The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Snort и логирование посещенных URL'ов."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Snort и логирование посещенных URL'ов."
Сообщение от __Serg__ emailИскать по авторуВ закладки on 15-Июл-03, 11:06  (MSK)
Стоит задача писать лог (или прямо в базу) по каким URL'aм, в какое время ходил юзер из локальной сетки. В логе должно быть 3 поля: время, ip юзера, полный URL. Также необходимо чтобы урлы не дублировались по многу раз при загрузке страници.
З.Ы. вариант со SQUID'ом и прочими проксями - не предлагать. Это надо реализовать именно при помощи snort.

Заранее благодарен.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Snort и логирование посещенных URL'ов."
Сообщение от bass Искать по авторуВ закладки on 15-Июл-03, 12:22  (MSK)
>Стоит задача писать лог (или прямо в базу) по каким URL'aм, в
>какое время ходил юзер из локальной сетки. В логе должно быть
>3 поля: время, ip юзера, полный URL. Также необходимо чтобы урлы
>не дублировались по многу раз при загрузке страници.
>З.Ы. вариант со SQUID'ом и прочими проксями - не предлагать. Это надо
>реализовать именно при помощи snort.
>
>Заранее благодарен.

snort -v и смотреть минут 15.
вы либо поймёте как это сделать, либо увидите матрицу ;)

p.s. при хорошем желании это можно и с snort-рулесами/плагинами замутить... за вас тут целый комплекс аля прокси никто писать не будет, потому что есть уже готовые, но они вам ненужны. тупик.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Snort и логирование посещенных URL'ов."
Сообщение от __Serg__ emailИскать по авторуВ закладки on 15-Июл-03, 12:39  (MSK)
>snort -v и смотреть минут 15.
>вы либо поймёте как это сделать, либо увидите матрицу ;)

:) да, но содержимое пакетов не отображается ...

>p.s. при хорошем желании это можно и с snort-рулесами/плагинами замутить... за вас
>тут целый комплекс аля прокси никто писать не будет, потому что
>есть уже готовые, но они вам ненужны. тупик.

я написал рулес, и оно мне все в один лог загоняет, но информация представляется в таком виде:

07/15-10:47:44.920214 192.168.1.2:2553 -> 194.85.34.226:80
TCP TTL:128 TOS:0x0 ID:5050 IpLen:20 DgmLen:494 DF
***AP*** Seq: 0x3AE0D3F3  Ack: 0x615BB289  Win: 0x4470  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/15-10:47:46.171212 192.168.1.2:2552 -> 194.85.34.226:80
TCP TTL:128 TOS:0x0 ID:5059 IpLen:20 DgmLen:495 DF
***AP*** Seq: 0x3AD90922  Ack: 0x77782234  Win: 0x40F5  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

а мне надо видеть урлы ... вот как сделать чтобы оно информацию о урлах в логи записывало?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Snort и логирование посещенных URL'ов."
Сообщение от _Serg_ emailИскать по авторуВ закладки on 15-Июл-03, 18:20  (MSK)
Вот малехо разобрался, прописал в конфиг снорта такую строку:
output log_tcpdump: snort.log
а в рулес следующее:
log tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (logto:"web.log"; connect:"Referer\: http\://"; flow:to_server,established;)
теперь пропарсив лог я могу видеть на какие страници ходили, но в таком логе нет времени, и ип юзера, который обращался по даному урлу.
Как можно к алерту напимер, или к логу приаттачить вывод tcpdumpa? или сделать чтобы в выводе tcpdumpa было время и ip юзера?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Snort и логирование посещенных URL'ов."
Сообщение от 77 emailИскать по авторуВ закладки on 10-Фев-04, 15:40  (MSK)
есть вариант воспользоваться тем, что уже есть:
www.arsoft.ru предлагает Lingate.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Snort и логирование посещенных URL'ов."
Сообщение от Gerasim emailИскать по авторуВ закладки on 05-Мрт-04, 10:51  (MSK)
>есть вариант воспользоваться тем, что уже есть:
>www.arsoft.ru предлагает Lingate.


это все за деньги!
бесплатного нету

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Snort и логирование посещенных URL'ов."
Сообщение от 77 Искать по авторуВ закладки on 24-Авг-04, 16:31  (MSK)
>это все за деньги!

За деньги это не всегда плохо. Удобно для тех, кому некогда разбираться с тонкостями системного программирования. Экономишь уйму времени.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Snort и логирование посещенных URL'ов."
Сообщение от Serg emailИскать по авторуВ закладки(??) on 06-Сен-04, 10:30  (MSK)
>>это все за деньги!
>
>За деньги это не всегда плохо. Удобно для тех, кому некогда разбираться
>с тонкостями системного программирования. Экономишь уйму времени.
Вопрос уже не актуальный ...
Сделал все сам, получилось функционально не хуже Lingate, правда эстетически пока менее красиво ... все пишится в реалтайме (урлы, ип, порты), потом агрегируется ... в общем получился полноценный биллинг для домашней сети, правда не пробовал при больших нагрузках, но 100 клиентов свободно обсчитывает.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Snort и логирование посещенных URL'ов."
Сообщение от lamerusha Искать по авторуВ закладки on 06-Сен-04, 18:33  (MSK)
.... вечный вопрос биллинга ;)

   расскажи про свое решение .. что оно умеет ? под чем бегает ? как считаешь ?

   если честно, мне оочень интересно - как у тебя сделано - Явно не стандартно - если ты решил юзать снорт ..;)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Snort и логирование посещенных URL'ов."
Сообщение от Serg emailИскать по авторуВ закладки(??) on 07-Сен-04, 10:06  (MSK)
>.... вечный вопрос биллинга ;)
>
>   расскажи про свое решение .. что оно умеет ?
>под чем бегает ? как считаешь ?
>
>   если честно, мне оочень интересно - как у тебя
>сделано - Явно не стандартно - если ты решил юзать снорт
>..;)

  :), не, на счет snort'a - это было давно, тогда ситуация не позволяла проксю поставить, а от меня требовали оповещения в реал-тайме когда кто-то на опр. сайт лезет, да и надо было вести полный лог кто куда когда ходил ...

Сейчас стоит прозрачный сквид, башем лог парсится, и в БД пишится, пишу для удобства пользователей, чтобы видели куда их траффик девается ... да и потом в конце месяца видно сколько % из кэша взято ...
Все остальное пишится с помощью переделанного uloga ...
Потом вся инфа аггрегируется и занимает очень мало места (хотя многие пугали что винта не хватит :) главное вовремя вирей зарубить, т.к. они ип перебирают и инфа почти не аггрегируется ... Вот для этого snort как раз то что надо :) )
Основная заморочка с хитрыми тарифными планами (например ежедневное списание лимита траффика, независимо от того сидел юзер или нет, изменение цены в зависимости от QoS, времени суток ...) но вроде уже дописал, теперь можно изголятся с любыми тарифами :)
Написал скрипты интеграции биллинга с DNS, DHCP, FTP, MAIL, шейпером и прочим ...
Ну в общем если интересно стучите в icq 155280021

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру