|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
Опции темы | Поиск в этой теме |
29.04.2012, 21:43 | #1 |
Новичок
Джуниор
Регистрация: 29.04.2012
Сообщений: 4
|
анализ траффика и мониторинг программ
Всем привет, столкнулся с двумя проблемами.
Первая: есть задача - определить, проводит ли машина, на которой установлена моя программа, DoS - атаку. написал сниффер на winsock, перехватываю все исходящие пакеты. Теперь необходимо проанализировать эти пакеты и установить, проиходит ли на какой-либо адрес отсылка большого количества TCPSYN/UDP/ICMP - пакетов. Если да, то записать в лог-файл. Вот не могу придумать алгоритм. Вроде все очевидно - нужно для каждого адреса его пакеты запихивать в отдельный массив\структуру и подсчитывать количество потенциально подозрительных запросов за какое-то время. Но боюсь, такой подход будет требовать слишком много ресурсов, и для анализа "на лету" будет реализовать проблематично. подскажите алгоритм, которым можно это произвести Вторая: анализ траффика на уровне приложений. Нужно определять, лезет ли какая-либо программа в интернет. Если лезет программа не из белого списка, выдавать предупреждение. Тут основная проблема - я не знаю средствами чего это можно произвести. Гугл не помог, собственных знаний не хватает. Заранее спасибо |
29.04.2012, 23:08 | #2 | ||
Старожил
Регистрация: 15.02.2010
Сообщений: 15,695
|
Цитата:
Цитата:
Мне все-таки кажется не в том месте этот анализ. |
||
29.04.2012, 23:14 | #3 | |||
Новичок
Джуниор
Регистрация: 29.04.2012
Сообщений: 4
|
Цитата:
но, я думаю, это не принципиально, какие пакеты. Главное - алгоритм Цитата:
пусть даже и драйвер. Главное - в какую сторону копать. Цитата:
|
|||
29.04.2012, 23:20 | #4 | ||
Старожил
Регистрация: 28.01.2009
Сообщений: 21,000
|
Цитата:
Цитата:
Хорошо поставленный вопрос это уже половина ответа. | Каков вопрос, таков ответ.
Программа делает то что написал программист, а не то что он хотел. Функции/утилиты ждут в параметрах то что им надо, а не то что вы хотите. |
||
29.04.2012, 23:30 | #5 | ||
Новичок
Джуниор
Регистрация: 29.04.2012
Сообщений: 4
|
Цитата:
мне нужно определить, отсылалось ли на какой-либо адрес больше, чем х пакетов TCPSYN/UDP/ICMP за последние y единиц времени. решение "в лоб", боюсь, займет слишком много ресурсов Цитата:
|
||
30.04.2012, 06:26 | #6 | ||||
Старожил
Регистрация: 15.02.2010
Сообщений: 15,695
|
Цитата:
Ваши у единиц должны от очень многих параметров, которые не всегда можно измерить на клиентской машине. Получаем: Цитата:
Цитата:
Вами же упомянутый КИС в первую очередь защищает именно ту машину, где стоит. Задумайтесь. Цитата:
|
||||
01.05.2012, 22:58 | #7 | ||||
Новичок
Джуниор
Регистрация: 29.04.2012
Сообщений: 4
|
Цитата:
Цитата:
Цитата:
тащемто, мне не нужны советы по общим принципам, переделывать и перепридумывать уже времени нет. мне нужно знать, есть ли какие-либо алгоритмы кроме тупого подсчета Цитата:
|
||||
02.05.2012, 01:53 | #8 | ||||||
Старожил
Регистрация: 15.02.2010
Сообщений: 15,695
|
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
||||||
Опции темы | Поиск в этой теме |
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Подсчет траффика | joker | Win Api | 9 | 11.01.2009 13:29 |
Учёт траффика | DOLBY | Работа с сетью в Delphi | 2 | 03.10.2008 11:14 |
Учет Траффика | Stakanosid | Работа с сетью в Delphi | 3 | 15.01.2007 13:51 |