Страница 1 из 1
Неизвестный формат лога
Добавлено: 2010-12-04 12:42:11
tyler56
Уважаемые товарищи.
Кто может сказать на что похож(какое оборудование, софт) этот кусок лога
Код: Выделить всё
2010/10/31 16:49:24 188.134.8.216.7624 -> 93.125.44.242.1714 6(PUSH]ACK) 442928 603366499
2010/10/31 16:49:23 188.134.28,62.5691 -> 93.125.44.242.1660 6(PUSH|ACK) 401895 551933586
2010/10/31 16:21:24 188.134.28.62.5691 -> 93.125.44.242.1660 6(PUSH|ACK) 165539 227355027
2010/10/31 14:25:08 188.134.28.62.5691 -> 93.125.44.242.1342 6(PUSH|ACK) 139616 189888079
2010/10/31 14:13:24 188.134.28.62.5691 -> 93.125.44.242.1342 6(PUSH|SYN|ACK) 69814 [b]94743079[/b]
2010/10/31 14:14:53 188.134.28.62.5691 -> 93.125.44.242.1342 6(PUSH|ACK) 22637 [b]30666718[/b]
2010/10/31 16:09:30 188.134.28.62.5691 -> 93.125.44.242.1660 6(PUSH|SYN|ACK) 5035 7012381
2010/11/01 17:40:21 188.134.28.62.1232 -> 93.125.45.194.1135 6(PUSHJACK) 914085 1234848028
2010/11/01 16:52:31 188.134.28.62.1232 -> 93.125.45.194.1087 6(PUSH|ACK) 631339 853021963
2010/11/01 17:04:22 188.134.28.62.1232 -> 93.125.45.194.1087 6(PUSH|ACK|FIN) 354627 479702501
2010/11/01 17:52:22 188.134.28.62.1232 -> 93.125.45.194.1171 6(PUSH|SYN|ACK) 278366 376054698
2010/11/01 17:09:47 188.134.28.62.1232 -> 93.125.45.194.1135 6(PUSH|SYN|ACK) 124611 168504499
2010/11/01 17:41:49 188.134.28.62.1232 -> 93.125.45.194.1135 6(PUSH|ACK) 43254 58427183
2010/11/01 17:43:17 188.134.28.62.1232 -> 93.125.45.194.1135 6(PUSH|ACK|FIN) 33630 45426432
2010/11/01 20:29:09 188.134.28.62.1232 -> 93.125.45.194.1293 6(PUSH|ACK) 521660 715715359
2010/11/01 20:44:34 188.134.28.62.1232 -> 93.125.45.194.1293 6(PUSH|ACK) 307640 420231574
2010/11/01 19:58:39 188.134.28.62.1232 -> 93.125.45.194.1293 6(PUSH|SYN|ACK) 2834 3910389
Re: Неизвестный формат лога
Добавлено: 2010-12-04 12:53:06
tyler56
Кое кто утверждает что последний столбец это число байт.
Меня смущают слежующие строки.
Сессия одна и таже адреса отправитея и получателя, порты одни и теже, число байт разное. Прошло немного больше минуты. И во второй строчке по логике число должно быть больше или тем же.
Такое может быть ?
2010/10/31 14:13:24 188.134.28.62.5691 -> 93.125.44.242.1342 6(PUSH|SYN|ACK) 69814 94743079
2010/10/31 14:14:53 188.134.28.62.5691 -> 93.125.44.242.1342 6(PUSH|ACK) 22637 30666718
Re: Неизвестный формат лога
Добавлено: 2010-12-04 17:38:55
lap
Возможно предпоследний столбец - число пакетов. Это не может быть какойнибудь ботвой типа сбора NetFlow или какойнибудь другой системы учета трафика? Если делить последний столбец на предпоследний, во всех взятых мною случаях, получалось 1355 -/+ в пределах десятка...
Re: Неизвестный формат лога
Добавлено: 2010-12-04 23:31:21
tyler56
Да предпоследний по логике число пакетов.
2010/10/31 14:13:24 188.134.28.62.5691 -> 93.125.44.242.1342 6(PUSH|SYN|ACK) 69814 94743079
2010/10/31 14:14:53 188.134.28.62.5691 -> 93.125.44.242.1342 6(PUSH|ACK) 22637 30666718
Как может в 14:14:53 быть передано меньше пакетов чем 14:13:24 - соединение одно и тоже а прошла всего минута.
Re: Неизвестный формат лога
Добавлено: 2010-12-04 23:38:20
lap
ну там набор флагов(?) разный, может это какието разные пакеты в рамках одной сессии. или это чтото типа агрегированой статистики за период Х...
Re: Неизвестный формат лога
Добавлено: 2010-12-04 23:40:34
lap
http://forum.nag.ru/forum/lofiversion/i ... 27272.html
Там кто-то похожий кусок лога прикладывает.
sandyboy
1.9.2006, 10:18
Настроил сбор и просмотр статистики под FreeBSD через flow-tools/FlowScan/CUFlow - уже ничего не понимаю. Через flowdumper - видно, что пакеты бегут через интерфейс в обе стороны. А в статистике - только входящий показывается, хоть тресни. Ну что я делаю не так???
вот кусочек лога:
---------------------------------------------------------------------------------------
2006/09/01 13:55:18 10.0.10.12.138 -> 10.0.255.255.138 17 1 229
2006/09/01 13:55:35 10.0.11.22.1798 -> 10.0.0.111.62287 6(SYN|ACK|FIN) 5 208
2006/09/01 13:55:35 10.0.0.111.62287 -> 10.0.11.22.1798 6(PUSH|ACK|FIN) 4 3870
2006/09/01 13:55:20 10.0.11.57.4098 -> 255.255.255.255.67 17 1 389
---------------------------------------------------------------------------------------
Третья строчка - на самом деле исходящий траф (10.0.0.111 - IP самой тестовой машины) - а стрелка указывает что это якобы входящий
Может быть есть способ как-то объяснить flow-capture какой траффик считать входящим, а какой исходящим?