда ходит твоя девушка.

[ev]

Из подобного ПАК знаю только СОРМ

сорм давно не видел, но тот что видел был совсем отстойным в плане функционала и возможностей... хотя сейчас уже новые версии есть

да, и стоит оно не дешево

товар то штучный

[vadim64]

кто вам мешает стартовать tcpdump rc скриптом с параметрами логирования и переодически ротейтить его вывод? а потом смотреть через wireshark?

[ev]

думаю ответ очевиден
1. лень выполнять постоянно нудную работу
2. низкий кпд
3. информации слишком много и можно упустить важное

[vadim64]

ха!
1. это какую?
2. по сравнению с чем?
3. много - не мало, ёпть

[ev]

ха!
1. это какую?
2. по сравнению с чем?
3. много - не мало, ёпть

вот попробуй позаниматься этим месяц постоянно - сразу поймешь не зря люди платят большие деньги за подобные системы

p.s. и зачем людям системы мониторинга? ведь можно и самому по серверам ходить и все смотреть )

[vadim64]

Привет всем. Вопрос, как можно собрать трафик пользователя, проходящий через PC-роутер. Именно тот трафик, который отображается в nettop и в tcpdump при детальном рассмотрении содержимого пакета. Подскажите софт, которому можно задать конкретный ip для сбора инфы.
Заранее благодарен.

а кто тут говорил про мониторинг серверов? помоему вполне чётко вопрос поставлен

[ev]

а кто тут говорил про мониторинг серверов?

систему мониторинга я привел в качестве аналогии
там и там можно делать все и без этих систем, но никто в здравом уме этого делать не будет

[vadim64]

аналогия не уместна была, вам не кажется? между мониторингом одного пользователя и одного сервера есть некоторая разница, не говоря уже о разнице мониторинга нескольких серверов в сравнении с мониторингом нескольких пользователей. или я не прав?

[Ытя]

На самом деле, вся проблема только в анализе полученной инфы. Определить начало/конец файла и т.п. не так-то и легко.

[vadim64]

если речь идёт исключительно о вэб-трафике, имеет смысл задуматься о прозрачном проксировании.
и обрисуйте подробнее топологию, какие узлы и системы есть в распоряжении

[Ытя]

и обрисуйте подробнее топологию, какие узлы и системы есть в распоряжении

сервер доступа mpd5,работает по pf-nat. Топология - звезда. Промежуточные узлы - свитчи и один роутер(с них можно только flow собрать, но оно не интересно в данном случае). интересует сбор трафика с натируемых ифейсов.

[ev]

аналогия не уместна была, вам не кажется?

вполне уместна
не все сталкивались с задачей мониторинга трафика, но большинство сталкивались с задачей мониторинга серверов

между мониторингом одного пользователя и одного сервера есть некоторая разница, не говоря уже о разнице мониторинга нескольких серверов в сравнении с мониторингом нескольких пользователей. или я не прав?

конечно разница есть - задачи то разные
поэтому это и называется "аналогия"

[vadim64]

и обрисуйте подробнее топологию, какие узлы и системы есть в распоряжении

сервер доступа mpd5,работает по pf-nat. Топология - звезда. Промежуточные узлы - свитчи и один роутер(с них можно только flow собрать, но оно не интересно в данном случае). интересует сбор трафика с натируемых ифейсов.

если вам очень нужно мониторить пофайлово www-трафик пользователя/пользователей, воткните на сервер самс и сквид с прозрачным проксированием, а в фаерволл соответствующее правило пересылки www-трафика на сквид. немного костыльно, но решит задачу.

to ev: Вам не кажется что вы тролите? разговор по теме идёт своим чередом, а мой разговор с вами вообще какой то бессмысленный. я не понимаю в чём вы меня хотите убедить, но если вы считаете что это что то важно - напишите свои тезисы мне в личку