Автор Тема: трафични данни  (Прочетена 4911 пъти)

edmon

  • Напреднали
  • *****
  • Публикации: 44
    • Профил
трафични данни
« -: Nov 09, 2016, 16:41 »
Какво става  по въпроса с тия "трафични данни". Някой има ли конкретна информация?
Ако трябва да се прави как го прави?
Активен

mystical

  • Напреднали
  • *****
  • Публикации: 326
  • Distribution: Debian, FreeBSD
  • Window Manager: XFCE
    • Профил
    • WWW
Re: трафични данни
« Отговор #1 -: Nov 09, 2016, 19:16 »
На скоро искаха от нас трафични данни (със съдебно решение), съответно трябва да се съхраняват трафични данни.
Така и не отделих време за този проблем. Няма да е лошо да интегрирам някакво решение в системата. Някои колеги използвали tcpdump, но аз си мисля за iptables --log
Ако намериш някое елегантно решение сподели и с нас.
Активен

Ако не можеш да градиш, поне не руши!

edmon

  • Напреднали
  • *****
  • Публикации: 44
    • Профил
Re: трафични данни
« Отговор #2 -: Nov 09, 2016, 19:29 »
ами и аз си мисля за --лог....

iptables -A ....  LOG --log-prefix='[netfilter] '

 и в рсиъслог да сложа такава настойка  /etc/rsyslog.d/my_iptables.conf

:msg,contains,"[netfilter] " /var/log/iptables.log

който да ротирам???? може би... колко голям лог ще изплющи тва за денонощие!??!


PS:
инсталирах си ulog2 защото с таргет ЛОГ флуди дмесг и така :

iptables -I INPUT -m state --state NEW -j NFLOG --nflog-prefix  "iptables_log: "
iptables -I OUTPUT -m state --state NEW -j NFLOG --nflog-prefix  "iptables_log: "

да видим ко ши стани :)
« Последна редакция: Nov 09, 2016, 21:06 от edmon »
Активен

10101

  • Напреднали
  • *****
  • Публикации: 372
  • Distribution: GNU LINUX
    • Профил
Re: трафични данни
« Отговор #3 -: Nov 09, 2016, 21:28 »
Какво възприемате за трафични данни?
:)
Какво искате да записвате?

По закон нямате право на пълен дъмп освен изрично, по искан по ЗЕС с изрично указано начало и край и сродните закони.
Активен

А печат ?

mystical

  • Напреднали
  • *****
  • Публикации: 326
  • Distribution: Debian, FreeBSD
  • Window Manager: XFCE
    • Профил
    • WWW
Re: трафични данни
« Отговор #4 -: Nov 09, 2016, 21:35 »
По закон нямате право на пълен дъмп освен изрично, по искан по ЗЕС с изрично указано начало и край и сродните закони.

Ако зависеше от мен бих казал, който иска да следи кой какво прави, сам да се оправя...
Никой не говори за пълен дъмп, IP - MAC --> IP в определено време и лог за 1 месец на зад.

Аз пък тествах:
Цитат
tcpdump -ni eth0 -s 96 -w eth0.pcap

# ls -lh
-rw-r--r-- 1 root     root      14M Nov  9 20:55 eth0.pcap

tcpdump -r eth0.pcap | less

За няма и 30 сек. 14M файл с 45 Mbit плътен трафик.
Натоварването на CPU: ~2-3%

Трябва да се спрем на вариянта, който най-малко ще се отрази на мрежовата производителност. Ако tcpdump само прихваща трафика, без да се отразява на мрежовата проиводителност...
« Последна редакция: Nov 09, 2016, 21:44 от mystical »
Активен

Ако не можеш да градиш, поне не руши!

edmon

  • Напреднали
  • *****
  • Публикации: 44
    • Профил
« Последна редакция: Nov 09, 2016, 21:55 от edmon »
Активен

mystical

  • Напреднали
  • *****
  • Публикации: 326
  • Distribution: Debian, FreeBSD
  • Window Manager: XFCE
    • Профил
    • WWW
Re: трафични данни
« Отговор #6 -: Nov 09, 2016, 22:08 »
Пример, има флууд към държавен уеб сайд:
В този случай, ще искат на
2016.11.09 21:56 от IP (може да конкретизират и MAC) към кое IP има заявки и информация за клиента (ако има такъм IP адрес в мрежата).

Другия проблем са частните IP адреси, понеже ще искат инфо за реален IP адрес. Това означава в това време, кое частно IP с кое реално IP е било натнато.
Активен

Ако не можеш да градиш, поне не руши!

edmon

  • Напреднали
  • *****
  • Публикации: 44
    • Профил
Re: трафични данни
« Отговор #7 -: Nov 09, 2016, 22:12 »
Пример, има флууд към държавен уеб сайд:
В този случай, ще искат на
2016.11.09 21:56 от IP (може да конкретизират и MAC) към кое IP има заявки и информация за клиента (ако има такъм IP адрес в мрежата).

Другия проблем са частните IP адреси, понеже ще искат инфо за реален IP адрес. Това означава в това време, кое частно IP с кое реално IP е било натнато.

то така де... ама това означава да пазиш тези данни за 6 месеца назад?
Активен

spec1a

  • Напреднали
  • *****
  • Публикации: 2156
    • Профил
Re: трафични данни
« Отговор #8 -: Nov 10, 2016, 09:47 »
   Пичове, добре си разсъждатате,но аз бих се замислил за смисъла
от всичко това ...
   Престъпниците трябва да са малоумни, за да не използват tor .
   И,какво ще се види от тези "трафични данни" - веднъж айпи напр.  от
Германия,после от Франция,Швеция,Холандия ...  ;D
Активен

nslave

  • Напреднали
  • *****
  • Публикации: 130
  • Distribution: Fedora / Debian
  • Window Manager: Xfce
    • Профил
Re: трафични данни
« Отговор #9 -: Nov 10, 2016, 11:12 »
Това само за интернет доставчици ли е. Ако става дума за отворен wifi на публично място тип хотел, кафене, търговски център... как стои въпроса? Трябва ли да се пазят разни логове?
Активен

4096bits

  • Напреднали
  • *****
  • Публикации: 4375
    • Профил
Re: трафични данни
« Отговор #10 -: Nov 10, 2016, 11:20 »
Tor не е панацея. Могат да те намерят и през него. Ако аз бих правил такова нещо, бих заразил с нещо няколко стотин компютъра или колкото мога там за два-три месеца и после само ще им кажа да флудят на воля. От мойта машина нищо няма да излезе. Също, ще спра някъде с колата на няколко стотин метра от някоя бензиностанция, ще си пъхна хубава антена в юесбито на лапито и ще ги изкомандвам от там. А пък и свободни мрежи, колкото искате в града. Тя и моята е свободна
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

spec1a

  • Напреднали
  • *****
  • Публикации: 2156
    • Профил
Re: трафични данни
« Отговор #11 -: Nov 10, 2016, 11:33 »
   Съгласен съм, че Tor не е панацея. Но все пак е много трудно да бъде
хакнат по някакъв начин.
   Освен от ... пентагона. Те не крият,че Tor е тяхна разработка, и е почти
сигурно, че са си оставили "задни вратички" ...
   Само че,не мога да си представя Явор Колев или подобен на него да
моли пентагона за това или онова  ;D
   
// off
   Абе,къде е gat3way,липсата му се усеща във форума, а и темата е от
неговата компетентност.
« Последна редакция: Nov 10, 2016, 13:45 от spec1a »
Активен

4096bits

  • Напреднали
  • *****
  • Публикации: 4375
    • Профил
Re: трафични данни
« Отговор #12 -: Nov 10, 2016, 15:48 »
Не говоря за хакване на Tor. Има си индиректни начини.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

sudo

  • Напреднали
  • *****
  • Публикации: 73
    • Профил
Re: трафични данни
« Отговор #13 -: Nov 10, 2016, 16:15 »
A за NetFlow/sFlow/IPFIX решения не сте ли мислили?
Активен

spec1a

  • Напреднали
  • *****
  • Публикации: 2156
    • Профил
Re: трафични данни
« Отговор #14 -: Nov 11, 2016, 11:04 »
   Стана ми интересно за тези "индиректни начини".
   Има 2 варианта:
   1. Слабо криптиране и/или уязвимости в съотв. протоколи (малко вероятно).
   2. Прецизен анализ на трафика.
   По отношение на т.2: Ако службите са вменили на доставчиците да следят кои и
по кое време ползват Tor, може напр. да съществуват логове:кой, от колко до колко
часа и от кое айпи е влизал в Tor ; тогава може да се предположи с някаква
вероятност в кой сайт е влизал: от логовете на съотв. сайт се вижда и по кое време.
   Но и това е трудно постижимо ...
Активен