Как отследить активность по порту #653243

Есть задача: отследить и как-то информировать когда начинается активность по некоторому заранее известному порту. Есть какbе-то решения кроме как парсить логи netstat?

а ещё лучше если кроме отследить и информировать будет выполнять некоторые действия (например запустить что-нибудь)

Файервол поставить не предлагать? Комода там или еще кого?

Вот я смотрю в настройках правил фаервола ESET Smart Security... есть галка "журнал" и есть галка "информровать пользователя"

касперского менать на что-то другое не вариант

*менять......

А что фаервол только в антивирусах? Кстати, программку такую накидать будет не сложно. Можно даже с передачей данных в 1С

не подходит - слишком долгая реакция.... сейчас поясню: препятствовать трафику нельзя, нужно отслеживать его возникновение....

Пытаешься червя на 1С накропать ?

ну начинается.... всё куда прозаичнее: порт 4899, программа которая через него работает с моего раб. места - radmin. Хотел-бы знать в какой момент меня смотрят, причем как только начинается подключение а у меня все окна свернулись - это идеальный вариант.

пробовал работать? а то как на тебя не посмотришь - а у тебя только рабочий стол. и на панели задач фигня всякая...

Если есть права админские рубани все неизвестные процессы.. делов то..

Накропай программулину, или поищи готовую.

это не наш метод, потом если на комп зайти не получается - руководство считает что он скорее всего отключен

а поднять конфигуратор дело 1 сек

возможно этим всё и закончится

Вот кстати посоны файрвол накропали. Скопиписди функции и запили программку.

Вот еще другие посоны запилили тулкит, который позволяет в том числе и мониторить порты. How do I monitor activity on sockets?    When you are running a GUI, you can monitor sockets in two ways:- first, you can of course dedicate a worker thread to the socket activity, and leave GUI work to the GUI thread.    Another approach is to use the addInput facility of FXApp. The addInput call registers a callback message, and target object, to be invoked when the event on the file descriptor occurs. For example, adding:            app->addInput(fd,INPUT_READ|INPUT_WRITE,myobject,MyClass::ID_FD);    Will send a message ID_FD of type SEL_IO_READ when new data is available on fd to be read, and a message ID_FD of type SEL_IO_WRITE when the buffer is ready to accept more data to be written. In either case the void* ptr refers to the file descriptor fd, permitting you to use the same handler for multiple file descriptors.    On MS-Windows, instead of a POSIX file descriptor, you must use a handle. Thus, under MS-Windows, the addInput API can be used to wait on a great variety of kernel objects, ranging from event objects (which is what you need to use for sockets), to process and thread handles, and so on. Please consult the MSDN documentation on Winsock2 for details.

снорт не подойдёт? (сам под windows не пробовал)

Здесь поможет только немец с железной палкой, приставленный к оператору станка. (с)

Это всё неправильные методы ) Поднимаешь виртуалку и настраиваешь редирект коннектов на неё, а в ней запускаешь в поноэкранном режиме видео активной работы в конфигураторе с "автопереметкой" в начало.

- это по поводу

не смотрел его

гы-гы-гы, вот будет прикол когда мне поручат что-то срочное не связанное с 1С.... коменты за кадром: да эти одинэснеги они как наркоманы!

Ну, когда поручат что-то срочное, надо будет это срочное делать. Отключаешь редирект и всё )

всё-же виртуалка не вариант пока всего 1Г рамы

СБ есть на предприятии ?

второй день

к

TCPView и сидеть наблюдать :)

Ну смотри ... такие вещи отслеживаются. Примет тебя СБ

они как компьютерщики не компот

таки больше идей нет?

Снифер вам нужен банальный. Например Tcpdump или Wireshark. Фильтруем по порту, и получаем искомое.

Простенький скрипт который будет читать  вывод tcpdump src port 4899, и при наличии оного производить нужное действие, например сворачивание всех окон, или установка фокуса на нужное окно.

ну в общем примерно то-же самое что уже сделал но только у меня сейчас логи нетстата парсятся.... скорее всего замена значительно уменьшит врем реакции, возможно на порядки. попробую...

Ну разумеется быстрее будет. Дисковые операции это самое медленное. А в твоем случае нужно сначала записать лог на диск, потом прочитать его, распарсить и выполнить действия.

можно использовать как конвейер, так и править сами исходники  tcdump получая в итоге серебрянную пek.

*пулю

Ну в общем в твоей текущей реализации много лишних телодвижений. Т.е даже в варианте с netstat  проще и быстрее сразу брать и парсить вывод из конвейера, чем из лога. А если использовать нормальный снифер, то вывод уже не надо будет парсить, т.е есть вывод - значит есть активность.

Все-таки, если у вас мак-адреса не отслеживаются - собери свою прошивку для маршрутизатора как я в другой теме подсказал. и все.