El día 27 de abril de 2012 15:14, Carlos Herrera Polo <carlos.herrerap...@gmail.com> escribió: > Coincido con Cesar. > Seria interesante alguna herramiente que pueda tomar las variables que > mencionas y mostrar el trafico graficamente. > Mi caso imagino es similar al tuyo Cesar, tengo un firewall Juniper > que envia por syslog el trafico de red, con un script en python que > hice convierto esos registros en valores que inserto en una base de > datos Mysql ya con los resumenes de trafico x usuario, pero eso es > todo y no ayuda demasiado... > Si se pudiera utilizar "algo" para volcar esa informacion a graficas > seria genial
Bueno, graficar el tráfico ni idea, pero para armar el grafo puedes utilizar digraph[1]; y puedes localizar a donde pertenecen a través de un whois o utilizar la información de RIR[2]. [1] http://networkx.lanl.gov/reference/classes.digraph.html [2] http://www-public.it-sudparis.eu/~maigron/RIR_Stats/RIR_Delegations/LACNIC/IPv4-ByNb.html > > > > El 27/04/12, César García <cel...@gmail.com> escribió: >> G V, >> en este caso en específico considero sospechoso muchas conexiones desde y >> hacia un sitio. >> >> Jeyson, >> >> en este caso en particular no tengo el pcap, el cual como acertadamente >> mencionas me aligeraría mucha la carga. >> >> >> >> >> El 27 de abril de 2012 11:22, Jeyson Henao <jahena...@gmail.com> escribió: >> >>> Hola, >>> >>> Las capturas de red en esta caso .pcap son precisamente para esto, que >>> con >>> el uso de una herramienta (wireshark) puedes determinar mediante >>> tu análisis y el apoyo en la herramientas las actividades realizadas por >>> dichas maquina. O enfocarte en una herramienta que te parseado de la info >>> que tienes en ese archivo. >>> >>> >>> Saludos... >>> >>> >>> 2012/4/27 G V <nada...@gmail.com> >>> >>>> qué considerarias sospechoso? muchas conexiones a un mismo sitio? >>>> desde un mismo sitio? una secuencia? >>>> >>>> 2012/4/27 César García <cel...@gmail.com>: >>>> > Saludos a todos en la lista: >>>> > >>>> > Tengo una lista de direcciones IP como la siguiente: >>>> > >>>> > [['10.0.0.1', '172.16.0.2'], ['10.0.0.2', '172.16.0.4'], ['10.0.2.1', >>>> > '172.16.0.6'], ['10.0.0.1', '172.16.0.2']] >>>> > >>>> > pero con muchas mas direcciones, cada lista representa fuente y >>>> > destino >>>> de >>>> > una conexión tc, esta información fue extraída de un log, quisiera >>>> > solicitarles cordialmente orientación, ya que quisiera analizar esta >>>> > información en busqueda de algun tipo de actividad sospechosa. >>>> > Encontré >>>> el >>>> > proyecto NetGrok[1] que hace lo que necesito pero con archivos pcap, y >>>> la >>>> > información que tengo es en texto. >>>> > >>>> > Me pregunto si sería posible hacer un gráfico esta información para >>>> > visualizar esto de forma más fácil, claro esta que cualquier otra >>>> sugerencia >>>> > de la lista esta más que bienvenida >>>> > >>>> > [1] http://www.cs.umd.edu/projects/netgrok/ >>>> > >>>> > _______________________________________________ >>>> > Python-es mailing list >>>> > Python-es@python.org >>>> > http://mail.python.org/mailman/listinfo/python-es >>>> > FAQ: http://python-es-faq.wikidot.com/ >>>> > >>>> _______________________________________________ >>>> Python-es mailing list >>>> Python-es@python.org >>>> http://mail.python.org/mailman/listinfo/python-es >>>> FAQ: http://python-es-faq.wikidot.com/ >>>> >>> >>> >>> _______________________________________________ >>> Python-es mailing list >>> Python-es@python.org >>> http://mail.python.org/mailman/listinfo/python-es >>> FAQ: http://python-es-faq.wikidot.com/ >>> >>> >> > > -- > Enviado desde mi dispositivo móvil > _______________________________________________ > Python-es mailing list > Python-es@python.org > http://mail.python.org/mailman/listinfo/python-es > FAQ: http://python-es-faq.wikidot.com/ -- Luis M. Ibarra _______________________________________________ Python-es mailing list Python-es@python.org http://mail.python.org/mailman/listinfo/python-es FAQ: http://python-es-faq.wikidot.com/
