Привет,
в общем чтобы не было кривотолков - у меня это реализовано по следующей
схеме:
Запускается каждые 5 минут программа, собственно анализируящая траффик, и
вот как она это делает:
просматриваем весь траффик за анализируемый период времени, и выделяем
оттуда все явные ftp сессии и сохраням список вида src addr, dst addr.
Далее начинается разбор траффика о обычной схеме - обобщение данных по
группам из конфигурационного файла вида:
# src ip/AS dst ip/AS proto port
195.16.96/24 AS6903 all all
AS8334 AS6903 tcp http
ну и т.д.
при этом если встречается tcp с неизвесными src и dst портами, сравниваем
с парами адресов из списка явного ftp и если они совпадают - приписываем
соответственно к ftp (естественно что сравнение проводится только если
адреса неизвесной сесси попадают под группу в которой необходимо рисовать
ftp траффик).
Вполне по моему простая реализация и пихнуть ее можно в любой анализатор.
Я бы кусок кода сюда пихнул, но дело в том что все это лезет напрямую в
informix поэтому там много ненужных для понимания строчек =)
Best regards,
Victor L. Belov @ Teleport-TP NOC
scream@teleport-tp.net
+7 095 234 7000 Ext #13
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
