https://opennet.ru/openforum/vsluhforumID3/84164.html Глен Финк (Glen Fink) из команды исследователей Министерва энергетики США, представил (http://www.eweek.com/c/a/Enterprise-Networking/New-Security-Sensor-Gives-Admins-Better-View-of-Network-Attacks-523407/) инструмент для исследования безопасности Hone (https://github.com/HoneProject), предназначенный для глубокого и детального исследования сетевой активности внутри крупных компьютерных систем. По словам создателя, инструмент способен дать администраторам более полную картину взаимосвязей между сетевыми пакетами, чем обычные средства исследования сетевой активности.<br><br><br>Главная идея Hone (HOst-NEtwork) - дать наглядное представление взаимосвязей между машинами, приложениями и подозрительными пакетами, обнаруженными внутри сети. Hone позволяет сгенерировать графическое представление этих взаимосвязей, благодаря которому можно без труда найти источник проблемы, проследив путь трафика от машины назначения к источнику, приложению и конкретному процессу, сгенерировавшему пакеты.<br><br><br>Hone реализован в виде сетевого https://opennet.ru/openforum/vsluhforumID3/84164.html#29 Tue, 08 May 2012 18:13:11 GMT Это вы с каких годов хаутушки копипастили?<br>cmd-owner с 2.6.15 не работает, хватит ним трясти.<br> https://opennet.ru/openforum/vsluhforumID3/84164.html#28 Mon, 23 Apr 2012 22:29:07 GMT &gt; -m owner поддерживает только --uid-owner и --gid-owner.<br>&gt; Где тут фильтр по приложениям?<br><br>--cmd-owner name<br>Matches if the packet was created by a process with the given<br>command name. (this option is present only if iptables was com-<br>piled under a kernel supporting this feature) <br> https://opennet.ru/openforum/vsluhforumID3/84164.html#27 Mon, 23 Apr 2012 21:39:12 GMT &gt;&gt; Это любой студент <br>&gt;&gt; может запилить. Так об чем новость?<br>&gt; В тихоокеанских лабораториях обнаружены студенты с пилой! Опасность, они рвутся наружу... <br><br>Пила 0xFF ? :))<br><br> https://opennet.ru/openforum/vsluhforumID3/84164.html#26 Mon, 23 Apr 2012 21:36:21 GMT &gt; Это что, теперь в линухах можно будет отслеживать трафик конкретного приложения?<br><br>Да давно уже можно было, блин RTFM!<br><br>man iptables<br><br>owner<br>This module attempts to match various characteristics of the packet<br>creator, for locally-generated packets. It is only valid in the OUTPUT<br>chain, and even this some packets (such as ICMP ping responses) may<br>have no owner, and hence never match.<br><br>--uid-owner userid<br>Matches if the packet was created by a process with the given<br>effective user id.<br><br>--gid-owner groupid<br>Matches if the packet was created by a process with the given<br>effective group id.<br><br>--pid-owner processid<br>Matches if the packet was created by a process with the given<br>process id.<br><br>--sid-owner sessionid<br>Matches if the packet was created by a process in the given ses-<br>sion group.<br><br>--cmd-owner name<br>Matches if the packet was created by a process with the given<br>command name. (this option is present only if iptables was com-<br>piled under a kernel supporting this feature) <br> https://opennet.ru/openforum/vsluhforumID3/84164.html#25 Sat, 21 Apr 2012 18:37:20 GMT -m owner поддерживает только --uid-owner и --gid-owner.<br>Где тут фильтр по приложениям?<br> https://opennet.ru/openforum/vsluhforumID3/84164.html#24 Fri, 20 Apr 2012 06:56:18 GMT Я не знаю.<br> https://opennet.ru/openforum/vsluhforumID3/84164.html#23 Thu, 19 Apr 2012 23:37:26 GMT &gt;Расширение работает с INPUT?<br><br>Нет. И с png тоже. А Hone работает с INPUT?<br> https://opennet.ru/openforum/vsluhforumID3/84164.html#22 Thu, 19 Apr 2012 11:53:09 GMT Расширение работает с INPUT?<br> https://opennet.ru/openforum/vsluhforumID3/84164.html#21 Thu, 19 Apr 2012 11:03:13 GMT &gt; Направьте на хаутушку, как фильтровать трафик не по назначению (адресам&#124;портам), а по приложениям.<br><br>...берём православный iptables, знакомимся с его расширением "-m owner", и готовим до желаемого состояния.<br>It is just work.<br><br>