![[info]](https://lj.kraslan.strangled.net/img/userinfo.gif) barns | 30 Июн, 2014 20:51 первая таблица:
acid_event
поля id, timestamp, ip_src, ip_dst, layer4_sport, layer4_dport
вторая таблица:
extra_data
поля event_id, userdata1, userdata2, userdata3, userdata4, userdata5, userdata6
Эти две таблицы содержат описание одного евента - разные поля в разных таблицах
Каждый евент - собитие циски "с такого-то ипа на такой-то ип по таким-то портам пришёл пакет, это была udp бомба, отброшена"
В userdata1 содержится описание евента (udp bomp), userdata2 и userdata3 - там ли dymanic, если порт в полях layer4_sport или layer4_dport динамический (userdata2 для сорса, userdata3 для дестинашена).
В userdata4 находится "рискованность евента", в userdata5 - кол-во пакетов (всегда 1)
userdata6 - действие киски (dropped или passed)
Так вот имется гора евентов. Надо группировать их по типам, т.е. чтобы все поля совпадали кроме timestamp. В случае если порт dynamic, то группирует их тоже (т.е. если порт динамик, то группируем их все, хоть там 50000, хоть 60000, а если порт 80, то группируем только с 80)
На выходе должно быть:
время_первого_пакета - время_последнего_пакета, ip_src, ip_dst, layer4_sport (в случае если динамик, то минимальный из всего что было), layer4_dport (в случае если динамик, то минимальный из всего что было),
userdata1,
userdata6.
Вот так вот.
Я догадываюсь что там на день чтения мануала, но я уже замещаю одного человека, а с завтра второго буду замещать, так что ебашу за троих (
Read Comments |
