форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Snort и логирование посещенных URL'ов."
Сообщение от __Serg__ on 15-Июл-03, 11:06  (MSK)
Стоит задача писать лог (или прямо в базу) по каким URL'aм, в какое время ходил юзер из локальной сетки. В логе должно быть 3 поля: время, ip юзера, полный URL. Также необходимо чтобы урлы не дублировались по многу раз при загрузке страници. З.Ы. вариант со SQUID'ом и прочими проксями - не предлагать. Это надо реализовать именно при помощи snort. Заранее благодарен.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Snort и логирование посещенных URL'ов."
Сообщение от bass on 15-Июл-03, 12:22  (MSK)
>Стоит задача писать лог (или прямо в базу) по каким URL'aм, в >какое время ходил юзер из локальной сетки. В логе должно быть >3 поля: время, ip юзера, полный URL. Также необходимо чтобы урлы >не дублировались по многу раз при загрузке страници. >З.Ы. вариант со SQUID'ом и прочими проксями - не предлагать. Это надо >реализовать именно при помощи snort. > >Заранее благодарен. snort -v и смотреть минут 15. вы либо поймёте как это сделать, либо увидите матрицу ;) p.s. при хорошем желании это можно и с snort-рулесами/плагинами замутить... за вас тут целый комплекс аля прокси никто писать не будет, потому что есть уже готовые, но они вам ненужны. тупик.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Snort и логирование посещенных URL'ов."
	Сообщение от __Serg__ on 15-Июл-03, 12:39  (MSK)
	>snort -v и смотреть минут 15. >вы либо поймёте как это сделать, либо увидите матрицу ;) :) да, но содержимое пакетов не отображается ... >p.s. при хорошем желании это можно и с snort-рулесами/плагинами замутить... за вас >тут целый комплекс аля прокси никто писать не будет, потому что >есть уже готовые, но они вам ненужны. тупик. я написал рулес, и оно мне все в один лог загоняет, но информация представляется в таком виде: 07/15-10:47:44.920214 192.168.1.2:2553 -> 194.85.34.226:80 TCP TTL:128 TOS:0x0 ID:5050 IpLen:20 DgmLen:494 DF ***AP*** Seq: 0x3AE0D3F3  Ack: 0x615BB289  Win: 0x4470  TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 07/15-10:47:46.171212 192.168.1.2:2552 -> 194.85.34.226:80 TCP TTL:128 TOS:0x0 ID:5059 IpLen:20 DgmLen:495 DF ***AP*** Seq: 0x3AD90922  Ack: 0x77782234  Win: 0x40F5  TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ а мне надо видеть урлы ... вот как сделать чтобы оно информацию о урлах в логи записывало?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Snort и логирование посещенных URL'ов."
	Сообщение от _Serg_ on 15-Июл-03, 18:20  (MSK)
	Вот малехо разобрался, прописал в конфиг снорта такую строку: output log_tcpdump: snort.log а в рулес следующее: log tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (logto:"web.log"; connect:"Referer\: http\://"; flow:to_server,established;) теперь пропарсив лог я могу видеть на какие страници ходили, но в таком логе нет времени, и ип юзера, который обращался по даному урлу. Как можно к алерту напимер, или к логу приаттачить вывод tcpdumpa? или сделать чтобы в выводе tcpdumpa было время и ip юзера?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Snort и логирование посещенных URL'ов."
Сообщение от 77 on 10-Фев-04, 15:40  (MSK)
есть вариант воспользоваться тем, что уже есть: www.arsoft.ru предлагает Lingate.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Snort и логирование посещенных URL'ов."
	Сообщение от Gerasim on 05-Мрт-04, 10:51  (MSK)
	>есть вариант воспользоваться тем, что уже есть: >www.arsoft.ru предлагает Lingate. это все за деньги! бесплатного нету
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Snort и логирование посещенных URL'ов."
	Сообщение от 77 on 24-Авг-04, 16:31  (MSK)
	>это все за деньги! За деньги это не всегда плохо. Удобно для тех, кому некогда разбираться с тонкостями системного программирования. Экономишь уйму времени.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Snort и логирование посещенных URL'ов."
	Сообщение от Serg (??) on 06-Сен-04, 10:30  (MSK)
	>>это все за деньги! > >За деньги это не всегда плохо. Удобно для тех, кому некогда разбираться >с тонкостями системного программирования. Экономишь уйму времени. Вопрос уже не актуальный ... Сделал все сам, получилось функционально не хуже Lingate, правда эстетически пока менее красиво ... все пишится в реалтайме (урлы, ип, порты), потом агрегируется ... в общем получился полноценный биллинг для домашней сети, правда не пробовал при больших нагрузках, но 100 клиентов свободно обсчитывает.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Snort и логирование посещенных URL'ов."
	Сообщение от lamerusha on 06-Сен-04, 18:33  (MSK)
	.... вечный вопрос биллинга ;)    расскажи про свое решение .. что оно умеет ? под чем бегает ? как считаешь ?    если честно, мне оочень интересно - как у тебя сделано - Явно не стандартно - если ты решил юзать снорт ..;)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Snort и логирование посещенных URL'ов."
	Сообщение от Serg (??) on 07-Сен-04, 10:06  (MSK)
	>.... вечный вопрос биллинга ;) > >   расскажи про свое решение .. что оно умеет ? >под чем бегает ? как считаешь ? > >   если честно, мне оочень интересно - как у тебя >сделано - Явно не стандартно - если ты решил юзать снорт >..;)   :), не, на счет snort'a - это было давно, тогда ситуация не позволяла проксю поставить, а от меня требовали оповещения в реал-тайме когда кто-то на опр. сайт лезет, да и надо было вести полный лог кто куда когда ходил ... Сейчас стоит прозрачный сквид, башем лог парсится, и в БД пишится, пишу для удобства пользователей, чтобы видели куда их траффик девается ... да и потом в конце месяца видно сколько % из кэша взято ... Все остальное пишится с помощью переделанного uloga ... Потом вся инфа аггрегируется и занимает очень мало места (хотя многие пугали что винта не хватит :) главное вовремя вирей зарубить, т.к. они ип перебирают и инфа почти не аггрегируется ... Вот для этого snort как раз то что надо :) ) Основная заморочка с хитрыми тарифными планами (например ежедневное списание лимита траффика, независимо от того сидел юзер или нет, изменение цены в зависимости от QoS, времени суток ...) но вроде уже дописал, теперь можно изголятся с любыми тарифами :) Написал скрипты интеграции биллинга с DNS, DHCP, FTP, MAIL, шейпером и прочим ... Ну в общем если интересно стучите в icq 155280021
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.