Цитата:
Madness:
Хм, кстати да, отключу-ка я все фильтры на недельку посмотреть что оно там налогирует 
|
ага ага ага
Цитата:
Madness:
А как его тогда считать?
|
Считать _все_ пакеты, т.к. используемая Вами методика на мой взгляд не верна... Почему? Потому что...
ТСР - Вы считаете только закрытые соединения, т.е. как я понял те что с флагом FIN, а как же неустановленные соединения, т.е. те которые пришли с флагом SYN и не получили ACK (а пакет то Вам пришел и пров его посчитал, уж будьте уверены, сам такой
) или например текущее соединение aka established, т.е. с установленым АСК, но без FIN, например скачивание файла с FTP в процессе оного скачивания, тут я правда бОльше ориентируюсь на
netflow и не знаю как логирует это DFL
но думаю что в Вашем варианте он Вам отдает в акурат последние переданные байты...
UDP - тут надо логировать все пакеты, т.к. некий удаленный сервер только отправляет вам пакеты, а дошли они до Вас или нет - это его ниипет, так же там нет флагов и невозможно узнать состояние соединения. Кстати DNS запросы - это в аккурат UDP траффик
ICMP - тот самый ping и traceroute которым Вы пользуетесь тоже гоняет Вам пусть небольшой, но траффик. Например винда при простом ping imho.ws отправит и примет минимум 4 пакета * 32 байта*=*128 байт, а если при этом еще учесть оверхеды, то траффика будет еще бОльше, впрочем это уже совсем другая история...
В общем - считайте _все_ и кладите все в базу, потом запросами разгребете что надо, а что нет