анализ траффика и мониторинг программ

[dobropalka]

Всем привет, столкнулся с двумя проблемами.

Первая:
есть задача - определить, проводит ли машина, на которой установлена моя программа, DoS - атаку.
написал сниффер на winsock, перехватываю все исходящие пакеты.
Теперь необходимо проанализировать эти пакеты и установить, проиходит ли на какой-либо адрес отсылка большого количества TCPSYN/UDP/ICMP - пакетов. Если да, то записать в лог-файл.
Вот не могу придумать алгоритм. Вроде все очевидно - нужно для каждого адреса его пакеты запихивать в отдельный массив\структуру и подсчитывать количество потенциально подозрительных запросов за какое-то время.
Но боюсь, такой подход будет требовать слишком много ресурсов, и для анализа "на лету" будет реализовать проблематично.
подскажите алгоритм, которым можно это произвести

Вторая:
анализ траффика на уровне приложений.
Нужно определять, лезет ли какая-либо программа в интернет. Если лезет программа не из белого списка, выдавать предупреждение.
Тут основная проблема - я не знаю средствами чего это можно произвести.
Гугл не помог, собственных знаний не хватает.

Заранее спасибо

[p51x]

Цитата:

Первая:
...и подсчитывать количество потенциально подозрительных запросов за какое-то время.

Какой пакет вы будете считать подозрительным?

Цитата:

Вторая:
анализ траффика на уровне приложений.

Будет провал. Нужен драйвер...

Мне все-таки кажется не в том месте этот анализ.

[dobropalka]

Цитата:

Какой пакет вы будете считать подозрительным?

потенциально подозрительные -TCPSYN/UDP/ICMP
но, я думаю, это не принципиально, какие пакеты. Главное - алгоритм

Цитата:

Будет провал. Нужен драйвер...

хм. А тот же Kaspersky Internet Security ставит в систему драйвер? не замечал
пусть даже и драйвер. Главное - в какую сторону копать.

Цитата:

Мне все-таки кажется не в том месте этот анализ.

не понял вас

[Пепел Феникса]

Цитата:

А тот же Kaspersky Internet Security ставит в систему драйвер? не замечал
пусть даже и драйвер

именно ставит.

Цитата:

потенциально подозрительные -TCPSYN/UDP/ICMP

плохой алгоритм по протоколу делить.

[dobropalka]

Цитата:

плохой алгоритм по протоколу делить.

да я и не собирался делить
мне нужно определить, отсылалось ли на какой-либо адрес больше, чем х пакетов TCPSYN/UDP/ICMP за последние y единиц времени.
решение "в лоб", боюсь, займет слишком много ресурсов

Цитата:

именно ставит

в таком случае, в какую сторону это копать, и насколько сложно реализовать то, что мне надо?

[p51x]

Цитата:

мне нужно определить, отсылалось ли на какой-либо адрес больше, чем х пакетов TCPSYN/UDP/ICMP за последние y единиц времени.

Плеер с большим трафиком по УДП тоже забаните?

Ваши у единиц должны от очень многих параметров, которые не всегда можно измерить на клиентской машине. Получаем:

Цитата:

Мне все-таки кажется не в том месте этот анализ.

Цитата:

не понял вас

Вы представляете как происходит обычный обмен между клиентом и узлом, через какие ноды (точки) он проходит?..

Вами же упомянутый КИС в первую очередь защищает именно ту машину, где стоит. Задумайтесь.

Цитата:

в таком случае, в какую сторону это копать, и насколько сложно реализовать то, что мне надо?

WinSDK, WDK, MSDN...

[dobropalka]

Цитата:

Плеер с большим трафиком по УДП тоже забаните?

плеер дает входящий трафик, а мне необходимо смотреть исходящий, так что все ок.

Цитата:

Вы представляете как происходит обычный обмен между клиентом и узлом, через какие ноды (точки) он проходит?..

достаточно знать, что заголовок любого пакета содержит destination adress и source adress.

Цитата:

Вами же упомянутый КИС в первую очередь защищает именно ту машину, где стоит. Задумайтесь.

именно это мне и нужно

тащемто, мне не нужны советы по общим принципам, переделывать и перепридумывать уже времени нет.
мне нужно знать, есть ли какие-либо алгоритмы кроме тупого подсчета

Цитата:

WinSDK, WDK, MSDN...

спасибо, посмотрим

[p51x]

Цитата:

плеер дает входящий трафик, а мне необходимо смотреть исходящий, так что все ок.

Оки. Домашняя инетрадиостанция?

Цитата:

достаточно знать, что заголовок любого пакета содержит destination adress и source adress.

Ой, ли? Если вы так считаете, то мне тут делать нечего.

Цитата:

именно это мне и нужно

Цитата:

есть задача - определить, проводит ли машина, на которой установлена моя программа, DoS - атаку.

??? Т.е. для вас машина проводи ДДоС и защита машины от ДДоС одно и то же?

Цитата:

тащемто, мне не нужны советы по общим принципам, переделывать и перепридумывать уже времени нет.
мне нужно знать, есть ли какие-либо алгоритмы кроме тупого подсчета

Так бы сразу и сказали - диплом, дайте код. Но вы определитесь с темой, а то вдруг диплом решат прочитать или вас послушать.

Цитата:

спасибо, посмотрим

если нет времени послушать основы, то не стоит смотреть... тема написания драйвера сама по себе не легкая. Хотя если вам сдать и забыть....