Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > C/C++ программирование > Общие вопросы C/C++
Регистрация

Восстановить пароль
Повторная активизация e-mail

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 29.04.2012, 21:43   #1
dobropalka
Новичок
Джуниор
 
Регистрация: 29.04.2012
Сообщений: 4
По умолчанию анализ траффика и мониторинг программ

Всем привет, столкнулся с двумя проблемами.

Первая:
есть задача - определить, проводит ли машина, на которой установлена моя программа, DoS - атаку.
написал сниффер на winsock, перехватываю все исходящие пакеты.
Теперь необходимо проанализировать эти пакеты и установить, проиходит ли на какой-либо адрес отсылка большого количества TCPSYN/UDP/ICMP - пакетов. Если да, то записать в лог-файл.
Вот не могу придумать алгоритм. Вроде все очевидно - нужно для каждого адреса его пакеты запихивать в отдельный массив\структуру и подсчитывать количество потенциально подозрительных запросов за какое-то время.
Но боюсь, такой подход будет требовать слишком много ресурсов, и для анализа "на лету" будет реализовать проблематично.
подскажите алгоритм, которым можно это произвести

Вторая:
анализ траффика на уровне приложений.
Нужно определять, лезет ли какая-либо программа в интернет. Если лезет программа не из белого списка, выдавать предупреждение.
Тут основная проблема - я не знаю средствами чего это можно произвести.
Гугл не помог, собственных знаний не хватает.

Заранее спасибо
dobropalka вне форума Ответить с цитированием
Старый 29.04.2012, 23:08   #2
p51x
Старожил
 
Регистрация: 15.02.2010
Сообщений: 15,695
По умолчанию

Цитата:
Первая:
...и подсчитывать количество потенциально подозрительных запросов за какое-то время.
Какой пакет вы будете считать подозрительным?

Цитата:
Вторая:
анализ траффика на уровне приложений.
Будет провал. Нужен драйвер...

Мне все-таки кажется не в том месте этот анализ.
p51x на форуме Ответить с цитированием
Старый 29.04.2012, 23:14   #3
dobropalka
Новичок
Джуниор
 
Регистрация: 29.04.2012
Сообщений: 4
По умолчанию

Цитата:
Какой пакет вы будете считать подозрительным?
потенциально подозрительные -TCPSYN/UDP/ICMP
но, я думаю, это не принципиально, какие пакеты. Главное - алгоритм
Цитата:
Будет провал. Нужен драйвер...
хм. А тот же Kaspersky Internet Security ставит в систему драйвер? не замечал
пусть даже и драйвер. Главное - в какую сторону копать.
Цитата:
Мне все-таки кажется не в том месте этот анализ.
не понял вас
dobropalka вне форума Ответить с цитированием
Старый 29.04.2012, 23:20   #4
Пепел Феникса
Старожил
 
Аватар для Пепел Феникса
 
Регистрация: 28.01.2009
Сообщений: 21,000
По умолчанию

Цитата:
А тот же Kaspersky Internet Security ставит в систему драйвер? не замечал
пусть даже и драйвер
именно ставит.
Цитата:
потенциально подозрительные -TCPSYN/UDP/ICMP
плохой алгоритм по протоколу делить.
Хорошо поставленный вопрос это уже половина ответа. | Каков вопрос, таков ответ.
Программа делает то что написал программист, а не то что он хотел.
Функции/утилиты ждут в параметрах то что им надо, а не то что вы хотите.
Пепел Феникса вне форума Ответить с цитированием
Старый 29.04.2012, 23:30   #5
dobropalka
Новичок
Джуниор
 
Регистрация: 29.04.2012
Сообщений: 4
По умолчанию

Цитата:
плохой алгоритм по протоколу делить.
да я и не собирался делить
мне нужно определить, отсылалось ли на какой-либо адрес больше, чем х пакетов TCPSYN/UDP/ICMP за последние y единиц времени.
решение "в лоб", боюсь, займет слишком много ресурсов
Цитата:
именно ставит
в таком случае, в какую сторону это копать, и насколько сложно реализовать то, что мне надо?
dobropalka вне форума Ответить с цитированием
Старый 30.04.2012, 06:26   #6
p51x
Старожил
 
Регистрация: 15.02.2010
Сообщений: 15,695
По умолчанию

Цитата:
мне нужно определить, отсылалось ли на какой-либо адрес больше, чем х пакетов TCPSYN/UDP/ICMP за последние y единиц времени.
Плеер с большим трафиком по УДП тоже забаните?

Ваши у единиц должны от очень многих параметров, которые не всегда можно измерить на клиентской машине. Получаем:
Цитата:
Мне все-таки кажется не в том месте этот анализ.
Цитата:
не понял вас
Вы представляете как происходит обычный обмен между клиентом и узлом, через какие ноды (точки) он проходит?..

Вами же упомянутый КИС в первую очередь защищает именно ту машину, где стоит. Задумайтесь.

Цитата:
в таком случае, в какую сторону это копать, и насколько сложно реализовать то, что мне надо?
WinSDK, WDK, MSDN...
p51x на форуме Ответить с цитированием
Старый 01.05.2012, 22:58   #7
dobropalka
Новичок
Джуниор
 
Регистрация: 29.04.2012
Сообщений: 4
По умолчанию

Цитата:
Плеер с большим трафиком по УДП тоже забаните?
плеер дает входящий трафик, а мне необходимо смотреть исходящий, так что все ок.
Цитата:
Вы представляете как происходит обычный обмен между клиентом и узлом, через какие ноды (точки) он проходит?..
достаточно знать, что заголовок любого пакета содержит destination adress и source adress.
Цитата:
Вами же упомянутый КИС в первую очередь защищает именно ту машину, где стоит. Задумайтесь.
именно это мне и нужно

тащемто, мне не нужны советы по общим принципам, переделывать и перепридумывать уже времени нет.
мне нужно знать, есть ли какие-либо алгоритмы кроме тупого подсчета

Цитата:
WinSDK, WDK, MSDN...
спасибо, посмотрим
dobropalka вне форума Ответить с цитированием
Старый 02.05.2012, 01:53   #8
p51x
Старожил
 
Регистрация: 15.02.2010
Сообщений: 15,695
По умолчанию

Цитата:
плеер дает входящий трафик, а мне необходимо смотреть исходящий, так что все ок.
Оки. Домашняя инетрадиостанция?

Цитата:
достаточно знать, что заголовок любого пакета содержит destination adress и source adress.
Ой, ли? Если вы так считаете, то мне тут делать нечего.

Цитата:
именно это мне и нужно
Цитата:
есть задача - определить, проводит ли машина, на которой установлена моя программа, DoS - атаку.
??? Т.е. для вас машина проводи ДДоС и защита машины от ДДоС одно и то же?

Цитата:
тащемто, мне не нужны советы по общим принципам, переделывать и перепридумывать уже времени нет.
мне нужно знать, есть ли какие-либо алгоритмы кроме тупого подсчета
Так бы сразу и сказали - диплом, дайте код. Но вы определитесь с темой, а то вдруг диплом решат прочитать или вас послушать.

Цитата:
спасибо, посмотрим
если нет времени послушать основы, то не стоит смотреть... тема написания драйвера сама по себе не легкая. Хотя если вам сдать и забыть....
p51x на форуме Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Подсчет траффика joker Win Api 9 11.01.2009 13:29
Учёт траффика DOLBY Работа с сетью в Delphi 2 03.10.2008 11:14
Учет Траффика Stakanosid Работа с сетью в Delphi 3 15.01.2007 13:51