forum.lissyara.su

Привет всем. Вопрос, как можно собрать трафик пользователя, проходящий через PC-роутер. Именно тот трафик, который отображается в nettop и в tcpdump при детальном рассмотрении содержимого пакета. Подскажите софт, которому можно задать конкретный ip для сбора инфы.
Заранее благодарен.

а чём не нравится идея юзать тот же tcpdump?

vadim64 писал(а):а чём не нравится идея юзать тот же tcpdump?

А он в файл может дампить? О_о

vadim64 писал(а):

Код: Выделить всё

tcpdump -w /some_dir/some_file

Пример интересен, а есть ли еще способ?

а какие критерии для выбора способа?

vadim64 писал(а):а какие критерии для выбора способа?

1. IP явно указанный.
2. фасовка по файлам. (по промежутку времени - грубо за каждые 15 минут, по размеру - не больше 10 мб, склейка пакетов до полного файла [пакеты картинки выстраиваются до картинки] - вообще шоколадно). если текст, то чтобы просто валился в кучу.

Вот, как бы минимум. По первому пункту, я так думаю, проблем нет, а вот по 2му - уже проблемы.

С такими критериями нужно самому софт писать

Gamerman писал(а):С такими критериями нужно самому софт писать

Вот по-этому я и спросил есть ли такое.

такого софта не видел в открытом доступе, пишется обычно на заказ и не дешево
плюс многое зависит от цели - это просто архив посмотреть или нужна еще аналитика (еще не встречал чтобы аналитика не нужна была)

аффтар, а вам зачем такое?

ev писал(а):такого софта не видел в открытом доступе, пишется обычно на заказ и не дешево
плюс многое зависит от цели - это просто архив посмотреть или нужна еще аналитика (еще не встречал чтобы аналитика не нужна была)

Из подобного ПАК знаю только СОРМ, но его не каждому продадут, да, и стоит оно не дешево.

homoadminus писал(а):аффтар, а вам зачем такое?

Это самый хороший способ узнать куда ходит твоя девушка.

Из подобного ПАК знаю только СОРМ

сорм давно не видел, но тот что видел был совсем отстойным в плане функционала и возможностей... хотя сейчас уже новые версии есть

да, и стоит оно не дешево

товар то штучный

кто вам мешает стартовать tcpdump rc скриптом с параметрами логирования и переодически ротейтить его вывод? а потом смотреть через wireshark?

думаю ответ очевиден
1. лень выполнять постоянно нудную работу
2. низкий кпд
3. информации слишком много и можно упустить важное

ха!
1. это какую?
2. по сравнению с чем?
3. много - не мало, ёпть

ха!
1. это какую?
2. по сравнению с чем?
3. много - не мало, ёпть

вот попробуй позаниматься этим месяц постоянно - сразу поймешь не зря люди платят большие деньги за подобные системы

p.s. и зачем людям системы мониторинга? ведь можно и самому по серверам ходить и все смотреть )

Ытя писал(а):Привет всем. Вопрос, как можно собрать трафик пользователя, проходящий через PC-роутер. Именно тот трафик, который отображается в nettop и в tcpdump при детальном рассмотрении содержимого пакета. Подскажите софт, которому можно задать конкретный ip для сбора инфы.
Заранее благодарен.

а кто тут говорил про мониторинг серверов? помоему вполне чётко вопрос поставлен

а кто тут говорил про мониторинг серверов?

систему мониторинга я привел в качестве аналогии
там и там можно делать все и без этих систем, но никто в здравом уме этого делать не будет

аналогия не уместна была, вам не кажется? между мониторингом одного пользователя и одного сервера есть некоторая разница, не говоря уже о разнице мониторинга нескольких серверов в сравнении с мониторингом нескольких пользователей. или я не прав?

На самом деле, вся проблема только в анализе полученной инфы. Определить начало/конец файла и т.п. не так-то и легко.

если речь идёт исключительно о вэб-трафике, имеет смысл задуматься о прозрачном проксировании.
и обрисуйте подробнее топологию, какие узлы и системы есть в распоряжении

vadim64 писал(а):и обрисуйте подробнее топологию, какие узлы и системы есть в распоряжении

сервер доступа mpd5,работает по pf-nat. Топология - звезда. Промежуточные узлы - свитчи и один роутер(с них можно только flow собрать, но оно не интересно в данном случае). интересует сбор трафика с натируемых ифейсов.

аналогия не уместна была, вам не кажется?

вполне уместна
не все сталкивались с задачей мониторинга трафика, но большинство сталкивались с задачей мониторинга серверов

между мониторингом одного пользователя и одного сервера есть некоторая разница, не говоря уже о разнице мониторинга нескольких серверов в сравнении с мониторингом нескольких пользователей. или я не прав?

конечно разница есть - задачи то разные
поэтому это и называется "аналогия"

Ытя писал(а):

vadim64 писал(а):и обрисуйте подробнее топологию, какие узлы и системы есть в распоряжении

сервер доступа mpd5,работает по pf-nat. Топология - звезда. Промежуточные узлы - свитчи и один роутер(с них можно только flow собрать, но оно не интересно в данном случае). интересует сбор трафика с натируемых ифейсов.

если вам очень нужно мониторить пофайлово www-трафик пользователя/пользователей, воткните на сервер самс и сквид с прозрачным проксированием, а в фаерволл соответствующее правило пересылки www-трафика на сквид. немного костыльно, но решит задачу.

to ev: Вам не кажется что вы тролите? разговор по теме идёт своим чередом, а мой разговор с вами вообще какой то бессмысленный. я не понимаю в чём вы меня хотите убедить, но если вы считаете что это что то важно - напишите свои тезисы мне в личку