Submitted by 熊茂祥 on 2021, March 25, 8:25 PM
由于自己分析需要,特此建立该项目。
该项目使用GOLANG开发的TRAFFICLOG后台,并将数据记录到MYSQL中。
TRAFFICLOG项目将实现以下功能:
1.可记录源IP,目的IP,协议,源端口,目的端口,持续通讯时间,通讯数据包数量,通讯传输字节等流量信息。(已完成)
2.可解析目的IP的地理位置及运营商。(2020.06.30已完成)
3.支持多路由汇聚记录后分开查询。(2020.07.01已完成)
4.可通过配置文件调节记录过滤参数,包括持续时间,包数量,通讯字节大小等来判断是否被记录。(2020.08.07已完成)
5.可过滤不正常的日志数据包来防止出现程序异常。(已完成)
6.允许自定义最大存储天数,可自动清除旧数据。(2021.03.12已完成)
7.可将数据存储至内存,无需写盘,适合短期存储。(2021.03.25已完成)
8.可设置配置文件,若包含文件内的黑名单的IP则不记录。(2020.07.01已完成)
9.可设置配置文件,若源IP包含在文件的白名单IP段则记录,用于透传流量分析。(2020.07.07已完成)
10.配置文件整合,支持单配置文件使用固定格式来完成多个参数设定,扩展支持更多自定义参数。(2020.08.07已完成)
11.支持全段公网NAT转发业务环境,作为中间转发时也能正确解析记录。本环境通常用于被攻击时的日志分析。(2021.01.13已完成)
12.支持配置文件定义IP定位时选择源地址或者目的地址。(2021.01.13已完成)
之后可能会按需扩展其他功能。
» 阅读全文
Tags: ros, traffic, 流量, 记录, 日志
ROS | 评论:2
| 阅读:13688
Submitted by 熊茂祥 on 2019, December 18, 12:00 AM
新建CONLOG项目(自用)
由于某些业务点需要NAT日志审计,特此建立该项目。
该项目使用GOLANG开发的CONLOG后台,并将数据记录到MYSQL中。
CONLOG项目以实现以下功能:
1.可记录源MAC,源IP,目的IP,协议,源端口,目的端口,进入网口,出去网口。
2.可解析目的IP的地理位置及运营商。
3.可按日期,时间搜索各种范围日志,也可以按记录到的MAC,IP,端口等字段搜索。
4.支持多路由汇聚记录后分开查询。
5.可调节MYSQL记录缓存池大小来优化不同场景的效率。
6.可过滤不正常的日志数据包来防止出现程序异常。(比如非日志内容主动发往该程序端口,将不会被记录和解析。)
7.允许自定义最大存储天数,可自动清除旧数据。
8.可将数据存储至内存,无需写盘,适合短期存储。
之后可能会按需扩展其他功能。
» 阅读全文
Tags: ros, syslog, nat, 记录, 链接
技术文档 | 评论:2
| 阅读:19082
Submitted by 熊茂祥 on 2019, September 25, 8:45 AM
程序名称:DNSLOG
程序功能:使用ROS的TZSP功能采集DNS记录发送到服务器集中存储,方便对域名解析故障排查分析。方便按IP或者域名检索数据库,可筛查IP和域名对应关系。
更新版本:0.3
时间:2019.09.25
更新内容:支持解析IP定位和ISP类型。
更新版本:0.2
时间:2019.07.05
更新内容:服务端支持命令传参,允许自定义控制台是否回显,是否解析cname。
更新版本:0.1
时间:2019.06.23
更新内容:服务端采用GOLANG语言编写,MYSQL进行存储。已支持IP,域名,CNAME关系采集记录,并且支持自动去重,防止反复记录已有的内容。支持命令设置安静模式和常规模式。
» 阅读全文
Tags: ros, tzsp, dns, 记录, ip
ROS | 评论:0
| 阅读:24716
Submitted by 熊茂祥 on 2016, October 27, 3:14 PM
程序名称:PING监测中心
程序功能:监测单个或多个IP延时情况,并在超过设定阀值时记录到数据库。可自行设置记录阀值,检测频率。内置一套LOL监测模板。可分别显示每个IP所产生的对应超过阀值记录。清空记录直接删除数据库文件即可。
PS:程序无弹窗,无内置广告。
已知BUG:无法监测114.114.114.114等分布式结构的IP。能力有限,无法处理此BUG。
» 阅读全文
Tags: ping, 检测, 监测, 延时, 记录
技术文档 | 评论:10
| 阅读:50468
Submitted by 熊茂祥 on 2016, July 6, 5:05 PM
程序名称:用户URL日志收集器
程序用途:用于集中接收ROS发送用户URL,QQ日志。并将接受的日志内容进行存储方便之后追踪查询。(需ROS6X版本)
程序价格:4000元(永久授权,绑定硬件。内测价格)
内测时间:2015.10.1开始,结束时间待定。
开始销售时间:2015.10.1
运行环境:WIN2003/2008/2012,MSSQL2000/2005/2014,.net4运行库
当前已实现功能:
1.使用tzsp协议集中接收ROS发来的用户URL,QQ日志。(可一对多,VB.NET性能优化后效果显著。)
2.将接收到的日志内容存储至数据库。
3.数据库将按时间和日期进行分表及分库存放。(日志每100台电脑,记录24小时,URL大约需要500M空间。QQ大约需要30M空间)
4.记录URL的内容包括原MAC,原IP,目的IP,目的URL,GET或者POST行为,Referer(URL来源),User-Agent(浏览器名称),COOKIE记录(这个正在考虑是否开放)。
5.记录QQ的内容包括原MAC,原IP,QQ号码。
6.能采集到部分手机APP应用信息,且能正常识别手机APP应用名称。(这属于意外收获,但不确保采集效果和采集正确程度。)
7.支持access和mssql两种数据库记录方式。(100以上终端建议使用mssql)
8.支持多线程工作并自动侦测每个线程工作状态并显示。
9.支持数据库文件组,可以选择数据库容量从4G-1800G,自动按照容量生成合适数量的URL和QQ文件组。
重要提示:
1.本程序仅能采集并解码HTTP协议的的URL,且默认对接脚本仅采集80端口的HTTP。
2.本程序采集QQ方式不一定兼容所有移动设备客户端,目前仅测试IPHONE5,IPHONE6P,ME525可以正常采集到QQ号码。
3.本程序只能采集到小于1500的数据包内容,由于tzsp暂不支持分片传输,本程序将无法采集到的大于1500的数据包内容,暂时无法解决!通常get内容不会大于1500,但是post内容在某些情况下会大于1500导致无法正常采集到这些内容。如果在下级设备做了包分片,将可以正确采集到这些信息。
4.本程序只支持与ROS6X使用TZSP对接,可以跨三层对接。不具备ROS6X的环境请勿购买。目前无支持其他对接方式的计划 。
已发现BUG:当数据库容量达到10G,程序的采集工作将出现异常。(经过核实,使用企业版则无10G限制。)
目前已计划完成功能:
1.开发日志内容搜索程序,按需求对日志进行搜索追踪。
以后可能会完成的功能:
1.对记录到数据库的日志内容进行AES,DES或者混合加密。确保数据库泄漏也不会造成用户隐私泄露。(由于过于消耗CPU,取消计划)
» 阅读全文
Tags: ros, url, 记录, 采集, qq
ROS | 评论:0
| 阅读:48811
