On Fri, Apr 13, 2007 at 04:27:52PM +0300, Victor Cheburkin wrote:
Дано: у клиента запущено "что-то". Это "что-то" открывает tcp- и udp- сокеты на одинаковом "верхнем" порту и работает с довольно большим количеством потоков, при этом порты "коннектящихся" клиентов разбросаны довольно случайным образом.
Если есть возможность, то я бы попробовал снять траффик tcpdump'ом, а потом подсунуть его ethereal'у -- что-то он умеет распознавать.
Нет такой возможности... Только netflow... Но очень четкий признак (один порт для tcp и udp, и использование практически только его), я думал, про него уже все, кроме меня, знают :)
Я бы сказал, что это торрент-клиент на нестандартном порту.
Я бы даже сказал, что "на стандартном для протокола нестандартном порту". На данном паттерне я уже выловил с десяток пользователей, признак у всех общий, а порты у всех разные... :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message