Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2016-03-09 01:45:00

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Programik do alarmowania anomalli sieciowych.

Cześć

Do wyświetlania na żywo obciążenia sieci jest programów w trzy i trochę.

Ale ja potrzebuję coś, co działa sobie jako demon w tle, i w razie, jak np liczba pakietów przekracza ustaloną wartość, potrafi uruchomić polecenie zdefiniowane w konfigu.

Zasadniczo da się tak dosyć łatwo oskrypcić Snorta, ale z ostatnią wersją wersją coś do ładu dojść nie mogę, a i serwerek jest troszkę za mały, żeby na nim niekonieczne śmiecie instalować.
Komunikację z serwerem zapewnia robot XMPP napisany w Perlu, który będzie odbierał informacje od różnych części systemu przez socket unix.

Potrzebuję coś maksymalnie lekkiego, niezawodnego i działającego, bez wielgachnych interfejsów WWW czy Ncurses.

Praktycznie idealnie byłoby oskrypcić Vnstata, ale on sam o ile mi wiadomo skryptów nie odpala, a mnie chodzi o demona realtime, a nie odpalanie polecenia z Crona.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2016-03-09 02:42:43)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#2  2016-03-09 14:30:18

  Piotr3ks - Też człowiek :-)

Piotr3ks
Też człowiek :-)
Skąd: Białystok
Zarejestrowany: 2007-06-24

Re: Programik do alarmowania anomalli sieciowych.

Może swatch do tego zaprzęgnąć?
http://www.linux-mag.com/id/7807/

W sensie do pliku zapisywać liczbę pakietów i swatch'em obserwować. Może te parametry możesz z /proc wyciągnąć?

Ostatnio edytowany przez Piotr3ks (2016-03-09 14:35:37)

Offline

 

#3  2016-03-09 18:26:26

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Programik do alarmowania anomalli sieciowych.

Z /proc mogę, ale nie lubię demonów w perlu/bash, bo nawet robocik XMPP - 80 linijek, też ~30MB RAM potrzebuje:

Kod:

 23.6 MiB +   8.2 MiB =  31.8 MiB    robot

a jeszcze nie dostał połowy kodu, np obsługi socketu UNIX, kilku funkcji i regexów,
to z resztą bardzo wczesna wersja.

Swatch bazuje na logach, zupełnie nie o to chodzi, na razie sprawdzę to:
[b]net-analyzer/ipband[/b]  - http://ipband.sourceforge.net/

Potrafi toto maile wysyłać, ale może mała poprawka w kodzie albo obudowanie go jakimś grepem pozwoli na akcje, jakie planuję.
Od odpalenia polecenia mail do odpalenia dowolnego polecenia jest już dosyć niedaleko.

EDIT:
w ogóle nie ma problemu:
[quote="man ipband"]-T string
              MTA   command   string   for   mailing   reports.   Default   is
              "/usr/sbin/sendmail -t -oi". The string is tokenized and  passed
              directly  to  exec(),  so  that  shell's  metacharacters are not
              interpreted.[/quote]

Ostatnio edytowany przez Jacekalex (2016-03-09 18:37:16)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2016-03-09 18:36:15

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Programik do alarmowania anomalli sieciowych.

najwyższy czas nauczyć się C (bez plusplusów i innych krzyżyków).
podobny program pisany na bazie kodu bandabusers (niestety, źródła mam chyba w /dev/null albo obok) wymagał pamięci liczonej w kilobajtach...


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#5  2016-03-09 18:44:14

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Programik do alarmowania anomalli sieciowych.

2816

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:36:41)

Offline

 

#6  2016-03-09 19:00:33

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Programik do alarmowania anomalli sieciowych.

[quote=ethanak]najwyższy czas nauczyć się C (bez plusplusów i innych krzyżyków).
podobny program pisany na bazie kodu bandabusers (niestety, źródła mam chyba w /dev/null albo obok) wymagał pamięci liczonej w kilobajtach...[/quote]
Może i nauczyć, ale w repo Linuxa jest pierdylion różnych wynalazków, dlatego postanowiłem czegoś poszukać.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2016-03-09 19:03:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Programik do alarmowania anomalli sieciowych.

[quote=uzytkownikubunt][quote=Jacekalex]Potrzebuję coś maksymalnie lekkiego, niezawodnego i działającego, bez wielgachnych interfejsów WWW czy Ncurses.[/quote]
A mi do podręcznych notatek o dokumentach niedawno mówiłeś, że serwer www + przeglądarka to lekkie i poręczne rozwiązanie, a teraz nagle nawet ncurses jest ciężkie.[/quote]
Co innego podręczne notatki na solidnym domowym kompie (gdzie po necie i tak przez telnet nie buszujesz), a co innego malutki serwerek, w którym każdy kilobajt jest na wagę złota.

Nikt tobie nie kazał używać do Mysqla FF czy Chrome, serwera WWW i phpmyadmina na RPI, a ten serwerek ma parametry podobne do RPI.

Pozdro


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2016-03-09 19:06:36

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Programik do alarmowania anomalli sieciowych.

2817

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:36:43)

Offline

 

#9  2016-03-09 19:24:07

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Programik do alarmowania anomalli sieciowych.

[quote=uzytkownikubunt]Nie zawsze jak uruchamiam PC to uruchamiam przeglądarkę i/lub włączam X.Org...
A podręczne oznacza, że również wtedy powinienem mieć do nich dostęp.
A ncurses jest lekki nawet jak na Raspberry Pi.[/quote]
Pod warunkiem, że poza tym ncurses nie chodzi tam z a dużo usług, a tam już jest Mariadb i serwer ts3, do tego Nginx, Php i Proftpd.
Także wystarczy obciążenia, a poza tym to i tak nie chcę tego monitorować na żywca, tylko mieć komunikat przez Jabbera, jak coś się kaszani.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2016-03-09 19:33:20

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Programik do alarmowania anomalli sieciowych.

2818

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:36:44)

Offline

 

#11  2016-03-09 19:59:22

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Programik do alarmowania anomalli sieciowych.

[quote=uzytkownikubunt]Nie da się tego przez rsyslog wykonać?
https://unix.stackexchange.com/a/260012
Tylko uruchomiony program/skrypt musiałby szybko się kończyć, bo rsyslog czeka na jego zakończenie.
albo taki moduł (wyraźnie inaczej działa, zależy czego potrzebujesz):
http://www.rsyslog.com/doc/v8-stable/configuration/modules/omprog.html[/quote]
Pewnie się da, tylko po co, rsyslogd o ile mi wiadomo i tak nie sprawdza obciążenia na eth0,
i jak tam nagle zacznie niebezpiecznie wzrastać liczba PPS, to musi się o tym dowiedzieć od jakiegoś demona, który tego pilnuje, albo z logów netfiltera, który to zaloguje.

Domyślnie w Linuxie takiego demona po prostu nie ma, jest co prawda netfilter, ale ten loguje blokowane połączenia, a nie całe obciążenie.

Więc albo trzeba naskrobać demona, który sczytuje co kilka sekund /proc/net/dev czy /sys/class/net/eth0/* i porównuje wartości, albo zatrudnić program, który to potrafi.

Ipband wydaje się działać tak, jak chciałem.

Można też ustawić limity globalne w netfilterze i logowanie przekroczenia limitu, wtedy swatch może się nadać, albo dowolny regex, nad takim rozwiązaniem też się zastanawiam, ale chciałem spróbować jakiegoś lekkiego demona zamiast.

EDIT:
Nawet nie jest taki straszny:

Kod:

264.0 KiB +   1.6 MiB =   1.9 MiB    ipband

Pozdro

Ostatnio edytowany przez Jacekalex (2016-03-09 21:25:23)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2016-03-09 20:04:14

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Programik do alarmowania anomalli sieciowych.

dał sznurek... bandsbusers nie zaczytuje żadnych (pseudo)plików tylko normalnie siedzi na interfejsie i liczy pakiety w czasie rzeczywistym.
mając takie dane mogę zrobić praktycznie wszystko.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#13  2016-03-09 21:56:21

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Programik do alarmowania anomalli sieciowych.

[quote=ethanak]najwyższy czas nauczyć się C (bez plusplusów i innych krzyżyków).
podobny program pisany na bazie kodu bandabusers (niestety, źródła mam chyba w /dev/null albo obok) wymagał pamięci liczonej w kilobajtach...[/quote]
[quote=ethanak]dał sznurek... bandsbusers nie zaczytuje żadnych (pseudo)plików tylko normalnie siedzi na interfejsie i liczy pakiety w czasie rzeczywistym.
mając takie dane mogę zrobić praktycznie wszystko.[/quote]
Sznurek o bandabusers dał?

Gdzie?

Może ktoś polecić lepszego  okulistę? Bo coś nie widzę...

Ostatnio edytowany przez Jacekalex (2016-03-09 22:16:12)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.017 seconds, 9 queries executed ]

Informacje debugowania

Time (s) Query
0.00019 SET CHARSET latin2
0.00007 SET NAMES latin2
0.00191 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='44.204.217.37' WHERE u.id=1
0.00143 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '44.204.217.37', 1711722100)
0.00084 SELECT * FROM punbb_online WHERE logged<1711721800
0.00145 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28370 AND t.moved_to IS NULL
0.00014 SELECT search_for, replace_with FROM punbb_censoring
0.00469 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28370 ORDER BY p.id LIMIT 0,25
0.00172 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28370
Total query time: 0.01244 s