WrSpy: Анализатор логов WinRoute и не только




WrGuard

Предпринята робкая попытка проанализировать журнал безопасности (security.log) WinRoute. Уж очень неудобно в нем копаться. Анализируются сообщения пакетного фильтра, NAT'а и антиспуфинга.

Записи в логе группируются в две группы - атаки (внешние) и нарушения (внутренние). По каждой из них подсчитывается общее количество событий с распределением по дням месяца. Данные группируются по адресу "виновника", для внешних еще и по порту назначения. Все это отображается.

Все это пока достаточно убого, но мне жизнь облегчает сильно. Если поступят предложения, буду развивать дальше. Может интегрирую с WrSpy, но пока такой необходимости не вижу.

Работает на том же движке, что и WrSpy, поэтому отдельного инсталятора не делаю. Устанавливается простым копированием каталога (только не надо копировать файлы в каталог WrSpy, есть файлики с одинаковыми именами, но несколько разным содержанием).

В версии 0.0.3 добавлен анализ записей NAT'а.

В версии 0.0.4 добавлен анализ записей антиспуффинга и реализовано нормальное отображение по ICMP. Так-же отображается, чем обработан пакет, A - антиспуффинг, N - NAT, P - пакетный фильтр.

В версии 0.0.5 поправлено отображение некоторых записей антиспуффинга.

В версии 0.0.6 добавлен справочник портов по состоянию на 19 июля 2002 г. Отсюда и резкое увеличение объемов программы. Вызывается даблкликом на соответствующем поле формы.

В версии 0.0.7 добавлен справочник портов троянов (если у кого есть более свежая информация - поделитесь). Программа опять потяжелела...

В версии 0.0.8 введена возможность получения информации об IP, с которого произведена атака. Вызывается даблкликом на соответствующем поле формы.