Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: как классифицировать tcp-сессию?  (Прочитано 8675 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Loki
Участник

ru
Offline Offline

« : 26-10-2008 09:27 » 

сабж.
К примеру на pcap, что-то вроде netflow, только атм просто траф считается, а мне нужно имено собирать сесии в треки.
Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #1 : 26-10-2008 13:47 » 

Loki, опиши цель детальнее. Как я понял, тебе нужно сетевой трафик считать.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Loki
Участник

ru
Offline Offline

« Ответ #2 : 26-10-2008 21:11 » 

Loki, опиши цель детальнее. Как я понял, тебе нужно сетевой трафик считать.
нет, считать просто, в pcap это ps_recv, мне нужно именно "собирать" пакеты в файлы по сессиям.
Записан
.
Молодой специалист

ru
Offline Offline
Пол: Мужской

« Ответ #3 : 26-10-2008 22:04 » 

хм. а воспользоваться тем же pcap? под винду тоже есть)
Записан
Loki
Участник

ru
Offline Offline

« Ответ #4 : 27-10-2008 11:33 » 

хм. а воспользоваться тем же pcap? под винду тоже есть)
ну при чум тут pcap? я его и так пользую, вопрос в том как классифицировать кучу пакетов, а не как их снифить!
« Последнее редактирование: 27-10-2008 13:08 от Loki » Записан
McZim
Команда клуба

ru
Offline Offline
Пол: Мужской
Я странный


WWW
« Ответ #5 : 27-10-2008 11:52 » 

Loki, стек TCP/IP знаком?
Записан

The CBO without stats is like a morning without coffee. (c) T.Kyte.
.
Молодой специалист

ru
Offline Offline
Пол: Мужской

« Ответ #6 : 27-10-2008 12:16 » 

Loki, то описание задачи, которое ты привёл, мягко скажем, не ясное. Попытаюсь описать за тебя твою задачу для окружающих. Пожалуйста, откорректируй меня, если я где ошибся.

Есть файл/поток pcap. необходимо разобрать этот поток по сессиям (tcp) и понять, кто что делал за дэльту тэ, к которому относится данный поток.
мысли о том, что можно получить из этих данных: 1) статистика время кто/когда/на какой порт/сколько байт 2) если кто-то лезет на какой-то странный порт - получить данные, которые пересылаются через него.
Последнее может потребоваться для того, чтобы проснифать пропроитарный протокол и понять логику работы программы Ага

ЗЫ: если последнее - не проще написать виртуальный сетевой девайс man-in-middle?! если для локального девелопмента, то это будет намного проще! особенно учтя, что примеров open source кода подобных девайсов сотни!!! если не сказать больше
Записан
npak
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #7 : 27-10-2008 12:25 » 

потоки TCP распределяются по номерам портов и IP адресам. Каждый поток однозначно определяется двумя парами {адрес узла, порт}

При сборке потоков нужно учитывать, что TCP поддерживает повторную пересылку сегментов.
Записан

UniTesK -- индустриальная технология надежного тестирования.

http://www.unitesk.com/ru/
McZim
Команда клуба

ru
Offline Offline
Пол: Мужской
Я странный


WWW
« Ответ #8 : 27-10-2008 12:27 » 

Loki, тебе будет полезно для решения твоей задачи: http://www.eventhelix.com/Realtimemantra/Networking/
Записан

The CBO without stats is like a morning without coffee. (c) T.Kyte.
Loki
Участник

ru
Offline Offline

« Ответ #9 : 27-10-2008 13:08 » 

 можно получить вывод из пкап в виде структуры?
Цитата
не проще написать виртуальный сетевой девайс man-in-middle
есть примеры опенсоурс? Здесь была моя ладья... желательно там где заголовки отдаются как объекты структуры.
« Последнее редактирование: 27-10-2008 13:31 от Loki » Записан
npak
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #10 : 27-10-2008 13:45 » 

можно получить вывод из пкап в виде структуры?

По-моему я понял, в чем вопрос - вы спрашиваете, может ли PCAP дать информацию, необходимую для идентификации сессии TCP? Ответ - нет. PCAP дает сырой пакет со всеми заголовками. Для того, чтобы добраться до TCP, пакет нужно парсить. В этом нет ничего сложного

пример есть http://www.tcpdump.org/pcap.htm
« Последнее редактирование: 27-10-2008 13:57 от npak » Записан

UniTesK -- индустриальная технология надежного тестирования.

http://www.unitesk.com/ru/
.
Молодой специалист

ru
Offline Offline
Пол: Мужской

« Ответ #11 : 27-10-2008 15:35 » 

Loki, VirtualBox Отлично
Записан
McZim
Команда клуба

ru
Offline Offline
Пол: Мужской
Я странный


WWW
« Ответ #12 : 27-10-2008 16:51 » 

Loki, ты про сиквенсы почитал?
Записан

The CBO without stats is like a morning without coffee. (c) T.Kyte.
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines