Programma Monitoraggio Banda O_o'

[cionci]

Quote:

Originariamente inviato da 71104
CreateFile, che domanda...

Appunto...pensa a CreateFile che legge in contemporanea con una scrittura anche parziale sul file...

[tglman]

Altrimenti per sniffare la rete esiste Ethereal che usa le librerie pwincup ed è disponibile anche il codice sorgente

Ciao!!

[71104]

Quote:

Originariamente inviato da cionci
Appunto...pensa a CreateFile che legge in contemporanea con una scrittura anche parziale sul file...

-.-'

[71104]

Quote:

Originariamente inviato da tglman
Altrimenti per sniffare la rete esiste Ethereal che usa le librerie pwincup ed è disponibile anche il codice sorgente

Ciao!!

-.-'

[tglman]

Inizio col dire che il mio parere è quello che voi dovreste costuire dei softwere su misura anche se ci vuole troppo tempo, etheral fornisce un numero elevato di informazioni che possono essere molto utili. e avendo il codice sorgente (etheral è open source)
potete lavorarci un po sopra per avere esattamente cio che vi serve.
Ciao..

[71104]

uffaaaa, ethereal si basa sulle winpcap, che non vanno bene x i nostri scopi; ringrazio tutti per i loro interventi, ma ricordo a tutti (pur non essendo moderatore) che in genere su un forum per postare bisogna prima leggere o almeno scorrere velocemente quello che è già stato scritto, altrimenti (come sta succedendo ora) bisogna ripetere 3 volte le stesse cose.

[71104]

e dimenticavo: giusto per chiarezza, le winpcap non vanno bene perché non permettono di distinguere il traffico di un processo da quello di un altro.

[71104]

bene: e ora gli headers delle IP Helper API dove li trovo?

[tglman]

il processo si puo identificare dal numero di porta della connessione, tutti i processi server anno uno o più numeri di porte, ad esempio 80 http, e non si può mettere in listen la stessa porta due volte, quindi basta controllare il traffico sulle porte di un processo per sapere la banda.
Esempio:

dal netstat si possono ricavare informazioni rigardo i binomio porta-processo(su winxp), e dall winpcap si possono ricavare le informazioni riguardo il binomio porta-banda

mettendo insieme queste due informazioni riesci ad avere il binomio proceso-banda.

[Rubberick]

forse non e' una cattiva idea... ma per programmi che non nascono con collegamenti a porte aperte?? o che le aprono randomicamente al momento? risulta un po' complesso...

e' comunque una soluzione... seppur limitata... vediamo se si puo' trovare un'altra via altrimenti ricorreremo a questa grazie

[cionci]

A me il sorgente di Sysinternals l'ha compilato con Visual Studio...

[71104]

Quote:

Originariamente inviato da tglman
il processo si puo identificare dal numero di porta della connessione, tutti i processi server anno uno o più numeri di porte, ad esempio 80 http, e non si può mettere in listen la stessa porta due volte, quindi basta controllare il traffico sulle porte di un processo per sapere la banda.
Esempio:

dal netstat si possono ricavare informazioni rigardo i binomio porta-processo(su winxp), e dall winpcap si possono ricavare le informazioni riguardo il binomio porta-banda

mettendo insieme queste due informazioni riesci ad avere il binomio proceso-banda.

no scusa, qui mi sa che stiamo confondendo qualcosa; allora, io ho un numero di porta; come faccio da un numero a ricavare l'handle (o quantomeno il PID) del processo (sempre che esista) che sta ascoltando su quella porta?

e poi scusa, se invece non si tratta di un processo server? come faccio a ricavare il pid di un programma che si connette verso l'esterno?

e ancora una volta ricordo che non tutti i programmi usano i sockets...

il problema fondamentalmente è il seguente: diciamoci la verità quello che ci vorrebbe è un bel driver, da solo risolverebbe ogni problema, ma non abbiamo la possibilità di farlo, quindi la domanda si traduce in: COME FARE PER INTERCETTARE IL TRAFFICO DI RETE DI CIASCUN SINGOLO PROCESSO OPERANDO ESCLUSIVAMENTE IN USER MODE???

(la mia risposta: non si può...)

[Rubberick]

bel casino davvero... ma quello che mi chiedo io... il netlimiter usa un driver?? a me pare di no! infatti lo installi e da subito lo puoi avviare e ti visualizza tutto quello che fanno le app... se fosse un driver quanto meno toccherebbe riavviare!

[71104]

Quote:

Originariamente inviato da Rubberick
bel casino davvero... ma quello che mi chiedo io... il netlimiter usa un driver?? a me pare di no! infatti lo installi e da subito lo puoi avviare e ti visualizza tutto quello che fanno le app... se fosse un driver quanto meno toccherebbe riavviare!

non necessariamente; so poco sullo sviluppo dei drivers, ma una cosa che so è che possono essere caricati "on system boot" oppure "on demand".

[71104]

a tal proposito questo link è molto istruttivo; introduce allo sviluppo di programmi kernel mode e me lo sto leggendo, ma non vuol dire che abbia intenzione di creare un driver.

[tglman]

Capiamo prima come funziona il sistema windows sulle comunicazioni di rete, quando viene installata una rete viene creato automaticamente un dispositivo(cioè un file apribile con createfile) che si occupa del livello fisico della comunicazione, tutti i dati scritti sul dispositivo vengono inviati sulla rete e tutti quelli letti vengono dalla rete, però ricordiamoci che questa specie di file si occupa solo del livello fisico e quindi tutti i protocolli come il tcp devono essere inplementati sopra, tutti i programmi di sniffing leggono da questi dispositivi e rielaborano i dati a seconda del protocollo dato, poi qualche software riassocia anche i dati agli handle e quindi ai processi, e per fare questo non ce bisogno di alcuni nessun driver perchè al di sopra del livello fisico tutte le strutture sono standard.

Infine se si possiede un sistema winxp(solo su xp) il banale programma netstat associa alle connessioni l'id del processo che le sta usando.

[cionci]

Abbiamo il sorgente di un programma simile al netstat ed è nella pagina precedente...per ottenere il binomio applicazione-porta...
Non si può fare un query diretta tramite l'eseguibile di nestat perchè è un procedura molto lenta...

Una volta mi guardai un programma che faceva lo sniffing di tutte le connessioni...funzionava alla perfezione su Windows 98, ma su Windows 2000 mi prendeva solo il traffico in ingresso e non quello in uscita (o viceversa, non mi ricordo)...comunque non faceva uso di un driver... Lo trovai su Planet Source Code...

[Rubberick]

Intanto... io ho notato che quelli del netlimiter stanno per far uscire la 2.0 e c'e' la 2.0 alpha gia' disponibile con un forum dove discutere con le varie proposte...

non ho perso un'attimo e ho fatto vari post con registrazioni diverse a chiedere tale funzione :P

mi sono presentato una volta come Rubberick, una volta come un certo Antony Marklands ecc... :P

Tale signor Marklands, Network Manager per la ditta Zyfay United che usa nei loro uffici il netlimiter ecc ecc ghgh

Speramo che mo la implementano! :P

E' carino il netlimiter 2 stanno aggiungendo un sacco di cavolate tipo una specie di firewall integrata... e si spera aggiungeranno anche una gestione dinamica della banda in seguito alla priorita' di applicazioni e cose varie :P!

EDIT: Gli ho anche mandato un'email al supporto tecnico chiedendo se tale opzione e' disponibile nella ver 1.3... insomma li sto un attimino bombardando :P

[71104]

BWUAHWUAHWUAHWUA ma che LOL!!!!!!!!!
Antony Marklands... ma come t'è venuto in mente...!!!

[71104]

Quote:

Originariamente inviato da tglman
Capiamo prima come funziona il sistema windows sulle comunicazioni di rete, quando viene installata una rete viene creato automaticamente un dispositivo(cioè un file apribile con createfile) che si occupa del livello fisico della comunicazione, tutti i dati scritti sul dispositivo vengono inviati sulla rete e tutti quelli letti vengono dalla rete, però ricordiamoci che questa specie di file si occupa solo del livello fisico e quindi tutti i protocolli come il tcp devono essere inplementati sopra, tutti i programmi di sniffing leggono da questi dispositivi e rielaborano i dati a seconda del protocollo dato, poi qualche software riassocia anche i dati agli handle e quindi ai processi, e per fare questo non ce bisogno di alcuni nessun driver perchè al di sopra del livello fisico tutte le strutture sono standard.

Infine se si possiede un sistema winxp(solo su xp) il banale programma netstat associa alle connessioni l'id del processo che le sta usando.

ehm, ma scusa, questo fatto del file dove l'hai saputo? e cmq a noi non serve perché anche se fosse, quello è ancora il kernel mode.
soluzione non ortodossa, poco efficace, ma relativamente semplice: creare una DLL da iniettare in ciascun processo che intercetti tutte le chiamate Winsock; come già detto, semplice da implementare, decisamente poco ortodossa, e poco efficace (anche questa riguarda solo i sockets ed esclude quindi tutte le comunicazioni RPC).