|
Рекомендуемая конфигурация ПК и ОС в зависимости от количества ПК в сети и типов перехвата трафика, варианты
1) Сеть из 400 ПК, объём трафика 70 ГБ в день. Сбор под FreeBSD, перенос дампов по локальной сети, на ПК также установлены
- сервер джаббера eJabberd
- индексатор dtsearch, еженедельно индексирующий архивы за прошедшую неделю
Минимальные требования к ПК - XP Home Edition, AMD X2 2.9 Ггц, 0.5 ТБ HDD, 2 ГБ RAM
Рекомендуемые требования - ХР\2003\win7\2008, Core i7 3.0 Ггц, 2.0 ТБ HDD, 4 ГБ RAM, гигабитная сеть
2) Сеть из 120 ПК, объём трафика 20 ГБ в день. Сбор реализован через зеркалирование трафика, на ПК также установлены
- индексатор dtsearch, еженедельно индексирующий архивы за прошедшую неделю
- система сбора и хранения журналов рабочих станций windows
- различные системы оповещения
Минимальные требования к ПК - XP Home Edition, AMD X2 2.6 Ггц, 0.5 ТБ HDD, 2 ГБ RAM
Рекомендуемые требования - ХР\2003\win7\2008, Core i5 3.0 Ггц, 0.6 ТБ HDD, 3 ГБ RAM, гигабитная сеть
- Перехват сервисов мгновенных сообщений
- Протокол ICQ (поддержка любых клиентов) смотреть пример
- - перехват файлов, передаваемых между участниками сетевого общения (поддержка прямого соединения клиентов, а также через прокси-сервер, передачи нескольких файлов, протоколов ICQLite и QIP - как прямых, так и обратных соединений)
- - перехват незашифрованных паролей ICQ (может быть полезен при восстановлении после потери)
- - перехват MD5-хэшей паролей, при использовании "безопасной" авторизации
- - проверка всех портов (возможность перехвата сообщений от приложений работающих по любым нестандартным портам и серверам.)
- - проверка вложенных пакетов (каскадные прокси, например)
- - полная поддержка ICQ_SMS
- JABBER (клиенты QIP, Miranda.. и др.)
- MRA – Агент Mail.ru
- IRC – mIRC
- - отслеживание, как личных сообщений, так и публичных постов
- YMSG – Yahoo Messenger
- - поддержка протокола Yahoo Messenger, отслеживание как клиента, так и Вэб-агента – приложения
- MSN – Windows Live Messenger (MSN)
- Поддерживаемые почтовые протоколы IMAP, SMTP, POP3
- перехват логина и пароля при обычной авторизации ("authenticate plain"), при "IMAP4 AUTHENTICATE" авторизации (команды "LOGIN", "AUTH PLAIN", "USER")
- отображение вложений (для просмотра с помощью "Winmail Opener", в письмах будет видно вложение с MIME типом "Content-Type: application/ms-tnef;")
- автоматический показ писем больше заданного объёма
- показ тем сообщений общим списком, поиск по темам и объёму
- обработка всех портов
- WWW-протоколы
- HTTP
- - сохранение и отображение заголовков просматриваемых вэб-страниц в виде, облегчающем просмотр: 10-15 тыс заголовков за час, это около 300-500 пользователей
- - поддержка любых кодировок (koi8-r, UTF …)
- - выделение из общего списка файлов, размер которых превышает заданную величину (это можно использовать, например для поиска прослушанных MP3 c сайта vkontakte.ru)
- - не докаченные файлы также попадают в этот список, сделано отдельное оповещение что файл был не полностью загружен
- - сохранение HTTP-запроса и ответа рядом с полученными данными (как GET, так и POST-команды)
- - сохранение передаваемых данных на сервер (методами "application/x-www-form-urlencoded" и "multipart/form-data")
- - восстановление файлов (вместе с именами), передаваемых через вложения электронных писем и просто загружаемых на различные сервера ("multipart/form-data")
- - перехват произведённых авторизаций методом "application/x-www-form-urlencoded" (стандартных, в том числе и с использованием вместо слов LOGIN\PASSWORD терминов NAME\EMAIL... и, соответственно PASS\KEY...)
- - автоматическое определение типов файлов по сигнатуре (а также ручное редактирование списка сигнатур)
- - использование локальной базы данных "HKEY_CLASSES_ROOT\MIME\Database\Content Type", если расширение не определено
- - автоматическое определение типов файлов по MIME-типу (плюс ручное редактирование списка типов)
- - уведомление в случае несоответствия MIME-типа данных определённому через сигнатурный анализ (качают MP3 c расширением RAR)
- - перехват логина и пароля при обычной авторизации ("HTTP")
- - перехват авторизации "WWW-Authenticate: Basic" (используется QIP.ru, NOD и т.п.)
- - проверка всех портов на наличие HTTP-сессий
- - отображение не HTTP-oтвета сервера на HTTP-запрос (ошибки или скрытая служба)
- - декодирование chunked-данных ("Transfer-Encoding: chunked"), в том числе не полностью докаченных
- - поддержка gzip и deflate сжатия данных
- - восстановление даже при неполном соответствии RFC
- - поддержка ISA-серверов и различных методов PROXY-авторизаций (NTLM, PLAIN)
- FTP
- Дополнительные протоколы
- Web_SMS
- - перехват SMS, отправляемых с сайтов megafon.ru, sms.megafonmoscow.ru, mts.ru, sms.tele2.ru, www.beeline.ru
- - логирование номеров абoнентов-получателей
- Vkontakte.ru
- - перехват и логирование просматриваемых входящих и исходящих на VK.COM и VKONTAKTE.RU сообщений
- - перехват отправленных с помощью плагинов Mirand-ы сообщений (pda.vkontakte.ru)
- - поддержка коротких сообщений
- - перехват загружаемых фотографий, записей на стенах и т.п.
- Web_MAIL
- - сохранение просматриваемых через WEB-интерфейс сообщений на MAIL.RU, RAMBLER.RU и YANDEX.RU
- - сохранение сообщений в EML-формате
- - перехват сообщений, отправляемых через WEB-интерфейсы сайтов MAIL.RU, RAMBLER.RU, YANDEX.RU, GOOGLE.COM
- - эвристическое определение отправляемых писем (по полям, заголовкам и т.п.) позволяет перехватывать отправляемые письма с изначально неизвестных серверов (mail.live.com, mail.e1.su, mail.qip.ru, mail.udm.ru, newmail.ru и т.п.)
- - сохранение файлов-вложений из в писем (если загружались)
- Сообщения на форумы
- - перехват и логирование отправляемых на различные форумы и сайты-переводчики сообщений
- - эвристическое определение отправляемых сообщений (по полям и т.п.) позволяет перехватывать их на ранее не известные сайты (NNM.RU, diary-kem.diary.ru, driveteam.spb.ru, lingvo.abbyyonline.com, www.xboxland.net, translate.google.com и т.п.)
- Общие сведения
- Возможность работы с файлами дампа (стандартный режим, формат файлов - "tcpdump")
- - поддержка файлов большого размера (более 20 ГБ)
- - кэширование всех чтений файла
- - различные алгоритмы оптимизации при одновременном анализе большого кол-ва TCP-сессий (1500-3000 и более)
- Работа в режиме реального времени (через драйвер WinPcap)
- Восстановление диалогов переписки для каждого абонента
- - отдельный файл для каждой даты
- - отдельный файл для каждого абонента
- - открытая текстовая структура для возможности индексирования данных и полнотекстового поиска
- Восстановление TCP-сессий
- - обработка повторных пакетов
- - обработка закрытых с одной стороны сессий (Exchange Server 2003 "любит такие вещи")
- - кэширование сессий для лучшей производительности
- - кэширование чтения и записи на диск для лучшей производительности
- - поддержка систем с небольшим количеством оперативной памяти (данные располагаются на диске)
- - возможность ручного просмотра, анализа и сохранения данных выбранных сессий
- - автоматическое определение типов сессий (SMB, ICQ, HTTP, TORRENT и т.п.)
- Сохранение информации о размерах сессий и их времени
- - биллинг трафика
- - маскировка всей системы под биллинг-систему
- - построение биллинг отчётов
- Поддержка истории и архивирования данных
- - автоматическое сохранение истории
- - поиск по истории с использованием фильтров
- - автоматическая архивация данных (подневно)
- - удаление ненужных в архиве данных (картинки, музыка и т.п.)
- Огромное количество автоматизированных отчётов
Демо-версию анализатора можно получить по этой ссылке
|
ICQ: 588519443 
Skype: pTraffer
