Много интересного на канале

Атакуем БД сайта

Обновлено: 30.06.2025

Аатака на mysql

Спецвыпуск: Хакер, номер #052, стр. 052-084-1

Что может сделать взломщик используя SQL injection

С каждым днем все больше скриптов используют базы данных, все больше хостингов доверяют пароли своих клиентов SQL-базам, все больше популярных сайтов переходит на публичные форумы и движки, работающие с MySQL. Но далеко не все ясно представляют себе, насколько опасным может быть непродуманное использование MySQL в скриптах.

Как это есть?

Без знаний основ языка SQL трудно что-либо понять. Прежде всего разберемся, в чем заключается суть атаки типа SQL injection. К примеру, на атакуемом сервере стоит следующий PHP-скрипт, который на основе поля category_id делает выборку заголовков статей из таблицы articles и выводит их пользователю:

//подключаемся к MySQL

mysql_connect($dbhost, $dbuname, $dbpass) or die(mysql_error());

mysql_select_db($dbname) or die(mysql_error());

$cid=$_GET["cid"];

$result=mysql_query("SELECT article_id, article_title FROM articles where category_id=$cid"); // <- уязвимый запрос

while( $out = mysql_fetch_array( $result)):

echo "Статья: ".$out['article_id']." ".$out['article_title']."<br>";

endwhile;

//выводим результат в виде списка

В переводе с языка MySQL запрос звучит так: "ВЫБРАТЬ ид_статей, заголовки_статей ИЗ таблицы_статей ГДЕ ид_категории равно $cid". На первый взгляд все верно, по ссылке типа http://serv.com/read.php?cid=3 скрипт работает нормально и выводит пользователю список статей, принадлежащих категории 3.

Но что если пользователь - никакой не пользователь, а обыкновенный хакер? Тогда он сделает запрос http://serv.com/read.php?cid=3' (именно с кавычкой) и получит что-то вроде: Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr/local/apache/htdocs/read.php on line 14.

Почему ошибка? Посмотрим, что запросил PHP у MySQL. Переменная $cid равна 1', тогда запрос принимает неверный с точки зрения MySQL вид: SELECT article_id, article_title FROM articles where category_id=1'. При синтаксической ошибке в запросе MySQL отвечает строкой "ERROR 1064: You have an error in your SQL syntax...". PHP не может распознать этот ответ и сообщает об ошибке, на основе которой хакер может судить о присутствии уязвимости типа SQL Injection. Очевидно, что злоумышленник получит возможность задавать переменной $cid любые значения ($cid=$_GET[cid]) и, следовательно, модифицировать запрос к MySQL. Например, если $cid будет равна "1 OR 1" (без кавычек в начале и в конце), то MySQL выдаст все записи, независимо от category_id, так как запрос будет иметь вид (..) where category_id=1 OR 1. То есть либо category_id = 1 (подойдут лишь записи с category_id, равными 1), либо 1 (подойдут все записи, так как число больше нуля - всегда истина).

Только что описанные действия как раз и называются SQL Injection - иньекция SQL-кода в запрос скрипта к MySQL. С помощью SQL Injection злоумышленник может получить доступ к тем данным, к которым имеет доступ уязвимый скрипт: пароли к закрытой части сайта, информация о кредитных картах, пароль к админке и т.д. Хакер при удачном для него стечении обстоятельств получит возможность выполнять команды на сервере.

Как атакуют?

Классический пример уязвимости типа SQL Injection - следующий запрос: SELECT * FROM admins WHERE login='$login' AND password=MD5('$password').

Допустим, он будет проверять подлинность введенных реквизитов для входа в админскую часть какого-нибудь форума. Переменные $login и $password являются логином и паролем соответственно, и пользователь вводит их в HTML-форму. PHP посылает рассматриваемый запрос и проверяет: если количество возвращенных от MySQL записей больше нуля, то админ с такими реквизитами существует, а пользователь авторизуется, если иначе (таких записей нет и логин/пароль неверные) - пользователя направят на fsb.ru.

Как взломщик использует SQL Injection в этом случае? Все элементарно. Злоумышленнику требуется, чтобы MySQL вернул PHP-скрипту хотя бы одну запись. Значит, необходимо модифицировать запрос так, чтобы выбирались все записи таблицы независимо от правильности введенных реквизитов. Вспоминаем фишку с "OR 1". Кроме того, в MySQL, как и в любом языке, существуют комментарии. Комментарии обозначаются либо --комментарий (комментарий в конце строки), либо /*комментарий*/ (комментарий где угодно). Причем если второй тип комментария стоит в конце строки, закрывающий знак '*/' необязателен. Итак, взломщик введет в качестве логина строку anyword' OR 1/*, а в качестве пароля - anyword2. Тогда запрос принимает такой вид: SELECT * FROM admins WHERE login='anyword' OR 1/* AND password=MD5('anyword2'). А в переводе на человеческий язык: ВЫБРАТЬ все ИЗ таблицы_admins ГДЕ логин равен 'anyword' ИЛИ 1, а остальное воспринимается как комментарий, что позволяет отсечь ненужную часть запроса. В результате MySQL вернет все записи из таблицы admins даже независимо от того, существует админ с логином anyword или нет, и скрипт пропустит хакера в админку. Такая уязвимость была обнаружена, например, в Advanced Guestbook. Она позволяла войти в администраторскую часть не зная пароля и внутри нее читать файлы. Но SQL Injection этого типа обычно не позволяют злоумышленнику получить данные из таблицы.

Union и MySQL версии 4

Вернемся к скрипту получения заголовков статей. На самом деле он позволяет взломщику получить гораздо больше, чем список всех статей. Дело в том, что в MySQL версии 4 добавлен новый оператор - UNION, который используется для объединения результатов работы нескольких команд SELECT в один набор результатов. Например: SELECT article_id, article_title FROM articles UNION SELECT id, title FROM polls. В результате MySQL возвращает N записей, где N - количество записей из результата запроса слева плюс количество записей из результата запроса справа. И все это в том порядке, в каком идут запросы, отделяемые UNION.

Но существуют некоторые ограничения по использованию UNION:

1. число указываемых столбцов во всех запросах должно быть одинаковым: недопутимо, чтобы первый запрос выбирал, например, id, name, title, а второй только article_title;

2. типы указываемых столбцов одного запроса должны соответствовать типам указываемых столбцов остальных запросов: если в одном запросе выбираются столбцы типа INT, TEXT, TEXT, TINYTEXT, то и в остальных запросах должны выбираться столбцы такого же типа и в таком же порядке;

3. UNION не может идти после операторов LIMIT и ORDER.

Так как же UNION может стать пособником злоумышленника? В нашем скрипте присутствует запрос "SELECT article_id, article_title FROM articles where category_id=$cid". Что мешает хакеру, используя SQL injection, вставить еще один SELECT-запрос и выбрать нужные ему данные? Правильно: ничего!

Допустим, цель хакера - получить логины и пароли всех авторов, которые могут добавлять статьи. Есть скрипт чтения списка статей http://serv.com/read.php?cid=1, подверженный SQL injection. Первым делом хакер узнает версию MySQL, с которой работает скрипт. Для этого он сделает следующий запрос: http://serv.com/read.php?cid=1+/*!40000+AND+0*/. Если скрипт вернет пустую страницу, значит, версия MySQL >= 4. Почему именно так? Число 40000 - версия MySQL, записанная без точек. Если версия, которая стоит на сервере, больше или равна этому числу, то заключенный в /**/ код выполнится как часть запроса. В результате ни одна запись не подойдет под запрос и скрипт не вернет ничего. Зная версию MySQL, хакер сделает вывод о том, сработает фишка с UNION или нет. В случае если MySQL третьей версии, фишка работать не будет. В нашем случае MySQL >= 4 и злоумышленник все-таки воспользуется UNION.

Для начала взломщик составит верный UNION-запрос, то есть подберет действительное количество указываемых столбцов, которое бы совпало с количеством указываемых столбцов левого запроса (вспоминай правила работы с UNION). Хакер не имеет в распоряжении исходников скрипта (если, конечно, скрипт не публичный) и поэтому не знает, какой именно запрос шлет скрипт к MySQL. Придется подбирать вручную - модифицировать запрос вот таким образом: http://serv.com/read.php?cid=1+UNION+SELECT+1. И тут о своем присутствии объявит ошибка, так как количество запрашиваемых столбцов не совпадает. Хакер увеличивает количество столбцов еще на единицу: http://serv.com/read.php?cid=1+UNION+SELECT+1,2 - получает список статей из категории 1, а также в самом конце две цифры: 1 и 2. Следовательно, он верно подобрал запрос.

Посмотрим на модифицированный запрос от PHP к MySQL: SELECT article_id, article_title FROM articles where category_id=1 UNION SELECT 1,2. В ответ MySQL возвращает результат первого SELECT (список статей) и результат второго SELECT - число "1" в первом столбце и "2" во втором столбце (SELECT+1,2). Другими словами, теперь, подставляя вместо '1' и '2' реальные имена столбцов из любой таблицы, можно будет заполучить их значения.

Составив верный SELECT+UNION запрос, хакер постарается подобрать название таблицы с нужными ему данными. Например, таблица с данными пользователей будет, скорее всего, называться users, Users, accounts, members, admins, а таблица с данными о кредитных картах - cc, orders, customers, orderlog и т.д. Для этого злоумышленник сделает следующий запрос: http://serv.com/read.php?cid=1+UNION+SELECT+1,2+FROM+users. И если таблица users существует, то PHP-скрипт выполнится без ошибок и выведет список статей плюс '1 2', иначе - выдаст ошибку. Так можно подбирать имена таблиц до тех пор, пока не будет найдена нужная.

В нашем случае "нужная" таблица – это authors, в которой хранятся данные об авторе: имя автора, его логин и пароль. Теперь задача хакера - подобрать правильные имена столбцов с нужными ему данными, чаще всего с логином и паролем. Имена столбцов он станет подбирать по аналогии с именем таблицы, то есть для логина столбец, скорее всего, будет называться login или username, а для пароля - password, passw и т.д. Запрос будет выглядеть так: http://serv.com/read.php?cid=1+UNION+SELECT+1,login+from+authors.

Почему хакер не стал вставлять имя столбца вместо единицы? Ему нужна текстовая информация (логин, пароль), а в нашем случае в левом запросе SELECT на первом месте идет article_id, имеющий тип INT. Следовательно, в правом запросе хакер не может ставить на первое место имя столбца с текстовой информацией (правила UNION).

Итак, выполнив запрос http://serv.com/read.php?cid=1+UNION+SELECT+1,login+from+authors, взломщик находит список логинов всех авторов, а подставив поле password - список паролей. И получает желанные логины и пароли авторов, а админ сервера – подмоченную репутацию. Но это только в нашем примере Фортуна улыбнулась злоумышленнику так широко: он быстро подобрал количество столбцов, а в реальной жизни количество столбцов может достигать 30-40.

UNION и нюансы

Теперь рассмотрим некоторые ситуации, в которых использование UNION затруднено по тем или иным причинам.

Ситуация 1

Левый запрос возвращает лишь числовое значение. Что-то вроде SELECT code FROM artciles WHERE id = $id. Что будет делать хакер? Средства MySQL позволяют проводить различные действия над строками, к примеру, выделение подстроки, склеивание нескольких строк в одну, перевод из CHAR в INT и т.п. Благодаря этим функциям хакер имеет возможность выудить интересующую его информацию по одному символу. К примеру, требуется достать пароль из таблицы admins, используя приведенный выше запрос. Чтобы получить ASCII-код первого символа пароля, сделаем следующий запрос к скрипту: http://127.0.0.1/read.php?cid=1+union+select+ASCII(SUBSTRING(password,1,1))+from+admins. Функция SUBSTRING(name,$a,$b) в MySQL выделяет $b символов из значения столбца name начиная с символа под номером $a. Функция ASCII($x) возвращает ASCII-код символа $x. Для получения последующих символов следует просто менять второй параметр функции SUBSTRING до тех пор, пока ответом не будет 0. Подобный способ был использован в эксплойте для одной из версий phpBB.

Ситуация 2

SQL Injection находится в середине SQL-запроса. Например: SELECT code FROM artciles WHERE id = $id AND blah='NO' AND active='Y' LIMIT 10. Для правильной эксплуатации хакер просто откомментирует идущий следом за Injection код, то есть к вставляемому коду добавит /* или --. Пробелы в запросе взломщик может заменить на /**/, что полезно в случае если скрипт фильтрует пробелы.

Ситуация 3

Случается и такое, что в PHP-коде подряд идет несколько SQL-запросов, подверженных Injection. И все они используют переменную, в которую злоумышленник вставляет SQL-код. Например (опускаю PHP):

$result=mysql_query("SELECT article_id, article_title FROM articles where category_id=$cid");

//php code here

$result=mysql_query("SELECT article_name FROM articles where category_id=$cid");

//тут вывод результата

Это довольно неприятно для хакера, так как для первого запроса SQL Injection пройдет нормально, а для второго UNION - уже нет, так как количество запрашиваемых столбцов отличается. И если программист, писавший код, предусмотрел остановку скрипта в случае ошибки типа "... or die("Database error!")", то эксплуатация обычными методами невозможна, так как скрипт остановится раньше, чем будет выведет результат.

Ситуация 4

Скрипт выводит не весь результат запроса, а, например, только первую запись. И если хакер будет прямо пользоваться UNION, то скрипт выдаст только первую запись из ответа MySQL, а остальное отбросит, в том числе результат SQL Injection. Для того чтоб преодолеть все препятствия и на этом этапе, хакер передаст левому запросу такой параметр для WHERE, чтобы в ответ на него MySQL не вернул ни одной записи.

Например, есть такой запрос: SELECT name FROM authors WHERE id=$id. После SQL Injection он будет выглядеть следующим образом: (..) id=1 UNION SELECT password FROM authors. Но PHP-скрипт выведет только первую запись, поэтому вставляемый код следует модифицировать: (..) id=-12345 UNION SELECT (..). Теперь в ответ на левый запрос MySQL не вернет ничего, а в ответ на правый - желанные для хакера данные.

Ситуация 5

Скрипт не выводит результат запроса. Например, есть скрипт, который выводит какие-либо статистические данные, например, количество авторов, принадлежащих к определенной группе. Причем количество записей он считает не с помощью MySQL-функции COUNT, а в самом скрипте. Скрипт шлет MySQL такой запрос: SELECT id FROM authors where category_id=$cid.

Допустим, скрипт возвращает что-то вроде "Найдено десять авторов в данной категории". В этом случае злоумышленник будет эксплуатировать SQL injection, конечно же, методом перебора символов! Например, хакеру надо получить пароль автора с id = 1, для чего потребуется перебирать каждый символ пароля. Но как получить символ, если PHP не выводит ничего из того, что возвратил MySQL?

Рассмотрим такой запрос: SELECT id FROM authors where category_id=-1 UNION SELECT 1,2 FROM authors WHERE id=1 AND ASCII(SUBSTRING(password,1,1))>109. Результатом запроса будет одна запись, если ASCII-код первого символа пароля больше 109, и ноль записей, если больше, либо равна. Итак, методом бинарного поиска нетрудно найти нужный символ. Почему хакер использует знаки "больше/меньше", а не "равно"? Если взломщику надо получить 32-символьный хэш пароля, ему придется делать примерно 32*25 запросов! Метод бинарного поиска позволяет сократить это число в два раза. Само собой, делать запросы хакер будет уже не руками, а с помощью скрипта, автоматизирующего перебор.

MySQL версии 3

Несмотря на отсутствие в третьей версии оператора UNION, и из нее хакер сможет вытащить то, чем интересуется. В осуществлении этого замысла помогут подзапросы и перебор символов, но описание этого метода займет еще пару листов (которых мне не дали). Поэтому ищи статьи на эту тему на www.rst.void.ru (автор 1dt.w0lf) и www.securitylab.ru (автор Phoenix).

Как защищаться?

Правило №1. Фильтруй входные данные. Кавычку заменяй на слеш-кавычку('), слеш - на слеш-слеш. В PHP это делается или включением magic_quotes_gpc в php.ini, или функцией addslashes(). В Perl: $id=~s/(['\])/\$1/g;. И на всякий случай: $id=~s/[a-zA-z]//g; - для числовых параметров.

Правило №2. Не дай кому не надо внедрить SQL-код! Заключай в кавычки все переменные в запросе. Например, SELECT * FROM users WHERE id='$id'.

Правило №3. Отключи вывод сообщений об ошибках. Некоторые программисты, наоборот, делают так, что при ошибке скрипт выводит сообщение самого MySQL, или, еще ужасней, - ВЕСЬ SQL-запрос. Это предоставляет злодею дополнительную информацию о структуре базы и существенно облегчает эксплуатацию.

Правило №4. Никогда не разрешай скриптам работать с MySQL от root. Ничего хорошего не выйдет, если хакер получит доступ ко всей базе.

Правило №5. Запускай публичные скрипты от отдельного пользователя с отдельной базой. Неприятно будет, если какой-нибудь кидди, воспользовавшись 0day-дырой в форуме, получит доступ к базе с СС твоих клиентов.

Правило №6. Отключи MySQL-пользователю привилегию FILE - не дай хакеру записать в файл что-то вроде <?system($_GET[cmd])?> через MySQL.

Правило №7. Не называй таблицы и базы данных в соответствии с их назначением, чтоб утаить от чужих глаз настоящие названия. В публичных скриптах часто предоставляют возможность установить prefix для названия таблиц - устанавливай самый сложный. Если кто-нибудь и найдет SQL injection, то не сможет ее эксплуатировать.

Чаще всего уязвимости оставляют в тех запросах, параметры которых передаются через hidden формы в HTML и через cookies, видимо, из-за того, что они не видны пользователю и не так привлекают внимание злодеев.

Часто забывают про SQL Injection в функции Reply, о поиске сообщений пользователя в форумах, в репортах различных сервисов. В 80% WAP-сервисов SQL injection находят по десять штук в каждом скрипте (наверное, админы думают, что туда только через сотовые ходят). На самом деле многие недооценивают SQL Injection. Известен случай, когда обычная SQL injection в скрипте репорта привела к реальному руту на трех серверах и дампу гиговой базы. А всего-то SQL Injection…

Статьи по теме

inattack.ru/group_article/34.html
www.rst.void.ru/papers/sql-inj.txt
www.securitylab.ru/49424.html
www.securitylab.ru/49660.html

Все чаще администраторы получают возможности убедиться в том, что знания по безопасности запросов к MySQL не менее важны, чем эффективное использование этих запросов.

Защитить свою базу от хакеров можно – нужно только грамотно следовать определенным правилам по нейтрализации подобных атак.

С помощью UNION хакер может легко узнать пользователя, базу данных и версию MySQL, для чего используются функции user(), database() и version() соответственно. Взломщик просто сделает запрос типа SELECT user().

Даже если в обороне есть брешь, можно дезинформировать противника присваивая переменным нелогичные названия. Тогда их будет просто невозможно подобрать.

Чем ты больше знаешь о том, как ломают, тем проще предотвратить взлом.

Регулярно просматривай новостные сайты по безопасности, чтобы быть в курсе вновь изобретенных способов взлома и не допускать утечек ценной информации.

По материалам сайта http://forum.pyccxak.com/

Поднять права пользователя в Windows XP

Обновлено: 30.06.2025

Итак, перед нами машина, на которой стоит Вин ХР, но админ под пасом и мы можем зайти только под гостем. Будем подымать права. Для начала идём в директорию C:windowssystem32 и ищем там logon.scr, надо его переименовать, далее находим cmd.exe, копируем его и копию переименовываем в logon.scr , перезагружаемся и, когда перед нами появляется окно куда надо водить логин и пасс, мы ждём 15 мин пока перед нами не появится хранитель экрана (в нашем случаи командная строка) и вводим туда EXPLORER (большими буквами). Загружается оконная система, и мы уже под пользователем SYSTEM, можно создать нового админа или пользователя.
шаг 1: net user MyName qwerty /add - MyName - имя пользователя; qwerty – пароль
шаг 2: net localgroup Administrators MyName /add - добавляет MyName в группу Administrators
шаг 3: net accounts /maxpwage:unlimited - снимает ограничение на срок действия пароля

PS: в русской версии кстати группа называется Администраторы
Всё :)

По материалам forum.pyccxak.com

RRDTool: официальное руководство (англ.)

Обновлено: 30.06.2025

Теги: RRDTool Linux Linux

Description

RRDtool is written by Tobias Oetiker <tobi@oetiker.ch> with contributions from many people all around the world. This document is written by Alex van den Bogaerdt <alex@ergens.op.het.net> to help you understand what RRDtool is and what it can do for you.

The documentation provided with RRDtool can be too technical for some people. This tutorial is here to help you understand the basics of RRDtool. It should prepare you to read the documentation yourself. It also explains the general things about statistics with a focus on networking.

Tutorial

Important

Please don't skip ahead in this document! The first part of this document explains the basics and may be boring. But if you don't understand the basics, the examples will not be as meaningful to you.

What is RRDtool?

RRDtool refers to Round Robin Database tool. Round robin is a technique that works with a fixed amount of data, and a pointer to the current element. Think of a circle with some dots plotted on the edge -- these dots are the places where data can be stored. Draw an arrow from the center of the circle to one of the dots -- this is the pointer. When the current data is read or written, the pointer moves to the next element. As we are on a circle there is neither a beginning nor an end, you can go on and on and on. After a while, all the available places will be used and the process automatically reuses old locations. This way, the dataset will not grow in size and therefore requires no maintenance. RRDtool works with with Round Robin Databases (RRDs). It stores and retrieves data from them.

What data can be put into an RRD?

You name it, it will probably fit as long as it is some sort of time-series data. This means you have to be able to measure some value at several points in time and provide this information to RRDtool. If you can do this, RRDtool will be able to store it. The values must be numerical but don't have to be integers, as is the case with MRTG (the next section will give more details on this more specialized application).

Many examples below talk about SNMP which is an acronym for Simple Network Management Protocol. ``Simple'' refers to the protocol -- it does not mean it is simple to manage or monitor a network. After working your way through this document, you should know enough to be able to understand what people are talking about. For now, just realize that SNMP can be used to query devices for the values of counters they keep. It is the value from those counters that we want to store in the RRD.

What can I do with this tool?

RRDtool originated from MRTG (Multi Router Traffic Grapher). MRTG started as a tiny little script for graphing the use of a university's connection to the Internet. MRTG was later (ab-)used as a tool for graphing other data sources including temperature, speed, voltage, number of printouts and the like.

Most likely you will start to use RRDtool to store and process data collected via SNMP. The data will most likely be bytes (or bits) transfered from and to a network or a computer. But it can also be used to display tidal waves, solar radiation, power consumption, number of visitors at an exhibition, noise levels near an airport, temperature on your favorite holiday location, temperature in the fridge and whatever you imagination can come up with.

You only need a sensor to measure the data and be able to feed the numbers into RRDtool. RRDtool then lets you create a database, store data in it, retrieve that data and create graphs in PNG format for display on a web browser. Those PNG images are dependent on the data you collected and could be, for instance, an overview of the average network usage, or the peaks that occurred.

What if I still have problems after reading this document?

First of all: read it again! You may have missed something. If you are unable to compile the sources and you have a fairly common OS, it will probably not be the fault of RRDtool. There may be pre-compiled versions around on the Internet. If they come from trusted sources, get one of those.

If on the other hand the program works but does not give you the expected results, it will be a problem with configuring it. Review your configuration and compare it with the examples that follow.

There is a mailing list and an archive of it. Read the list for a few weeks and search the archive. It is considered rude to just ask a question without searching the archives: your problem may already have been solved for somebody else! This is true for most, if not all, mailing lists and not only for this particular one. Look in the documentation that came with RRDtool for the location and usage of the list.

I suggest you take a moment to subscribe to the mailing list right now by sending an email to <rrd-users-request@list.ee.ethz.ch> with a subject of ``subscribe''. If you ever want to leave this list, just write an email to the same address but now with a subject of ``unsubscribe''.

How will you help me?

By giving you some detailed descriptions with detailed examples. I assume that following the instructions in the order presented will give you enough knowledge of RRDtool to experiment for yourself. If it doesn't work the first time, don't give up. Reread the stuff that you did understand, you may have missed something.

By following the examples you get some hands-on experience and, even more important, some background information of how it works.

You will need to know something about hexadecimal numbers. If you don't then start with reading the bin_dec_hex manpage before you continue here.

Your first Round Robin Database

In my opinion the best way to learn something is to actually do it. Why not start right now? We will create a database, put some values in it and extract this data again. Your output should be the same as the output that is included in this document.

We will start with some easy stuff and compare a car with a router, or compare kilometers (miles if you wish) with bits and bytes. It's all the same: some number over some time.

Assume we have a device that transfers bytes to and from the Internet. This device keeps a counter that starts at zero when it is turned on, increasing with every byte that is transfered. This counter will probably have a maximum value. If this value is reached and an extra byte is counted, the counter starts over at zero. This is the same as many counters in the world such as the mileage counter in a car.

Most discussions about networking talk about bits per second so lets get used to that right away. Assume a byte is eight bits and start to think in bits not bytes. The counter, however, still counts bytes! In the SNMP world most of the counters are 32 bits. That means they are counting from 0 to 4'294'967'295. We will use these values in the examples. The device, when asked, returns the current value of the counter. We know the time that has passes since we last asked so we now know how many bytes have been transfered ***on average*** per second. This is not very hard to calculate. First in words, then in calculations:

Take the current counter, subtract the previous value from it.
Do the same with the current time and the previous time (in seconds).
Divide the outcome of (1) by the outcome of (2), the result is the amount of bytes per second. Multiply by eight to get the number of bits per second (bps).

 bps = (counter_now - counter_before) / (time_now - time_before) * 8

For some people it may help to translate this to an automobile example. Do not try this example, and if you do, don't blame me for the results!

People who are not used to think in kilometers per hour can translate most into miles per hour by dividing km by 1.6 (close enough). I will use the following abbreviations:

M:    meter
KM:   kilometer (= 1'000 meters).
H:    hour
S:    second
KM/H: kilometers per hour
M/S:  meters per second

You are driving a car. At 12:05 you read the counter in the dashboard and it tells you that the car has moved 12'345 KM until that moment. At 12:10 you look again, it reads 12'357 KM. This means you have traveled 12 KM in five minutes. A scientist would translate that into meters per second and this makes a nice comparison toward the problem of (bytes per five minutes) versus (bits per second).

We traveled 12 kilometers which is 12'000 meters. We did that in five minutes or 300 seconds. Our speed is 12'000M / 300S or 40 M/S.

We could also calculate the speed in KM/H: 12 times 5 minutes is an hour, so we have to multiply 12 KM by 12 to get 144 KM/H. For our native English speaking friends: that's 90 MPH so don't try this example at home or where I live :)

Remember: these numbers are averages only. There is no way to figure out from the numbers, if you drove at a constant speed. There is an example later on in this tutorial that explains this.

I hope you understand that there is no difference in calculating M/S or bps; only the way we collect the data is different. Even the K from kilo is the same as in networking terms k also means 1'000.

We will now create a database where we can keep all these interesting numbers. The method used to start the program may differ slightly from OS to OS, but I assume you can figure it out if it works different on your's. Make sure you do not overwrite any file on your system when executing the following command and type the whole line as one long line (I had to split it for readability) and skip all of the '' characters.

  rrdtool create test.rrd             
           --start 920804400          
           DS:speed:COUNTER:600:U:U   
           RRA:AVERAGE:0.5:1:24       
           RRA:AVERAGE:0.5:6:10

(So enter: rrdtool create test.rrd --start 920804400 DS ...)

What has been created?

We created the round robin database called test (test.rrd) which starts at noon the day I started writing this document, 7th of March, 1999 (this date translates to 920'804'400 seconds as explained below). Our database holds one data source (DS) named ``speed'' that represents a counter. This counter is read every five minutes (default). In the same database two round robin archives (RRAs) are kept, one averages the data every time it is read (e.g., there's nothing to average) and keeps 24 samples (24 times 5 minutes is 2 hours). The other averages 6 values (half hour) and contains 10 such averages (e.g., 5 hours).

RRDtool works with special time stamps coming from the UNIX world. This time stamp is the number of seconds that passed since January 1st 1970 UTC. The time stamp value is translated into local time and it will therefore look different for different time zones.

Chances are that you are not in the same part of the world as I am. This means your time zone is different. In all examples where I talk about time, the hours may be wrong for you. This has little effect on the results of the examples, just correct the hours while reading. As an example: where I will see ``12:05'' the UK folks will see ``11:05''.

We now have to fill our database with some numbers. We'll pretend to have read the following numbers:

12:05  12345 KM
12:10  12357 KM
12:15  12363 KM
12:20  12363 KM
12:25  12363 KM
12:30  12373 KM
12:35  12383 KM
12:40  12393 KM
12:45  12399 KM
12:50  12405 KM
12:55  12411 KM
13:00  12415 KM
13:05  12420 KM
13:10  12422 KM
13:15  12423 KM

We fill the database as follows:

rrdtool update test.rrd 920804700:12345 920805000:12357 920805300:12363
rrdtool update test.rrd 920805600:12363 920805900:12363 920806200:12373
rrdtool update test.rrd 920806500:12383 920806800:12393 920807100:12399
rrdtool update test.rrd 920807400:12405 920807700:12411 920808000:12415
rrdtool update test.rrd 920808300:12420 920808600:12422 920808900:12423

This reads: update our test database with the following numbers

time 920804700, value 12345
time 920805000, value 12357

etcetera.

As you can see, it is possible to feed more than one value into the database in one command. I had to stop at three for readability but the real maximum per line is OS dependent.

We can now retrieve the data from our database using ``rrdtool fetch'':

rrdtool fetch test.rrd AVERAGE --start 920804400 --end 920809200

It should return the following output:

                         speed

920804700: nan
920805000: 4.0000000000e-02
920805300: 2.0000000000e-02
920805600: 0.0000000000e+00
920805900: 0.0000000000e+00
920806200: 3.3333333333e-02
920806500: 3.3333333333e-02
920806800: 3.3333333333e-02
920807100: 2.0000000000e-02
920807400: 2.0000000000e-02
920807700: 2.0000000000e-02
920808000: 1.3333333333e-02
920808300: 1.6666666667e-02
920808600: 6.6666666667e-03
920808900: 3.3333333333e-03
920809200: nan

If it doesn't, something may be wrong. Perhaps your OS will print ``NaN'' in a different form. ``NaN'' stands for ``Not A Number''. If your OS writes ``U'' or ``UNKN'' or something similar that's okay. If something else is wrong, it will probably be due to an error you made (assuming that my tutorial is correct of course :-). In that case: delete the database and try again. Sometimes things change. This example used to provide numbers like ``0.04'' in stead of ``4.00000e-02''. Those are really the same numbers, just written down differently. Don't be alarmed if a future version of rrdtool displays a slightly different form of output. The examples in this document are correct for version 1.2.0 of RRDtool.

The meaning of the above output will become clear below.

Time to create some graphics

Try the following command:

rrdtool graph speed.png                                 
        --start 920804400 --end 920808000               
        DEF:myspeed=test.rrd:speed:AVERAGE              
        LINE2:myspeed#FF0000

This will create speed.png which starts at 12:00 and ends at 13:00. There is a definition of a variable called myspeed, using the data from RRA ``speed'' out of database ``test.rrd''. The line drawn is 2 pixels high and represents the variable myspeed. The color is red (specified by its rgb-representation, see below).

You'll notice that the start of the graph is not at 12:00 but at 12:05. This is because we have insufficient data to tell the average before that time. This will only happen when you miss some samples, this will not happen a lot, hopefully.

If this has worked: congratulations! If not, check what went wrong.

The colors are built up from red, green and blue. For each of the components, you specify how much to use in hexadecimal where 00 means not included and FF means fully included. The ``color'' white is a mixture of red, green and blue: FFFFFF The ``color'' black is all colors off: 000000

  red     #FF0000
  green   #00FF00
  blue    #0000FF
  magenta #FF00FF     (mixed red with blue)
  gray    #555555     (one third of all components)

Additionally you can add an alpha channel (transparency). The default will be ``FF'' which means non-transparent.

The PNG you just created can be displayed using your favorite image viewer. Web browsers will display the PNG via the URL ``file:///the/path/to/speed.png''

Graphics with some math

When looking at the image, you notice that the horizontal axis is labeled 12:10, 12:20, 12:30, 12:40 and 12:50. Sometimes a label doesn't fit (12:00 and 13:00 would be candidates) so they are skipped.

The vertical axis displays the range we entered. We provided kilometers and when divided by 300 seconds, we get very small numbers. To be exact, the first value was 12 (12'357-12'345) and divided by 300 this makes 0.04, which is displayed by RRDtool as ``40 m'' meaning ``40/1'000''. The ``m'' (milli) has nothing to do with meters, kilometers or millimeters! RRDtool doesn't know about the physical units of our data, it just works with dimensionless numbers.

If we had measured our distances in meters, this would have been (12'357'000-12'345'000)/300 = 12'000/300 = 40.

As most people have a better feel for numbers in this range, we'll correct that. We could recreate our database and store the correct data, but there is a better way: we do some calculations while creating the png file!

  rrdtool graph speed2.png                           
     --start 920804400 --end 920808000               
     --vertical-label m/s                            
     DEF:myspeed=test.rrd:speed:AVERAGE              
     CDEF:realspeed=myspeed,1000,*                  
     LINE2:realspeed#FF0000

Note: Make sure not to forget the backslash in front of the multiplication operator * above. The backslash is needed to ``escape'' the * as some operating systems might interpret and expand * instead of passing it to the rrdtool command.

After viewing this PNG, you notice the ``m'' (milli) has disappeared. This it what the correct result would be. Also, a label has been added to the image. Apart from the things mentioned above, the PNG should look the same.

The calculations are specified in the CDEF part above and are in Reverse Polish Notation (``RPN''). What we requested RRDtool to do is: ``take the data source myspeed and the number 1000; multiply those''. Don't bother with RPN yet, it will be explained later on in more detail. Also, you may want to read my tutorial on CDEFs and Steve Rader's tutorial on RPN. But first finish this tutorial.

Hang on! If we can multiply values with 1'000, it should also be possible to display kilometers per hour from the same data!

To change a value that is measured in meters per second:

Calculate meters per hour:     value * 3'600
Calculate kilometers per hour: value / 1'000
Together this makes:           value * (3'600/1'000) or value * 3.6

In our example database we made a mistake and we need to compensate for this by multiplying with 1'000. Applying that correction:

value * 3.6  * 1'000 == value * 3'600

Now let's create this PNG, and add some more magic ...

rrdtool graph speed3.png                             
     --start 920804400 --end 920808000               
     --vertical-label km/h                           
     DEF:myspeed=test.rrd:speed:AVERAGE              
     "CDEF:kmh=myspeed,3600,*"                       
     CDEF:fast=kmh,100,GT,kmh,0,IF                   
     CDEF:good=kmh,100,GT,0,kmh,IF                   
     HRULE:100#0000FF:"Maximum allowed"              
     AREA:good#00FF00:"Good speed"                   
     AREA:fast#FF0000:"Too fast"

Note: here we use another means to escape the * operator by enclosing the whole string in double quotes.

This graph looks much better. Speed is shown in KM/H and there is even an extra line with the maximum allowed speed (on the road I travel on). I also changed the colors used to display speed and changed it from a line into an area.

The calculations are more complex now. For speed measurements within the speed limit they are:

  Check if kmh is greater than 100    ( kmh,100 ) GT
  If so, return 0, else kmh           ((( kmh,100 ) GT ), 0, kmh) IF

For values above the speed limit:

  Check if kmh is greater than 100    ( kmh,100 ) GT
  If so, return kmh, else return 0    ((( kmh,100) GT ), kmh, 0) IF

Graphics Magic

I like to believe there are virtually no limits to how RRDtool graph can manipulate data. I will not explain how it works, but look at the following PNG:

  rrdtool graph speed4.png                           
     --start 920804400 --end 920808000               
     --vertical-label km/h                           
     DEF:myspeed=test.rrd:speed:AVERAGE              
     "CDEF:kmh=myspeed,3600,*"                       
     CDEF:fast=kmh,100,GT,100,0,IF                   
     CDEF:over=kmh,100,GT,kmh,100,-,0,IF             
     CDEF:good=kmh,100,GT,0,kmh,IF                   
     HRULE:100#0000FF:"Maximum allowed"              
     AREA:good#00FF00:"Good speed"                   
     AREA:fast#550000:"Too fast"                     
     STACK:over#FF0000:"Over speed"

Let's create a quick and dirty HTML page to view the three PNGs:

  <HTML><HEAD><TITLE>Speed</TITLE></HEAD><BODY>
  <IMG src="speed2.png" alt="Speed in meters per second">
  <BR>
  <IMG src="speed3.png" alt="Speed in kilometers per hour">
  <BR>
  <IMG src="speed4.png" alt="Traveled too fast?">
  </BODY></HTML>

Name the file ``speed.html'' or similar, and look at it in your web browser.

Now, all you have to do is measure the values regularly and update the database. When you want to view the data, recreate the PNGs and make sure to refresh them in your browser. (Note: just clicking reload may not be enough, especially when proxies are involved. Try shift-reload or ctrl-F5).

Updates in Reality

We've already used the ``update'' command: it took one or more parameters in the form of ``<time>:<value>''. You'll be glad to know that you can specify the current time by filling in a ``N'' as the time. Or you could use the ``time'' function in Perl (the shortest example in this tutorial):

  perl -e 'print time, "
" '

How to run a program on regular intervals is OS specific. But here is an example in pseudo code:

  - Get the value and put it in variable "$speed"
  - rrdtool update speed.rrd N:$speed

(do not try this with our test database, we'll use it in further examples)

This is all. Run the above script every five minutes. When you need to know what the graphs look like, run the examples above. You could put them in a script as well. After running that script, view the page index.html we created above.

Some words on SNMP

I can imagine very few people that will be able to get real data from their car every five minutes. All other people will have to settle for some other kind of counter. You could measure the number of pages printed by a printer, for example, the cups of coffee made by the coffee machine, a device that counts the electricity used, whatever. Any incrementing counter can be monitored and graphed using the stuff you learned so far. Later on we will also be able to monitor other types of values like temperature.

Most (?) people interested in RRDtool will use the counter that keeps track of octets (bytes) transfered by a network device. So let's do just that next. We will start with a description of how to collect data.

Some people will make a remark that there are tools which can do this data collection for you. They are right! However, I feel it is important that you understand they are not necessary. When you have to determine why things went wrong you need to know how they work.

One tool used in the example has been talked about very briefly in the beginning of this document, it is called SNMP. It is a way of talking to networked equipment. The tool I use below is called ``snmpget'' and this is how it works:

  snmpget device password OID

  snmpget -v[version] -c[password] device OID

For device you substitute the name, or the IP address, of your device. For password you use the ``community read string'' as it is called in the SNMP world. For some devices the default of ``public'' might work, however this can be disabled, altered or protected for privacy and security reasons. Read the documentation that comes with your device or program.

Then there is this parameter, called OID, which means ``object identifier''.

When you start to learn about SNMP it looks very confusing. It isn't all that difficult when you look at the Management Information Base (``MIB''). It is an upside-down tree that describes data, with a single node as the root and from there a number of branches. These branches end up in another node, they branch out, etc. All the branches have a name and they form the path that we follow all the way down. The branches that we follow are named: iso, org, dod, internet, mgmt and mib-2. These names can also be written down as numbers and are 1 3 6 1 2 1.

  iso.org.dod.internet.mgmt.mib-2 (1.3.6.1.2.1)

There is a lot of confusion about the leading dot that some programs use. There is *no* leading dot in an OID. However, some programs can use the above part of OIDs as a default. To indicate the difference between abbreviated OIDs and full OIDs they need a leading dot when you specify the complete OID. Often those programs will leave out the default portion when returning the data to you. To make things worse, they have several default prefixes ...

Ok, lets continue to the start of our OID: we had 1.3.6.1.2.1 From there, we are especially interested in the branch ``interfaces'' which has number 2 (e.g., 1.3.6.1.2.1.2 or 1.3.6.1.2.1.interfaces).

First, we have to get some SNMP program. First look if there is a pre-compiled package available for your OS. This is the preferred way. If not, you will have to get the sources yourself and compile those. The Internet is full of sources, programs etc. Find information using a search engine or whatever you prefer.

Assume you got the program. First try to collect some data that is available on most systems. Remember: there is a short name for the part of the tree that interests us most in the world we live in!

I will give an example which can be used on Fedora Core 3. If it doesn't work for you, work your way through the manual of snmp and adapt the example to make it work.

  snmpget -v2c -c public myrouter system.sysDescr.0

The device should answer with a description of itself, perhaps an empty one. Until you got a valid answer from a device, perhaps using a different ``password'', or a different device, there is no point in continuing.

  snmpget -v2c -c public myrouter interfaces.ifNumber.0

Hopefully you get a number as a result, the number of interfaces. If so, you can carry on and try a different program called ``snmpwalk''.

  snmpwalk -v2c -c public myrouter interfaces.ifTable.ifEntry.ifDescr

If it returns with a list of interfaces, you're almost there. Here's an example: [user@host /home/alex]$ snmpwalk -v2c -c public cisco 2.2.1.2

  interfaces.ifTable.ifEntry.ifDescr.1 = "BRI0: B-Channel 1"
  interfaces.ifTable.ifEntry.ifDescr.2 = "BRI0: B-Channel 2"
  interfaces.ifTable.ifEntry.ifDescr.3 = "BRI0" Hex: 42 52 49 30
  interfaces.ifTable.ifEntry.ifDescr.4 = "Ethernet0"
  interfaces.ifTable.ifEntry.ifDescr.5 = "Loopback0"

On this cisco equipment, I would like to monitor the ``Ethernet0'' interface and from the above output I see that it is number four. I try:

  [user@host /home/alex]$ snmpget -v2c -c public cisco 2.2.1.10.4 2.2.1.16.4

interfaces.ifTable.ifEntry.ifInOctets.4 = 2290729126
  interfaces.ifTable.ifEntry.ifOutOctets.4 = 1256486519

So now I have two OIDs to monitor and they are (in full, this time):

  1.3.6.1.2.1.2.2.1.10

and

  1.3.6.1.2.1.2.2.1.16

both with an interface number of 4.

Don't get fooled, this wasn't my first try. It took some time for me too to understand what all these numbers mean. It does help a lot when they get translated into descriptive text... At least, when people are talking about MIBs and OIDs you know what it's all about. Do not forget the interface number (0 if it is not interface dependent) and try snmpwalk if you don't get an answer from snmpget.

If you understand the above section and get numbers from your device, continue on with this tutorial. If not, then go back and re-read this part.

A Real World Example

Let the fun begin. First, create a new database. It contains data from two counters, called input and output. The data is put into archives that average it. They take 1, 6, 24 or 288 samples at a time. They also go into archives that keep the maximum numbers. This will be explained later on. The time in-between samples is 300 seconds, a good starting point, which is the same as five minutes.

1 sample "averaged" stays 1 period of 5 minutes
6 samples averaged become one average on 30 minutes
24 samples averaged become one average on 2 hours
288 samples averaged become one average on 1 day

Lets try to be compatible with MRTG which stores about the following amount of data:

600 5-minute samples:    2   days and 2 hours
600 30-minute samples:  12.5 days
600 2-hour samples:     50   days
732 1-day samples:     732   days

These ranges are appended, so the total amount of data stored in the database is approximately 797 days. RRDtool stores the data differently, it doesn't start the ``weekly'' archive where the ``daily'' archive stopped. For both archives the most recent data will be near ``now'' and therefore we will need to keep more data than MRTG does!

We will need:

600 samples of 5 minutes  (2 days and 2 hours)
700 samples of 30 minutes (2 days and 2 hours, plus 12.5 days)
775 samples of 2 hours    (above + 50 days)
797 samples of 1 day      (above + 732 days, rounded up to 797)

rrdtool create myrouter.rrd         
           DS:input:COUNTER:600:U:U   
           DS:output:COUNTER:600:U:U  
           RRA:AVERAGE:0.5:1:600      
           RRA:AVERAGE:0.5:6:700      
           RRA:AVERAGE:0.5:24:775     
           RRA:AVERAGE:0.5:288:797    
           RRA:MAX:0.5:1:600          
           RRA:MAX:0.5:6:700          
           RRA:MAX:0.5:24:775         
           RRA:MAX:0.5:288:797

Next thing to do is to collect data and store it. Here is an example. It is written partially in pseudo code, you will have to find out what to do exactly on your OS to make it work.

  while not the end of the universe
  do
     get result of
        snmpget router community 2.2.1.10.4
     into variable $in
     get result of
        snmpget router community 2.2.1.16.4
     into variable $out

rrdtool update myrouter.rrd N:$in:$out

wait for 5 minutes
  done

Then, after collecting data for a day, try to create an image using:

  rrdtool graph myrouter-day.png --start -86400 
           DEF:inoctets=myrouter.rrd:input:AVERAGE 
           DEF:outoctets=myrouter.rrd:output:AVERAGE 
           AREA:inoctets#00FF00:"In traffic" 
           LINE1:outoctets#0000FF:"Out traffic"

This should produce a picture with one day worth of traffic. One day is 24 hours of 60 minutes of 60 seconds: 24*60*60=86'400, we start at now minus 86'400 seconds. We define (with DEFs) inoctets and outoctets as the average values from the database myrouter.rrd and draw an area for the ``in'' traffic and a line for the ``out'' traffic.

View the image and keep logging data for a few more days. If you like, you could try the examples from the test database and see if you can get various options and calculations to work.

Suggestion: Display in bytes per second and in bits per second. Make the Ethernet graphics go red if they are over four megabits per second.

Consolidation Functions

A few paragraphs back I mentioned the possibility of keeping the maximum values instead of the average values. Let's go into this a bit more.

Recall all the stuff about the speed of the car. Suppose we drove at 144 KM/H during 5 minutes and then were stopped by the police for 25 minutes. At the end of the lecture we would take our laptop and create and view the image taken from the database. If we look at the second RRA we did create, we would have the average from 6 samples. The samples measured would be 144+0+0+0+0+0=144, divided by 30 minutes, corrected for the error by 1000, translated into KM/H, with a result of 24 KM/H. I would still get a ticket but not for speeding anymore :)

Obviously, in this case we shouldn't look at the averages. In some cases they are handy. If you want to know how many KM you had traveled, the averaged picture would be the right one to look at. On the other hand, for the speed that we traveled at, the maximum numbers seen is much more interesting. Later we will see more types.

It is the same for data. If you want to know the amount, look at the averages. If you want to know the rate, look at the maximum. Over time, they will grow apart more and more. In the last database we have created, there are two archives that keep data per day. The archive that keeps averages will show low numbers, the archive that shows maxima will have higher numbers.

For my car this would translate in averages per day of 96/24=4 KM/H (as I travel about 94 kilometers on a day) during working days, and maxima of 120 KM/H (my top speed that I reach every day).

Big difference. Do not look at the second graph to estimate the distances that I travel and do not look at the first graph to estimate my speed. This will work if the samples are close together, as they are in five minutes, but not if you average.

On some days, I go for a long ride. If I go across Europe and travel for 12 hours, the first graph will rise to about 60 KM/H. The second one will show 180 KM/H. This means that I traveled a distance of 60 KM/H times 24 H = 1440 KM. I did this with a higher speed and a maximum around 180 KM/H. However, it probably doesn't mean that I traveled for 8 hours at a constant speed of 180 KM/H!

This is a real example: go with the flow through Germany (fast!) and stop a few times for gas and coffee. Drive slowly through Austria and the Netherlands. Be careful in the mountains and villages. If you would look at the graphs created from the five-minute averages you would get a totally different picture. You would see the same values on the average and maximum graphs (provided I measured every 300 seconds). You would be able to see when I stopped, when I was in top gear, when I drove over fast highways etc. The granularity of the data is much higher, so you can see more. However, this takes 12 samples per hour, or 288 values per day, so it would be a lot of data over a longer period of time. Therefore we average it, eventually to one value per day. From this one value, we cannot see much detail, of course.

Make sure you understand the last few paragraphs. There is no value in only a line and a few axis, you need to know what they mean and interpret the data in ana appropriate way. This is true for all data.

The biggest mistake you can make is to use the collected data for something that it is not suitable for. You would be better off if you didn't have the graph at all.

Let's review what you now should know

You know how to create a database and can put data in it. You can get the numbers out again by creating an image, do math on the data from the database and view the resulte instead of the raw data. You know about the difference between averages and maxima, and when to use which (or at least you should have an idea).

RRDtool can do more than what we have learned up to now. Before you continue with the rest of this doc, I recommend that you reread from the start and try some modifications on the examples. Make sure you fully understand everything. It will be worth the effort and helps you not only with the rest of this tutorial, but also in your day to day monitoring long after you read this introduction.

Data Source Types

All right, you feel like continuing. Welcome back and get ready for an increased speed in the examples and explanations.

You know that in order to view a counter over time, you have to take two numbers and divide the difference of them between the time lapsed. This makes sense for the examples I gave you but there are other possibilities. For instance, I'm able to retrieve the temperature from my router in three places namely the inlet, the so called hot-spot and the exhaust. These values are not counters. If I take the difference of the two samples and divide that by 300 seconds I would be asking for the temperature change per second. Hopefully this is zero! If not, the computer room is probably on fire :)

So, what can we do? We can tell RRDtool to store the values we measure directly as they are (this is not entirely true but close enough). The graphs we make will look much better, they will show a rather constant value. I know when the router is busy (it works -> it uses more electricity -> it generates more heat -> the temperature rises). I know when the doors are left open (the room is air conditioned) -> the warm air from the rest of the building flows into the computer room -> the inlet temperature rises). Etc. The data type we use when creating the database before was counter, we now have a different data type and thus a different name for it. It is called GAUGE. There are more such data types:

- COUNTER   we already know this one
- GAUGE     we just learned this one
- DERIVE
- ABSOLUTE

The two additional types are DERIVE and ABSOLUTE. Absolute can be used like counter with one difference: RRDtool assumes the counter is reset when it's read. That is: its delta is known without calculation by RRDtool whereas RRDtool needs to calculate it for the counter type. Example: our first example (12'345, 12'357, 12'363, 12'363) would read: unknown, 12, 6, 0. The rest of the calculations stay the same. The other one, derive, is like counter. Unlike counter, it can also decrease so it can have a negative delta. Again, the rest of the calculations stay the same.

Let's try them all:

  rrdtool create all.rrd --start 978300900 
           DS:a:COUNTER:600:U:U 
           DS:b:GAUGE:600:U:U 
           DS:c:DERIVE:600:U:U 
           DS:d:ABSOLUTE:600:U:U 
           RRA:AVERAGE:0.5:1:10
  rrdtool update all.rrd 
           978301200:300:1:600:300    
           978301500:600:3:1200:600   
           978301800:900:5:1800:900   
           978302100:1200:3:2400:1200 
           978302400:1500:1:2400:1500 
           978302700:1800:2:1800:1800 
           978303000:2100:4:0:2100    
           978303300:2400:6:600:2400  
           978303600:2700:4:600:2700  
           978303900:3000:2:1200:3000
  rrdtool graph all1.png -s 978300600 -e 978304200 -h 400 
           DEF:linea=all.rrd:a:AVERAGE LINE3:linea#FF0000:"Line A" 
           DEF:lineb=all.rrd:b:AVERAGE LINE3:lineb#00FF00:"Line B" 
           DEF:linec=all.rrd:c:AVERAGE LINE3:linec#0000FF:"Line C" 
           DEF:lined=all.rrd:d:AVERAGE LINE3:lined#000000:"Line D"

RRDtool under the Microscope

Line A is a COUNTER type, so it should continuously increment and RRDtool must calculate the differences. Also, RRDtool needs to divide the difference by the amount of time lapsed. This should end up as a straight line at 1 (the deltas are 300, the time is 300).
Line B is of type GAUGE. These are ``real'' values so they should match what we put in: a sort of a wave.
Line C is of type DERIVE. It should be a counter that can decrease. It does so between 2'400 and 0, with 1'800 in-between.
Line D is of type ABSOLUTE. This is like counter but it works on values without calculating the difference. The numbers are the same and as you can see (hopefully) this has a different result.

This translates in the following values, starting at 23:10 and ending at 00:10 the next day (where ``u'' means unknown/unplotted):

- Line A:  u  u  1  1  1  1  1  1  1  1  1  u
- Line B:  u  1  3  5  3  1  2  4  6  4  2  u
- Line C:  u  u  2  2  2  0 -2 -6  2  0  2  u
- Line D:  u  1  2  3  4  5  6  7  8  9 10  u

If your PNG shows all this, you know you have entered the data correctly, the RRDtool executable is working properly, your viewer doesn't fool you, and you successfully entered the year 2000 :)

You could try the same example four times, each time with only one of the lines.

Let's go over the data again:

Line A: 300,600,900 and so on. The counter delta is a constant 300 and so is the time delta. A number divided by itself is always 1 (except when dividing by zero which is undefined/illegal).
Why is it that the first point is unknown? We do know what we put into the database, right? True, But we didn't have a value to calculate the delta from, so we don't know where we started. It would be wrong to assume we started at zero so we don't!
Line B: There is nothing to calculate. The numbers are as they are.
Line C: Again, the start-out value is unknown. The same story is holds as for line A. In this case the deltas are not constant, therefore the line is not either. If we would put the same numbers in the database as we did for line A, we would have gotten the same line. Unlike type counter, this type can decrease and I hope to show you later on why this makes a difference.
Line D: Here the device calculates the deltas. Therefore we DO know the first delta and it is plotted. We had the same input as with line A, but the meaning of this input is different and thus the line is different. In this case the deltas increase each time with 300. The time delta stays at a constant 300 and therefore the division of the two gives increasing values.

Counter Wraps

There are a few more basics to show. Some important options are still to be covered and we haven't look at counter wraps yet. First the counter wrap: In our car we notice that the counter shows 999'987. We travel 20 KM and the counter should go to 1'000'007. Unfortunately, there are only six digits on our counter so it really shows 000'007. If we would plot that on a type DERIVE, it would mean that the counter was set back 999'980 KM. It wasn't, and there has to be some protection for this. This protection is only available for type COUNTER which should be used for this kind of counter anyways. How does it work? Type counter should never decrease and therefore RRDtool must assume it wrapped if it does decrease! If the delta is negative, this can be compensated for by adding the maximum value of the counter + 1. For our car this would be:

Delta = 7 - 999'987 = -999'980    (instead of 1'000'007-999'987=20)

Real delta = -999'980 + 999'999 + 1 = 20

At the time of writing this document, RRDtool knows of counters that are either 32 bits or 64 bits of size. These counters can handle the following different values:

- 32 bits: 0 ..           4'294'967'295
- 64 bits: 0 .. 18'446'744'073'709'551'615

If these numbers look strange to you, you can view them in their hexadecimal form:

- 32 bits: 0 ..         FFFFFFFF
- 64 bits: 0 .. FFFFFFFFFFFFFFFF

RRDtool handles both counters the same. If an overflow occurs and the delta would be negative, RRDtool first adds the maximum of a small counter + 1 to the delta. If the delta is still negative, it had to be the large counter that wrapped. Add the maximum possible value of the large counter + 1 and subtract the erroneously added small value.

There is a risk in this: suppose the large counter wrapped while adding a huge delta, it could happen, theoretically, that adding the smaller value would make the delta positive. In this unlikely case the results would not be correct. The increase should be nearly as high as the maximum counter value for that to happen, so chances are you would have several other problems as well and this particular problem would not even be worth thinking about. Even though, I did include an example, so you can judge for yourself.

The next section gives you some numerical examples for counter-wraps. Try to do the calculations yourself or just believe me if your calculator can't handle the numbers :)

Correction numbers:

- 32 bits: (4'294'967'295 + 1) =                                4'294'967'296
- 64 bits: (18'446'744'073'709'551'615 + 1)
                                   - correction1 = 18'446'744'069'414'584'320

Before:        4'294'967'200
Increase:                100
Should become: 4'294'967'300
But really is:             4
Delta:        -4'294'967'196
Correction1:  -4'294'967'196 + 4'294'967'296 = 100

Before:        18'446'744'073'709'551'000
Increase:                             800
Should become: 18'446'744'073'709'551'800
But really is:                        184
Delta:        -18'446'744'073'709'550'816
Correction1:  -18'446'744'073'709'550'816
                               + 4'294'967'296 = -18'446'744'069'414'583'520
Correction2:  -18'446'744'069'414'583'520
                  + 18'446'744'069'414'584'320 = 800

Before:        18'446'744'073'709'551'615 ( maximum value )
Increase:      18'446'744'069'414'584'320 ( absurd increase, minimum for
Should become: 36'893'488'143'124'135'935             this example to work )
But really is: 18'446'744'069'414'584'319
Delta:                     -4'294'967'296
Correction1:  -4'294'967'296 + 4'294'967'296 = 0
(not negative -> no correction2)

Before:        18'446'744'073'709'551'615 ( maximum value )
Increase:      18'446'744'069'414'584'319 ( one less increase )
Should become: 36'893'488'143'124'135'934
But really is: 18'446'744'069'414'584'318
Delta:                     -4'294'967'297
Correction1:  -4'294'967'297 + 4'294'967'296 = -1
Correction2:  -1 + 18'446'744'069'414'584'320 = 18'446'744'069'414'584'319

As you can see from the last two examples, you need strange numbers for RRDtool to fail (provided it's bug free of course), so this should not happen. However, SNMP or whatever method you choose to collect the data, might also report wrong numbers occasionally. We can't prevent all errors, but there are some things we can do. The RRDtool ``create'' command takes two special parameters for this. They define the minimum and maximum allowed values. Until now, we used ``U'', meaning ``unknown''. If you provide values for one or both of them and if RRDtool receives data points that are outside these limits, it will ignore those values. For a thermometer in degrees Celsius, the absolute minimum is just under -273. For my router, I can assume this minimum is much higher so I would set it to 10, where as the maximum temperature I would set to 80. Any higher and the device would be out of order.

For the speed of my car, I would never expect negative numbers and also I would not expect a speed higher than 230. Anything else, and there must have been an error. Remember: the opposite is not true, if the numbers pass this check, it doesn't mean that they are correct. Always judge the graph with a healthy dose of suspicion if it seems weird to you.

Data Resampling

One important feature of RRDtool has not been explained yet: it is virtually impossible to collect data and feed it into RRDtool on exact intervals. RRDtool therefore interpolates the data, so they are stored on exact intervals. If you do not know what this means or how it works, then here's the help you seek:

Suppose a counter increases by exactly one for every second. You want to measure it in 300 seconds intervals. You should retrieve values that are exactly 300 apart. However, due to various circumstances you are a few seconds late and the interval is 303. The delta will also be 303 in that case. Obviously, RRDtool should not put 303 in the database and make you believe that the counter increased by 303 in 300 seconds. This is where RRDtool interpolates: it alters the 303 value as if it would have been stored earlier and it will be 300 in 300 seconds. Next time you are at exactly the right time. This means that the current interval is 297 seconds and also the counter increased by 297. Again, RRDtool interpolates and stores 300 as it should be.

     in the RRD                 in reality

time+000:   0 delta="U"   time+000:    0 delta="U"
time+300: 300 delta=300   time+300:  300 delta=300
time+600: 600 delta=300   time+603:  603 delta=303
time+900: 900 delta=300   time+900:  900 delta=297

Let's create two identical databases. I've chosen the time range 920'805'000 to 920'805'900 as this goes very well with the example numbers.

  rrdtool create seconds1.rrd   
     --start 920804700          
     DS:seconds:COUNTER:600:U:U 
     RRA:AVERAGE:0.5:1:24

Make a copy

  for Unix: cp seconds1.rrd seconds2.rrd
  for Dos:  copy seconds1.rrd seconds2.rrd
  for vms:  how would I know :)

Put in some data

  rrdtool update seconds1.rrd 
     920805000:000 920805300:300 920805600:600 920805900:900
  rrdtool update seconds2.rrd 
     920805000:000 920805300:300 920805603:603 920805900:900

Create output

  rrdtool graph seconds1.png                       
     --start 920804700 --end 920806200             
     --height 200                                  
     --upper-limit 1.05 --lower-limit 0.95 --rigid 
     DEF:seconds=seconds1.rrd:seconds:AVERAGE      
     CDEF:unknown=seconds,UN                       
     LINE2:seconds#0000FF                          
     AREA:unknown#FF0000
  rrdtool graph seconds2.png                       
     --start 920804700 --end 920806200             
     --height 200                                  
     --upper-limit 1.05 --lower-limit 0.95 --rigid 
     DEF:seconds=seconds2.rrd:seconds:AVERAGE      
     CDEF:unknown=seconds,UN                       
     LINE2:seconds#0000FF                          
     AREA:unknown#FF0000

View both images together (add them to your index.html file) and compare. Both graphs should show the same, despite the input being different.

Wrapup

It's time now to wrap up this tutorial. We covered all the basics for you to be able to work with RRDtool and to read the additional documentation available. There is plenty more to discover about RRDtool and you will find more and more uses for this package. You can easly create graphs using just the examples provided and using only RRDtool. You can also use one of the front ends to RRDtool that are available.

Mailinglist

Remember to subscribe to the RRDtool mailing list. Even if you are not answering to mails that come by, it helps both you and the rest of the users. A lot of the stuff that I know about MRTG (and therefore about RRDtool) I've learned while just reading the list without posting to it. I did not need to ask the basic questions as they are answered in the FAQ (read it!) and in various mails by other users. With thousands of users all over the world, there will always be people who ask questions that you can answer because you read this and other documentation and they didn't.

Источник: http://oss.oetiker.ch/rrdtool/tut/rrdtutorial.en.html

RRDTool: установка и использование

Обновлено: 30.06.2025

Теги: RRDTool

RRDtool (Round Robin Database) обеспечивает хранение и отображение данных мониторинга (загрузка каналов, температура и любая другая зависящая от времени последовательность данных, которую можно получить некоторым способом). Задумывалась как повторная, но более правильная реализация MRTG. Объём хранимых данных не увеличивается со временем (ячейки хранения используются циклически). Использование различных функций консолидации данных позволяет охватывать большие интервалы времени без чрезмерного увеличения объема БД за счет снижения разрешающей способности. В отличие от mrtg, программа не упаковывает старые данные самостоятельно, это надо предусматривать при проектировании БД. Сбор информации и генерация HTML-кода также производится с помощью внешних средств. Более мощные средства генерации графиков. Все времена во внутреннем формате Unix (число секунд с 1 января 1970 в UTC). Значения счетчиков могут быть целыми или вещественными числами или специальным значением UNKNOWN. Лицензия - GPL (но автор не будет против, если в благодарность послать ему CD/DVD из указанного им списка; при установке rrdtool имитируется заказ CD на amazone.com ;-). Необходимо иметь perl 5 (без perl rrdtool соберется, но не будет модулей подержки perl) и обычный набор средств компиляции (make, gcc, autoconf, automake, libtool). Имеется также поддержка tcl и python. Нельзя использовать для учета и биллинга - слишком много он усредняет и сглаживает, используя достаточно сложные алгоритмы.

Установка 1.2.13 (Linux RedHat 9)

В версии 1.2 вместо gd используется libart (антиалиасинг, прозрачность, TrueType; дополнительно вывод в форматах PDF, SVG, EPS); поддержка переменных (VDEF); изменился формат хранения данных (новая версия читает старые архивы); дополнительные библиотеки не включены в поставку; предсказание следующего значения методом Holt-Winters; отсеивание подозрительных (слишком сильно отдличающихся от предсказанных) данных.

проверить наличие пакетов -devel библиотек zlib, libpng, freetype, libart_lgpl
скачать и развернуть архив
прочитать doc/rrdbuild.txt
./configure [--prefix=/usr/local/rddtool-версия] [--disable-rrdcgi] [--enable-shared] [--disable-tcl] [--disable-python]
make
make install (/usr/local/rrdtool-1.2.13)
1. /usr/local/rrdtool-1.2.13/lib/ (librrd.la, librrd.so.2.0.7, librrd.so.2, librrd.so, librrd.a, (librrd_th.la, librrd_th.so.2.0.7, librrd_th.so.2, librrd_th.so, librrd_th.a)
2. /usr/local/rrdtool-1.2.13/lib/perl/5.8.0/ (RRDp.pm)
3. /usr/local/rrdtool-1.2.13/lib/perl/5.8.0/i386-linux-thread-multi/ (RRDs.pm, perllocal.pod, ntmake.pl, auto/)
4. /usr/local/rrdtool-1.2.13/bin/ (rrdtool, rrdupdate, rrdcgi)
5. /usr/local/rrdtool-1.2.13/include/rrd.h
6. /usr/local/rrdtool-1.2.13/man/man1/ (bin_dec_hex.1, cdeftutorial.1, rpntutorial.1, rrd*.1)
7. /usr/local/rrdtool-1.2.13/share/
  1. doc/rrdtool-1.2.13/ (html/, txt/)
  2. man/man3/ (RRDp.3pm, RRDs.3pm)
  3. rrdtool/fonts/DejaVuSansMono-Roman.ttf
  4. rrdtool/examples/

Установка 1.0.33 (Linux RedHat 6.2 и Solaris 2.5)

В исходники версии 1.0 включены >zlib, gd (довольно старый - без поддержки png и jpeg), libpng, libcgi.

скачать и развернуть архив
./configure [--prefix=/usr/local/rddtool-версия] [--enable-shared] [--with-tcllib=/path-где-лежит-tclConfig.sh] (в RedHat 6.2 tcl лежит в /usr/lib, в Solaris - в /usr/local/lib)
в Solaris включить /usr/ccs/bin в PATH
make
make install (/usr/local/rrdtool-1.0.33)
1. lib (librrd.a, librrd.la, perl/)
2. bin (rrdcgi, rrdtool, rrdupdate, trytime)
3. include/rrd.h
4. doc/ (форматы: txt и pod)
5. html/
6. man/man1/
7. examples/ (bigtops.pl, cgi-demo.cgi, minmax.pl, piped-demo.pl, shared-demo.pl, stripes.pl)
8. contrib/
make site-perl-install (perl-овые модули RRDp.pm и RRDs.pm в общедоступное место)
make site-tcl-install (если был запрошен модуль для tcl)

Методика использования

проектирование и создание базы данных (rrdtool create)
регулярное получение значения счетчика с помощью, например, snmpget; занесение значения счетчика и времени его получения (это не обязательно текущее время) в базу данных (rrdtool update)
при необходимости извлечение информации из БД (rrdtool fetch)
при необходимости создание графика (rrdtool graph); генерация html-страницы производится внешними средствами

Параметры передаются в командной строке или через stdin (в этом случае в командной строке должен быть знак "минус"). Для удобства в интерактивном режиме обеспечиваются команды: cd (делает chroot при работе с uid=0), mkdir, ls, quit. Описание любой команды можно получить командой: rrdtool help имя-команды (без указания имени команды выдаётся список команд).

rrdtool можно использовать по сети следующим способом (про безопасность автор не задумывался, так что рекомендую пользоваться сбором данных с помощью ssh):

в /etc/services добавить (номер порта произвольный)
rrdsrv 13900/tcp
в /etc/inetd.conf добавить (для xinetd модифицировать соответственно)
rrdsrv stream tcp nowait root /usr/local/rrdtool/bin/rrdtool rrdtool - /var/rrd

Создание базы данных

rrdtool create имя-файла.rrd --start начальное-время --step интервал DS:имя-источника-данных:тип-источника-данных:heartbeat:min:max RRA:функция-консолидации:x-доля:отсчетов-на-ячейку:число-ячеек

Начальное время задается в формате timestamp или at-формате (по умолчанию - текущее время). Можно использовать также формат вида: 20010906 20:07 (без секунд!).

Интервал задает предполагаемый интервал в секундах между последовательными отсчетами, задавая таким образом (вместе с начальным временем) сетку по оси времени (по умолчанию 300 секунд).

Каждый DS (data source) описывает отдельный источник данных (их может быть несколько в одной БД). Имя источника не длинее 19 символов. Типы источников:

COUNTER: для получения текущего значения отсчета предыдущее значение счетчика вычитается из текущего и делится на интервал между отсчетами (например, счетчик переданных байт). Переполнение счетчика обрабатывается только для типа COUNTER (предполагается, что счетчик 32 или 64-битный). Интересно, как это сочетается с вещественными числами?
GAUGE: текущее значение отсчета приравнивается полученному значению счетчика (например, температура вместо изменения температуры)
DERIVE: COUNTER, который может уменьшаться
ABSOLUTE: для получения текущего значения отсчета текущее значение счетчика делится на интервал между отсчетами (используется для счетчиков, обнуляемых при чтении)
COMPUTE: вычисляемое значение в виде rpn-выражения

heartbeat устанавливает максимальный допустимый интервал в секундах между последовательными отсчетами (рекомендуется 2*step). При превышении его промежуточные отсчеты заполняются значением UNKNOWN.

Если значения min и/или max установлены (отсутствие установок определяется символом U), то обработанные значения отсчетов, выходящие за эти пределы, не используются (считаются неопределёнными).

Каждый RRA (round robin archives) для DS (может быть несколько архивов для одного источника-данных) описывает количество ячеек в архиве (после заполнения последней ячейки запись идет в первую), как вычисляется значение ячейки из значения отсчетов (функция консолидации: AVERAGE, MAX, MIN, TOTAL, LAST; сколько отсчетов комбинировать в одну ячейку).

x-доля определяет долю неопределённых значений в интервале консолидации, при которой консолидированное значение ещё считается определённым (от 0 до 1).

В версии 1.2 в дополнение к прежним функциям консолидации добавились функции сглаживания (предсказание на основе предыдущих данных) и фильтрации предположительно ошибочных данных (слишком большое отклонение от предсказанного): HWPREDICT (предсказание методом Holt-Winters), DEVPREDICT (отклонение от предсказания, взвешенное для одного цикла), FAILURES (слишком большое отклонение от предсказанного), SEASONAL (предсказание по алгоритму Holt-Winters со скользящим окном в 288 отсчётов), DEVSEASONAL.

Чтобы съимитировать поведение mrtg (600 5-минутных отсчетов, 600 30-минутных отсчетов, 600 2-часовых отсчетов, 732 дневных отсчета; хранятся усредненные за интервал отсчеты и пиковые значение 5-минутных отсчетов за интервал; всего получается 797 дней) необходимо создать следующую БД:

                           rrdtool create bd.rrd         
                              DS:input:COUNTER:600:U:U   
                              DS:output:COUNTER:600:U:U  
                              RRA:AVERAGE:0.5:1:600      
                              RRA:AVERAGE:0.5:6:700      
                              RRA:AVERAGE:0.5:24:775     
                              RRA:AVERAGE:0.5:288:797    
                              RRA:MAX:0.5:1:600          
                              RRA:MAX:0.5:6:700          
                              RRA:MAX:0.5:24:775         
                              RRA:MAX:0.5:288:797

Посмотреть описание БД можно с помощью команды
rrdtool info filename.rrd

Изменить размер RRA можно командой (создаётся новый файл; номер RRA можно получить командой info)
rrdtool resize filename.rrd номер-rra {GROW | SHRINK} число-ячеек

Изменить любой параметр DS можно командой
rrdtool tune filename.rrd [--heartbeat имя-ds:heartbeat] [--minimum имя-ds:min] [--maximum имя-ds:max] [--data-source-type имя-ds:тип-ds] [--data-source-rename старое-имя-ds:новое-имя-ds]

Занесение значения в БД

rrdtool update имя-файла.rrd время:значение[:значение-DS2...] ...

Время задается в at-формате или во внутреннем формате Unix. В качестве времени можно использовать символ N (текущее время). В качестве значения можно использовать символ U (unknown). rrdtool пытается интерполировать невовремя приходящие отсчеты, пытаясь привязать их к равномерной временной сетке. Реальные значения тоже хранятся для интерполяции следующих отчетов. Времена должны быть по возрастающей! Болтливый вариант команды update - updatev. Ключ --template позволяет задать последовательность (имена DS через ':'), в которой задаются значения.

Извлечение значений из БД

rrdtool fetch имя-файла.rrd функция-консолидации [--resolution секунд] [--start время] [--end время]

Используется также внутри функции построения графика. rrdtool пытается подобрать RRA подходящего разрешения или производит вычисления на ходу (по умолчанию - максимальное разрешение из имеющихся). Время начала (по умолчанию - end-1day) и конца интервала (по умолчанию - now) задается в at-формате или во внутреннем формате Unix. Результат выводится в текстовом виде на stdout по одному значению в строке в экспоненциальном формате (в начале строки выводится время во внутреннем формате Unix), первые 2 строки - заголовок (имена DS). Для гарантированного выбора RRA нужного разрешения необходимо не только задать параметр --resolution, но и параметры --start и --end, кратные выбранному разрешению, например:

TIME=$(date +%s)
RRDRES=900
rrdtool fetch имя-файла.rrd AVERAGE -r $RRDRES 
   -e $(echo $(($TIME/$RRDRES*$RRDRES))) -s e-1h

Экспорт в формате XML (определение переменной и шага см, в опсании команды graph):
rrdtool xport имя-файла.rrd [--start время] [--end время] [--maxrows число-отсчётов] [--step шаг] [определение-переменной] [XPORT:имя-переменной[:описание]] ...

Посмотреть время последнего изменения (во внутреннем формате Unix)
rrdtool last filename.rrd

Посмотреть время первого изменения определённого RRA (во внутреннем формате Unix; номер RRA можно получить командой info)
rrdtool first filename.rrd --rraindex номер-RRA

Построение графиков

rrdtool graph имя-файла [--start время] [--end время] [--step шаг] [--x-grid описание-оси-времени] [--force-rules-legend] [--y-grid описание-оси-y] [--alt-y-grid] [--no-gridfit] [--units-exponent экспонента] [--units-length число] [--vertical-label текст] [--width пикселей] [--height пикселей] [--only-graph] [--imginfo formatstring] --imgformat PNG|SVG|PDF|EPS [--zoom масштаб] [--upper-limit maxY] [--lower-limit minY] [--rigid] [--alt-autoscale] [--alt-autoscale-max] [--base кило] [--logarithmic] [--units=si] [--color элемент#rrggbb[aa]] [--font элемент:размер:[имя-файла-ttf-шрифта]] [--font-render-mode тип-сглаживания]] [--font-smoothing-threshold размер] [--tabwidth пикселов] [--no-legend] [--title текст] [--watermark текст] [--slope-mode] [--lazy] [определение-переменной] ... [определение-вида-графика] ...

В качестве имени файла можно использовать "-" (вывод на stdout).

Время начала (по умолчанию - end-1day) и конца интервала (по умолчанию - now) задается в at-формате или во внутреннем формате Unix. По умолчанию, rrdtool вычисляет размер интервала времени, приходящегося на 1 пиксел, и пытается извлечь данные с указанным разрешением. Ключ --step позволяет задать разрешение вручную (шаг меньше 1 пикселя молча игнорируется).

Описание метки оси времени и сетки (--x-grid) может быть none (отсутствие сетки), autoconfigure или GTM:GST:MTM:MST:LTM:LST:LPR:LFM. Например: MINUTE:10:HOUR:1:HOUR:1:0:%X.

GTM - единицы мелкой сетки (SECOND, MINUTE, HOUR, DAY, WEEK, MONTH, YEAR)
GST - количество этих единиц между линиями мелкой сетки
MTM - единицы крупной сетки
MST - количество этих единиц между линиями крупной сетки
LTM - единицы для текстовых меток времени
LST - количество этих единиц между текстовыми метками времени
LPR - точность текстовых меток в секундах
LFM - формат strftime для генерации текста метки

Описание метки оси Y и сетки (--y-grid) может быть none (отсутствие сетки), autoconfigure или шаг-мелкой-сетки:шаг-текстовых-меток. --alt-y-grid автоматически порождает достаточно плотную метрическую сетку по оси Y (т.е. каждые 1, 2, 5 или 10 единиц или кратных им). --no-gridfit отменяет выравнивание сетки по целым пикселям. --units-exponent позволяет вручную задать единицы измерения по оси Y: 0 - единицы, 3 - k, 6 - M, -3 - m и т.д. --units-length позволяет задать число цифр в метке по оси Y. --logarithmic задаёт логарифмический масштаб по оси Y. --units=si позволяет сохранить метрические метки при логарифмическом масштабе. --force-rules-legend выводит метки осей, даже если сами оси не поместились.

--width (400) и --height (100) определяют размер области, занимаемой графиком (ещё требуется некоторое пространство на оформление). --only-graph отключает вывод сопроводительных надписей (подходит для иконок совместно с --height меньше 32).

--imginfo позволяет вывести на stdout строку текста, параметризованную именем файла и разрешением картинки. Например: --imginfo '<IMG SRC="/img/%s" WIDTH="%lu" HEIGHT="%lu" ALT="Demo">'

--zoom позволяет масштабировать график. --upper-limit задает максимальное значение Y на графике вместо автоматически вычисляемого. Если максимальное значение функции больше указанного, то не учитывается пока не указан ключ --rigid. --lower-limit задает минимальное значение Y на графике вместо автоматически вычисляемого. Если минимальное значение функции меньше указанного, то не учитывается пока не указан ключ --rigid. --alt-autoscale определяет интервал по оси Y на основе минимального и максимального значения функции не округляя до одного из предопределенных интервалов. --alt-autoscale-max не округляет только максимальное значение до одного из предопределенных интервалов.

--base определяет, что понимается под кило - 1000 или 1024 (для трафика должно быть 1000).

--color позволяет переопределить цвета элементов оформления: BACK (фон), CANVAS, SHADEA (верхняя и левая границы), SHADEB (нижняя и правая границы), GRID (мелкая сетка), MGRID (крупная сетка), FONT, AXIS (оси), FRAME (рамка), ARROW (стрелки вверх и вправо). Ключ может быть использован несколько раз.

--font позволяет переопределить для PNG шрифт и размер шрифта элементов оформления: DEFAULT, TITLE, AXIS, UNIT, LEGEND. Отслеживается также переменная окружения RRD_DEFAULT_FONT. --font-render-mode позволяет задать режим сглаживания: normal, light, mono. --font-smoothing-threshold определяет минимальный размер шрифта, который ещё будет сглаживаться (по умолчанию - 0).

--slope-mode сглаживает график.

--lazy отменяет генерацию графика, если файл существует и не устарел.

Определение переменной (может использоваться в дальнейшем; имя переменной может состоять из букв, цифр, тире и подчёркивания; не длинее 255 символов) имеет следующий вид:

DEF:имя-переменной=filename.rrd:имя-DS:функция-консолидации[:step=шаг][:start=время][:end=время][:reduce=функция-консолидации]
CDEF:имя-переменной=выражение-в-обратной-польской-записи (виртуальный DS)
VDEF:имя-переменной=выражение-в-обратной-польской-записи (вычисление значения, можно использовать только агрегирующие функции; вместе со значением может вычисляться момент времени)

Выбор RRA происходит автоматически исходя из функции консолидации и необходимого разрешения (в идеальном случае один отсчет на один пиксел; например, если разрешение RRA - 300 секунд, то для графика шириной 400 пикселов необходимо выбрать интервал 300*400 секунд, т.е. указать "--start end-2000minutes"). Если разрешение RRA выше, чем требуется, то производится дальнейшая консолидация с помощью указанной функции ( а если - ниже?).

Элементы обратной польской записи (числа, имена ранее определенных переменных и коды операций) перечисляются через запятую. Истина - 1, ложь - 0. Сравнение с неопределённым или бесконечным значением всегда даёт 0. Логарифмы натуральные. Углы в радианах. Допустимы операции: +, -, *, /, %, SIN, COS, LOG, EXP, SQRT, ATAN, ATAN2 (первым извлекается x, затем y), DEG2RAD, RAD2DEG, FLOOR, CEIL, LT, LE, GT, GE, EQ, IF (извлекает 3 элемента из стека; если последнее извлеченное значение не 0, т.е. истина, то в стек кладется второе извлеченное значение, иначе - первое), MIN, MAX, LIMIT (первые 2 значения из стека определяют границы, если третье значение лежит внутри этих границ, то оно кладется в стек, иначе в стек кладется неопределенное значение), DUP (дублирует верхний элемент стека), EXC (меняет 2 верхних элемента местами), POP (удаляет верхний элемент из стека), UN (если верхний элемент стека является неопределенным значением, то он заменяется на 1, иначе - на 0), UNKN (в стек кладется неопределенное значение), INF (бесконечность в стек), NEGINF (отрицательная бесконечность), ISINF (если верхний элемент стека является бесконечным значением, то он заменяется на 1, иначе - на 0), SORT (первый извлечённый элемент определяет число элементов для сортировки), REV (обратить последовательность, первый извлечённый элемент определяет число элементов), TREND (усреднение, первый извлечённый элемент определяет интервал времени), PREV (если это первый отсчет, то неопределенное значение в стек, иначе значение данного DS, вычисленное на предыдущем шаге), PREV(имя-переменной) (если это первый отсчет, то неопределенное значение в стек, иначе значение данной переменной VDEF, вычисленное на предыдущем шаге), COUNT (поместить в стек индекс текущего значения в DS), NOW (текущее время), TIME (время отсчета), LTIME (TIME с добавлением смещения временой зоны и учетом летнего времени). Агрегирующие операции для VDEF: MAXIMUM, MINIMUM, AVERAGE, LAST, FIRST, TOTAL (сумма значений, умноженных на интервал отсчёта; например, можно получить общий траффик по БД скоростей), PERCENT (первый параметр - число процентов; второй - имя DS или CDEF; значения последовательности сортируются; возвращается такое число, что заданный процент значений не превышает его), параметры корреляции (LSLSLOPE, LSLINT, LSLCORREL).

Примеры обратной польской записи:

idat1,UN,0,idat1,IF (замена неопределенного значения на 0)

Определение вида графика:

PRINT:имя-переменной-VDEF:формат (печать текстовой строки по указанному формату на stdout)
GPRINT:имя-переменной-VDEF:формат (аналогично PRINT, но результат печатается в графике под легендой)
COMMENT:текст (печать текста в график)
HRULE:значение#rrggbbaa[:легенда] (устарело; горизонтальная линия на указанной высоте с комментарием)
VRULE:время#rrggbbaa[:легенда] (вертикальная линия с комментарием; время задаётся явно или именем VDEF-переменной)
LINE[ширина]:имя-переменной[#rrggbbaa[:легенда[:STACK]]] (бесцветная линия полезна в сочетании со STACK (поднятие над предыдущей линией или областью); ширина задаётся вещественным числом)
AREA:имя-переменной[#rrggbbaa[:легенда[:STACK]]] (заливка области)
STACK:имя-переменной[#rrggbbaa[:легенда]] (устарело; линия или область, поднятая над предыдущей LINE, AREA или STACK)
TICK:имя-переменной#rrggbbaa[:доля-от-оси-Y[:легенда]] (вертикальные засечки на месте каждого определённого и ненулевого значения переменной)
SHIFT:имя-переменной:смещение (график указанной переменной будет строиться со сдвигом времени назад; смещение задаётся числом или именем переменной)

Символы ':' в тексте и легендах необходимо защищать обратной косой чертой. Управление форматированием текста:

l - выравнивание влево
- выравнивание вправо
c - выравнивание в центр
j - justify
g - подавить вывод завершающих строку пробелов
s - переход на следующую строку (только для COMMENT)

Формат:

любой символ, кроме '%', печатается как есть
%% - символ '%'
%#.#le - экспоненциальный формат
%#.#lf - вещественное число с точкой
%s - сокращённое наименование использованных единиц СИ (k, M и т.д.)
%a, %A - сокращённое или полное имя дня недели
%b, %B - сокращённое или полное имя месяца
%d, %m, %y, %H, %M, %S - день, месяц, год, часы, минуты, секунды в виде 2 цифр
%Y - год в виде 4 цифр
%j - номер дня недели (0-6)
%w - день года (1-366)
%c - дата и время
%x - дата
%X - время
%U - номер недели (первая неделя года по первому воскресенью)
%W - номер недели (первая неделя года по первому понедельнику)
%Z - часовой пояс

Пример наложения графиков текущей и предыдущей недели:

...
--end now --start end-1w 
DEF:thisweek=router.rrd:ds0:AVERAGE 
DEF:lastweek=router.rrd:ds0:AVERAGE:end=now-1w:start=end-1w 
...

Обмен данными

Данные в БД хранятся в двоичном формате, поэтому файлы .rrd нельзя копировать между компьютерами различной архитектуры. Для обмена (и ручного внесения изменений) используются утилиты rrdtool dump и rrdtool restore.

Вывод в файл в формате XML: rrdtool dump filename.rrd > filename.xml

Чтение из файла в формате XML (возможна проверка минимальных и максимальных значений): rrdtool restore filename.xml filename.rrd [--range-check] [--force-overwrite]

at-формат указания времени

Состоит из двух частей:

опорное время (по умолчанию - now) состоит из
1. времени дня (HH:MM, HH.MM, HH, midnight, noon)
2. дня (имя-месяца день-месяца [год], yesterday, today, tomorrow, MM/DD/[YY]YY, DD.MM.[YY]YY, YYYYMMDD)
В качестве исключения можно использовать формат: 19970703 12:45
смещение относительно опорного времени (в одно смещение можно конкатенировать несколько единиц - 1h30m; можно использовать несколько смещений - -6h+15min)
1. знак (+ или -)
2. число
3. единица измерения (years, months, weeks, days, hours, minutes, seconds); можно сокращать вплоть до одной буквы; чтобы понять, что означает буква m - минуты или месяца программе приходится читать мысли ;)

Пробелы (и заменяющие их подчеркивания или запятые) вставляются по вкусу (закавычивать для shell не забывайте!).

В качестве опорного времени для начала можно использовать слово end, а опорного времени для конца интервала можно использовать слово start (цикл ссылок устраивать не надо!).

Результат может вас удивить (May 31 -1month есть 1 мая!), особенно в момент перехода на летнее время и обратно.

Сбор информации с удаленных хостов с помощью SSH

SSH довольно медленно инициализирует сеанс, поэтому сбор информации с удалённых хостов необходимо пакетировать:

настроить выполнение пакетной команды ssh без задания пароля
1. на хранящем базу хосте создать специальный ключ для работы rrdtool
  ssh-keygen -t dsa -b 2048 -N "" -f ~/.ssh/rrdtool
2. на остальных хостах добавить его в ~/.ssh/authorized_keys с командой ~/rrdtool/gather_answer.sh
на хранящем базу хосте в crontab внести выполнение каждые 5 минут ~/rrdtool/gather_query.sh
gather_query.sh: обращается по ssh ко всем хостам и складывает результат в ~/rrdtool/имя-хоста.data
gather_answer.sh: собирает необходимую информацию в зависимости от имени локального хоста и выводит её на stdout

Источник: http://bog.pp.ru/work/rrdtool.html

Установка LightSquid (перевод офиц. руководства)

Обновлено: 30.06.2025

Теги: Lightsquid Настройка прокси

Необходимое программное обеспечение:

Perl
http сервер (Apache, lighthttpd, и др.)
Squid
Cron

или их аналоги.

В нашем случае рассматривается пример с сервером Apache

1. Распакуйте lightsquid.tgz в любую директорию

cd /var/www/htdocs/
mkdir lightsquid
cd lightsquid
tar -xzf lightsquid.tgz

Делаем скрипты исполняемыми

chmod +x *.cgi
chmod +x *.pl

Меняем владельца

chown -R apache:apache *

(где apache = пользователь, от имени которого запускается веб-сервер)

2. Вносим изменения в файл конфигурации Apache

.cgi файлы должны исполняться как CGI скрипты

<Directory "/var/www/html/lightsquid">
   AddHandler cgi-script .cgi
   AllowOverride All
</Directory>

Перезапускаем Apache

3. Редактируем lightsquid.cfg

4. При желании получить отчет по группам - редактируем group.cfg

Формат:

esl	01	SysAdmin
karlos	01	SysAdmin
thy	01	SysAdmin
Ivanov	02	Developer
Ivanov2	02	Developer
Petrov	03	Commerial
Petrova	03	Commerial
vasyav	04	room 312
petyava	04	room 312

5. Если вы хотите отображать в отчете настоящее мия пользователя - отредактируйте realname.cfg

Формат:

esl	Sergey Erokhin
karlos	Super User1
thy	Tech Good
Ivanov	Developer numer one
Ivanov2	Developer numbe two
Petrov	Good Commerial
Petrova	Bad Commerial
vasyav	Some User1
petyava	Some User2

6. Если вам нужен графический отчет

См. графический отчет

7. Запустите check-setup.pl

Если все в порядке, переходите к следующему шагу
иначе проверьте конфигурационные файлы.

8. Попробуйте запустить lightparser.pl

Если все прошло успешно, никаких сообщений не будет

Сбор старой статистики
./lightparser.pl access.log.1.{gz|bz2}
./lightparser.pl access.log.2.{gz|bz2}
./lightparser.pl access.log.3.{gz|bz2}
...

9. Проверьте работу lightsquid

Используя ваш броузер, откройте страницу http://<адрес_хоста_с_Apache>/lightsquid/

10. Настройте crontab на выполнение lightparser каждый час

crontab -e
Следующий пример запускает импорт лог-файлов каждые 20 минут

*/20 * * * * /var/www/htdocs/lightsquid/lightparser.pl today

Если лог-файл не большой и омпьютер довольно шустрый, можете уменьшить интервал импорта логов
Внимание! Не устанавливайте интервал менее 10 мин

11. Вот и все!

12. В случае возникновения проблем, определите переменную $debug в файле lightsquid.cfg и перезапустите lightparser.

LightSquid: Анализ трафика прокси-сервера Squid

Обновлено: 30.06.2025

Теги: Lightsquid Настройка прокси Squid

Для доступа в интернет многие организации используют прокси сервер Squid. В этих случаях практически всегда squid установлен в операционной системе Linux (FreeBSD). И в большинстве случаев необходимо, хотя бы для примерного контроля ситуации, знать, кто, куда и сколько J. Многие системы учета трафика не совсем просты в установке, некоторые являются платными. Описываемая утилита для сбора и анализа трафика прокси-сервера Squid проста в установке, настройке и использовании. Это LightSquid.

LightSquid

Дом. страница: http://lightsquid.sourceforge.net/

Для установки требуются: Perl, http server (Apache, lighthttpd, etc), Squid, Cron.

Perl установлен в большинстве систем и так (значит, скорее всего, ставить вам его не придется).

Squid уже установлен (а как же иначе, что анализировать-то собираемся?!)

Cron тоже есть в любой unix-like системе.

Итак, необходим только http-сервер, наиболее популярным из которых, является Apache.

Apache

Дом. страница: http://httpd.apache.org/

Установка Apache проста и не затейлива.

Загрузка:
$ lynx http://httpd.apache.org/download.cgi

Распаковка:
$ gzip -d httpd-NN.tar.gz
$ tar xvf httpd-NN.tar
$ cd httpd-NN

Подготовка конфигурации:
$ ./configure --prefix=PREFIX

И, наконец, волшебные
$ make
$ make install

Далее редактируем основной файл конфигурации. Лежит он, например, в папке /usr/local/apache/conf/:
$ ee /usr/local/apache/conf/httpd.conf

либо, в более общем случае:
$ ee PREFIX/conf/httpd.conf

Тестируем то, что установили:
$ PREFIX/bin/apachectl -k start

Этот документ не является руководством по установке Apache, поэтому лучше всего сразу обратиться к офиц. руководству: http://httpd.apache.org/docs/2.2/install.html

Итак, с Apache все ясно более или менее. Теперь сама наша цель – LightSquid.

Установка LightSquid

Офиц. страница руководства: http://lightsquid.sourceforge.net/Installs.html

Распаковка дистрибутива. Предполагается, что папка /var/www/htdocs/ - это корень вашего сайта (см. настройки Apache: httpd.conf)	cd /var/www/html/ mkdir lightsquid cd lightsquid tar -xzf lightsquid.tgz
Делаем исполняемыми сценарии языка perl в директории с распакованным дистрибутивом.	chmod +x .cgi chmod +x .pl
Меняем владельца файлов на то имя, от имени которого запускается Apache. Опять смотри httpd.conf.	chown -R apache:apache *
Теперь нам надо добавить в файл конфигурации веб сервера Apache эти строки. Разрешаем выполнять скрипты на нашем локальном сайте http://127.0.0.1/ lightsquid/	AddHandler cgi-script .cgi AllowOverride All
Рестартуем Apache для учета наших изменений	$ /usr/local/apache/bin/apachectl -k stop $ /usr/local/apache/bin/apachectl -k start
Проверяем доступность сайта (либо локально, либо с другого компьютера). При этом желательно, чтобы к этому сайту, а еще лучше, вообще к этому веб-серверу, доступ был открыт только для администратора. Даже для начальства доступ лучше закрыть. Сами понимаете J	Открываем страницу: http://local_ip_address/ lightsquid и убеждаемся, что система напишет о необходимости импорта лог-файлов. В противном случае ищем проблему в настройках Apache.
Редактируем lightsquid.cfg (лежит в папке /var/www/html/lightsquid в нашем примере). Также можно отредактировать файлы group.cfg и realname.cfg в соответствии с примером на странице офиц. руководства, но это уже не обязательно.	Минимально надо уточнить пути до лог файлов веб-сервера Squid. $logpath="/var/log/squid"; Естественно, это должно соответствовать настройкам хранения лог-файлов вашей системы.
Все. По минимуму, вы уже готовы к тестированию системы учета трафика. Можете смотреть в вашем броузере, кто сколько скачал. Смотрите, не попадитесь сами ;)	$ cd /var/www/html/lightsquid $ ./lightparser.pl access.log.1

Примечание: если что-то не срастается, необходимо помнить, что все настройки хранятся в паре текстовых файлов. Первый: httpd.conf (Apache). Второй - lightsquid.cfg (LightSquid). Все. С вопросами пишите на info@bozza.ru либо оставляйте вопросы на сайте. Постараюсь ответить по мере сил.

На основании комментария от 03.08.2010 (Arata) напомню, что формат запуска Lightsquid такой:

$ ./lightparser.pl [параметр]

где [параметр] м.б. пустым либо явно указывающим на файл с логом.

Тестирование Firewall

Обновлено: 30.06.2025

Теги: Windows

Методика тестов

Тестирование производилось на экспериментальном ПК под управлением лицензионной Windows XP с установленным SP1 (тестирования проводились в идеализированных условиях - "операционная система + Firewall" для исключения влияния других программ на чистоту эксперимента). В качестве индикатора успешного доступа к сервисам использовалась утилита APS. В качестве средств внешнего воздействия применялись:

сканер XSpider 6.5 и 7.0
Retina Network Security Scanner 4.9
NMAP
несколько сканеров моей разработки.

Кроме того, применялся сниффер CommView 4.1 (в качестве средства наблюдения за сетевым трафиком и в качестве утилиты для генерации и отправки пакетов с различными нарушениями в структуре). Применялись т.н. флудеры (flooder) распространенных типов, утилиты для имитации троянских программ.

На испытательном ПК в качестве средств доступа к сети и Интернет применялся IE 6, Outlook Express 6, TheBat 1.60, MSN Messanger 6.1. Кроме них в тесте участвовали имитаторы троянских программ и реальные троянские / Backdoor программы из моей коллекции (в частности Backdoor.Antilam, Backdoor.AutoSpy, Backdoor.Death, Backdoor.SubSeven, Backdoor.Netbus, Backdoor.BO2K), сетевые / почтовые вирусы (I-Worm.Badtrans, I-Worm.NetSky, I-Worm.Sircam, I-Worm.Mydoom, I-Worm.MSBlast), загрузчики троянских программ TrojanDownloader (в частности TrojanDownloader.IstBar) и шпионские SpyWare компоненты. Главной задачей тестов была попытка взглянуть на Firewall глазами пользователя, отметить его сильные и слабые с моей точки зрения стороны.

Kerio Technologies WinRoute Pro v4.2.5

Инсталляция и деинсталляция:
Проходит без проблем.
Установка с настройками "по умолчанию", без правил - действует только NAT. Работа в сети - без проблем, результаты сканирования - APS не показывает состояние тревоги, сканер считает, что все порты закрыты. Сам Winroute не выдает сигналов тревоги и никак визуально не идентифицирует факт сканирования.

Достоинства:

Функционирует сразу после установки, дыры отсутствуют даже без настроек;
NAT трансляция сразу дает существенную защиту от сканирования портов и удаленных атак;
Хорошо построено протоколирование

Недостатки и особенности:

Пароль администратора должен быть задан сразу после установки, иначе возможно удаленное отключение Firewall или его перенастройка;
Процессы видны в памяти под характерными именами и их уничтожение приводит к отключению защиты - APS поднял тревогу в момент уничтожения процессов;

Общая оценка:
Winroute - это серьезный продукт, гибрид Firewall, прокси сервера, NAT транслятора, простого почтаря …, он требует настройки и понимания принципов работы сети.

Outpost Firewall Pro 2.5.369.4608 (369)

Дополнение: Агнитум куплен Яндексом

Дополнение: компания Агнитум приобретена Яндексом в 2016 году за 200 млн рублей с целью использования их разработок в Яндекс.Браузере, так что сейчас такого отдельного продукта уже нет.

Инсталляция и деинсталляция:
Установка под XP SP 2 проходит без проблем, после установки требует перезагрузку, при запуске включается режим обучения. Инсталлятор предлагает на выбор автонастройку Firewall или ручную настройку. Новшества этой версии описаны на сайте разработчиков http://www.agnitum.com/products/outpost/history.html

Достоинства:

Есть режим "невидимость", и он включен по умолчанию;
Экспериментально проверена стабильная работа этого Firewall под SP1 и SP2;
Есть автопоиск подсетей - по крайней мере уверенно находится "домашняя" подсеть
Настройки объединяются в конфигурации, которые можно сохранять на диске - таким образом можно сделать несколько разных конфигураций и загружать их по мере необходимости
Русифицированный интерфейс, ориентированный на пользователя. Интерфейс достаточно хорошо продуман, все понятно с первого взгляда;
Встроенный детектор атак. Обнаруживает простые атаки типа сканирования портов, тесты IDS это подтвердили - по крайне мере, сканирование портов он ловит отлично;
Показывает список приложений, прослушивающих порты TCP и UDP (с указанием списка портов по каждому приложению и информации о моменте начала прослушивания - полезно для отлова троянских программ и шпионского ПО);
Режим обучения удобен для обнаружения троянских программ и визуальной настройки правил - он реализован типовым образом и основан на запросе допустимости операции, производимой приложением. Кроме того, в описании заявлено, что есть защита от внедрения постороннего кода в доверенный процесс;
В правилах можно указывать не только имя программы, но и ее параметры - это в ряде случаев полезно;
В комплекте содержит ряд плагинов (IDS, средства борьбы с рекламой и т.п.)
При удалении процесса outpost.exe происходит блокировка обмена с сетью - это полезная возможность
Есть опция слежения за библиотеками процесса - к примеру, при появлении нового BHO в IE выводится сообщение о том, что у процесса IE изменился состав используемых им библиотек;
Продуманный просмотрщик протоколов (работает в реальном времени, данные лдостаточно логично сгруппированы
Есть особые настройки для RAW Socket - можно указать, каким приложениям можно их использовать

Недостатки и особенности:

Firewall виден в списке задач и не препятствует своему удалению (но при удалении процесса происходит блокирование обмена с сетью - поэтому это не недостаток);
Большое потребление ресурсов - 33 МБ ОЗУ + 31 МБ вирт. памяти, что конечно многовато, хотя на ПК с 1 ГБ ОЗУ это не особо ощущуется;
Комплекстный тест IDS показал, что она отлично ловит сканирование портов, но остальньные атаки практически не детектирует. Например, явный SYN FLOOD был успешно заблокирован правилами, но IDS по этому поводу ничего не сказал (хотя флудил я со скоростью 2-3 тысячи пакетов/сек)

Общая оценка:
Как и предыдущая версия 2.1, по сочетанию возможностей и удобства работы (да еще и с поправкой на русскоязычный интерфейс) на мой взгляд один из лучших продуктов на момент тестирования.

ZoneLabs ZoneAlarm Pro with Web Filtering 4.5.594.000 - Personal Firewall

Инсталляция и деинсталляция:
В ходе установки подвесил XP в ходе попытки запуститься после инсталляции. После перезагрузки все заработало нормально.

Достоинства:

По умолчанию у него практически ничего не разрешено (в отличие от Outpost)

Недостатки и особенности:

Несколько запутанный на мой взгляд интерфейс
Firewall виден в списке задач и не препятствует своему удалению - после удаления защита отключается (APS тут же фиксирует тревогу)

Общая оценка:
Персональный Firewall среднего класса, вполне соответствующий современным требованиям. Несколько запутанный англоязычный интерфейс является его минусом

AtGuard 3.22>

Инсталляция и деинсталляция:
Инталляция и деинсталляция особых проблем не вызывает

Достоинства:

Небольшой по размеру Firewall, имеет интересное решение с точки зрения интерфейса - он выполнен в виде панели, размещаемой вверху экрана

Недостатки и особенности:

В режиме обучения уязвим - с момента вывода запроса на создание правила до его создания пропускает пакеты в обоих направлениях
Интерфейс немного поглючивает при перерисовке окон

Общая оценка:
Простой Firewall, однако вполне функциональный

Kerio Personal Firewall 4

Инсталляция и деинсталляция:
Установка проходит без проблем, удаление "чистое" - проблем после деинсталляции не замечено.

Достоинства:

Антитроянские механизмы - может обнаруживать и блокировать запуск одной программы из другой (можно настроить правила), запуск новой программы. В настройках три градации (разрешить, запретить, спросить);
Показывает, какие из запущенных приложений прослушивают порты
Имеет механизмы обучение;
Может настраиваться вручную;
Имеет IDS, которая определяет типовые атаки, в частности сканирование портов;
Может блокировать подозрительные куки (cookies)

Недостатки и особенности:

Разрешения по умолчанию позволяют работать по 135 порту
Есть ряд мелких багов, например при задании опции Alert в настройках фильтра пакетов в условиях атаки с Firewall работать невозможно - выскакивающее окно с сообщением об атаке забирает на себя фокус ввода
В условиях большой нагрузки периодически подтормаживает (это совершенно не критично для работы по модему)
Firewall виден в списке задач и не препятствует своему удалению - после удаления защита отключается (APS тут же фиксирует тревогу)

Общая оценка:
Хороший Firewall, я бы поставил его на одну ступень с Outpost.

Norton Internet Security 2004 (NIS)

Инсталляция и деинсталляция: Установка не вызывает проблем, но из всех проанализированных инсталлятор самый тяжеловесный.

Достоинства:

Интегрированное решение (Антивирус + Firewall + IDS + блокиратор рекламы)
Система обновления через Интернет;
В настройках IDS есть опция блокирования компьютера всех пакетов с хоста, проводящего атаку на заданное время (по умолчанию на 30 минут);
Содержит дополнительные надстройки, в частности, антиспам - систему, встраивающуюся в Outlook Express;
При уничтожении процессов NIS продолжал блокировать доступ с атакующих хостов (большинство остальных при удалении процесса прекращали защищать ПК)

Недостатки и особенности:

Самое "тяжеловесное" из исследованных решение - в памяти находится несколько процессов, потребляющих значительные ресурсы (хотя на ПК с 512 МБ ОЗУ эта тяжеловесность не ощущается)
У меня в ходе тестов отмечался некий "глюк" с закладкой, отображающей статистику и протоколы системы - вместо статистики выдывались ошибки NIS с сообщением о невозможности вызнать некую DLL;
IDS легко можно обмануть и заблокировать работу с "полезными" ПК. Это не минус конкретно NIS, это проблема всех подобных систем;
Слишком тесная итеграция с системой - это по сути его плюс, но лично мне не нравятся программы, которые внедряются и прописываются по максимуму во все возможные места системы;

Общая оценка:

Internet Connection Firewall, ICF - встроенный брандмауэр Windows XP

Инсталляция и деинсталляция: Установка не требуется, является штатным средством XP. Включение производится в настройках сетевого адаптера. По умолчанию ICF работает в режиме максимальной безопасности и (это результат моего наблюдения) принцип его работы таков - запросы приложений выпускаются наружу, а снаружи принимаются только пакеты, пришедшие в ответ на мои запросы (соответствие запрос-ответ явно ведется в виде динамической таблицы). Таким образом, при сканировании портов на компьютере с включенным ICF нет ни одного открытого порта (это логично - пакеты сканера портов не будут пропущены, т.к. их никто не запрашивал). Аналогично дело обстоит с различного рода "нюками", основанными на отправке нестандартных пакетов.

Достоинства:

Встроенное средство в XP - не требует установки и практически не требует настройки;
Обеспечивает надежную защиту от внешнего вторжения даже при отсутствии настроек - ПК не отвечает на пинги, сканирование портов показывает, что все порты недоступны;
Не виден как процесс (и, как следствие, не может быть остановлен вирусом или трояном);
Возможен прием входящих пакетов с возможностью их переадресации на другой ПК и порт - маппингом (здесь можно провести аналогию с NAT - пакет с входящим запросом отправляется в соответвии со статической таблицей правил, заданной в настройке в нашем случае эта настройка задается на закладке)
Блокирует работу троянских и Backdoor программ, которые прослушивают некий порт и ожидают подключение по нему хакера - по умолчанию все запросы на входящие подключения блокируются

Недостатки и особенности:

Полное отсутствие визуализации происходящих процессов. Единственным способом контроля за работой ICF является текстовый протокол, который пишется в указанный файл на диске (протоколирование по умолчанию отключено и его рекомендуется включить). Отсутствие визуального оповещения и просмотра информации в реальном времени на мой взляд является самым большим недостатком;
Достаточно скудные возможности - нет возможности обучения и настройки правил для отдельных приложений, настройки правил для разрешения/запрета работы с определенными хостами по определенным портам. В небольшой степени этот минус скрашивается наличием фильтра пакетов в настройках протокола TCP/IP ;
ICF хорош для защиты домашнего ПК при доступе в Интернет, использовать его в ЛВС сложнее.
ICF прекрасно обходится троянскими программам, которые вместо прослушивания порта организуют отправку данных по email или устанавливают соединение с удаленным сервером по своей инициативе - ICF пропустит исходящий запрос и позволит пройти ответу. В этом плане ICF существенно проигрывает другим персональным Firewall, которые информирут пользователя о попытках приложений обмениваться с сетью

Общая оценка:
Отличное средство для защиты ПК в Интернет начального уровня. Я бы назвал вещи своими именами, т.е. ICF по сути не Firewall, а NAT. Уровень защиты от сканирования и атаки извне при использовании настроек по умолчанию на очень высоком уровне - все мои сканеры показали отсутствие ответов от ПК и отсутствие открытых портов. Если дополнить это тем фактом, что ICF не нужно инсталлировать и он практически не потребляет ресурсов, то это выдвигает его в разряд лидеров

Internet Connection Firewall, ICF - встроенный брандмауэр Windows XP SP2

Инсталляция и деинсталляция: Установка не требуется, является штатным средством XP (входит в пакет обновлений SP2 для XP). Включение производится в настройках сетевого адаптера. Следует заметить, что при установке SP2 или при установке XP с интегрированным SP2 кроме Firewall в системе появляется центр обеспечения безопасности, который может показывать настройки ICF

Достоинства:

Все достоинства, присущие его предыдущей версии;
Появилась возможность индивидуальной настройки для приложений (приложению можно прописать, по каким портам и с какими ПК можно работать). Правила для приложений можно включать и выключать. Еще одним полезным моментом является запрет индивидуальных исключений-настроек одним чекбоксом в основном окне, что позволяет быстро перейти в режим максимальной безопасности;
При нарушении правил выводится окно с предупреждением и возможностью запретить или разрешить активность приложения;

Недостатки и особенности:

По моему мнению сырой драйвер, на котором основан Firewall. Во время тестов я не менее 5 раз наблюдал "синий экран смерти", после таких повисаний Firewall самопроизвольно отключался (после перезагрузки его приходилось включать вручную). Это опасно, т.к. после такой аварийной загрузки ПК не защищен. Кроме того, я наблюдал полное зависание из-за конфликта с драйвером TDI от утилиты TDIMon, в момент старта APS (т.е. Firewall не справился с попытком массового открытия множества портов). Замечу, что такие ошибки носят разовый характер, т.е. при моделировании ситуации, приведшей к повисанию мне не удавалось его повторить. Однако, тем не менее факт есть факт - виснет он часто;
По умолчанию в исключениях разрешен доступ по портам 135,137,138,445 для подсети класса C компьютера (т.е. при выходе в Интернет можно заполучить вирус от соседей). Вывод - это исключение нужно запретить или настроить;
Выводимое окно сообщения (см. рисунок) крайне неинформативно - нет информации о имени exe файла, его местоположении; нет данных о том, по какому порту и к какому хосту идет попытка обращения (или какие порты программа пытается прослушивать ... вместо этого потрясающее сообщение "... брандмауер заблокировал некоторые возможности программы". Узнать подробности невозможно (хотя кнопочка "Подробнее" прямо напрашивается);
При разрешении активности программы в окне запроса (кнопка "Разблокировать") программе разрешается прослушивание любого порта и обмен с любым ПК в Интернет по любому порту ... Что, по моему мнению, избыточно и опасно.

Общая оценка:
Оценка аналогична оценке предыдущей версии - хорошая встроенная защита в Интернет начального уровня. В новой версии интерфейс стал немного лучше, появились новые возможности ... но по сравнению с другими Firewall он конечно никакой критики не выдерживает. По субъективной оценке стабильность у новой версии хуже.

Sygate Personal Firewall Pro 5.5 build 2525

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Достоинства и особенности:

В окне информации о сетевом событии (в режиме обучения) выводится детальная информация о программе (версия, описание, полный путь, ID процесса, параметры подключения (адреса и порты), данные о пакете (MAC адреса, заголовок и фрагмент пакета). Это очень полезно в режиме обучении Firewall;
Можно создавать правила фильтрации по MAC адресу;
Правила могут действовать по расписанию;
Встроенная IDS. Тесты показали, что уверенно опознаются атаки типа сканирования портов, "пинг смерти", разные виды флуда порта. IDS может блокировать атакующего (блокировка ведется на 10 минут);
Имеется система оповещения по email;
Достаточно удобный просмотрщик протоколов;
Процесс имеет защиту от завершения (стандартными средствами остановить его невозможно);
Есть режим полного блокирования трафика на время работы экранной заставки
Есть режим полного захвата пакетов (по сути получается аналог сниффера, полезно для анализа пакетов)

Недостатки:

Существенных недостатков не замечено

Общая оценка:
Хороший Firewall в плане функциональности, стоит обратить внимание на то, что он может использовать правила фильтрации трафика по MAC адресам, производить захват пакетов для их последующего анализа, содержит хорошо работающую IDS

ISS BlackIce 3.6.cci

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем, но в ходе инсталляции возникает ошибка в библиотеке ikernel. Эта-же ошибка возникла и при деинсталляции. Возникнование данной ошибки не влияет на процесс установки и удаления программы. Инсталлятор не потребовал перезагрузку системы, что для Firewall необычно

Достоинства и особенности:

После инсталляции не требуется перезагрузка
Содержит систему "AP" - некий "Firewall для процессов" - позволяет отслеживать появления новых программ и блокировать их запуск в возможностью обучения. Это полезно для борьбы с червями и троянскими программами.
Может проводить захват пакетов для их последующего анализа
Опознает типовые атаки - сканирование портов, SYN флуд
В информации по атакующему показывает его MAC и данные Netbios

Недостатки и особенности:

Может быть удален как процесс, защита при этом пропадает
Содержит достаточно строгий интерфейс, которому на мой взгляд не хватает информативности (это не недостаток, а констатация факта)

Общая оценка:
Достаточно функциональный Firewall, ничем существенным не выделяется

Visnetic Firewall 2.2

Достоинства и особенности:

Содержит функцию блокирования сетевого трафика при условии, что Firewall еще не запущен или его процесс принудительно завершен;
Правила фильтрации трафика могут строиться на основе MAC адреса;
Содержит детектор сканирования портов, в котором есть настройка, позволяющая автоматически блокировать атакующий хост;
Имеется функция захвата пакетов;
Содержит функцию оповещения по email;
Содержит функцию экспорта правил в текстовом виде (для распечатки, анализа)
Поддерживает удаленное администрирование - по умолчанию порт 8519

Недостатки:

Не привязывает сетевую активность к процессам. Т.е. является Firewall в чистом виде. Однако подавляющее большинство персональных Firewall обладают такой функцией
Процесс модет быть удален и на короткое время до его автоматического восстановления компьютер уязвим (опция блокирования трафика при отсутствии Firewall сводит этот недостаток к нулю)
В меню, вызываемом по правой кнопке мыши над иконкой в SysTray есть переключение режима работы - пропускать все пакеты, фильтр, блокировать все пакеты. Опцию отключения фильтрации трафика лично я бы вообще не вводил

Общая оценка:
Хороший Firewall, достаточно функциональный. Но не хватает возможности привязки сетевой активности к породившим ее процессам - эта возможность очень полезна для персонального Firewall.

Look n stop personal firewall 2.05

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка. Для работы устанавливает свой драйвер.

Достоинства и особенности:

Правила могу строится с учетом MAC адреса, есть возможность привязки правила к процессу
Виден как процесс, но удаление этого процесса не приводит к выключению защиты

Недостатки:

В окне запроса (в режиме обучения) абсолютный минимум информации о программе и вообще нет информации собственно о факте сетевой активности. Это серьезный минус, т.к. по сообщению "Программа желает соединиться с Интернет" принимать решения о разрешении/блокировании действия сложно
Очень большое потребление ресурсов во время отражения атаки - на слабом ПК во время атаки вполне возможна ситуация DoS. Процессор Pentium 4 c с тактовой частотой 3 ГГц загружался на время атаки на 60-75% (в тестах других Firewall нагрузка была несущественна - менее 5%)
Протокол непрерывно обновляется на каждое событие - во время флуда портов или сканирования портов работать с ним невозможно
Работа бортовой IDS никак положительно себя не проявила, явные атаки она не детектировала

Общая оценка:
Простой Firewall, на уровне других проигрывает по интерфейсу и функциональности, сильно нагружает процессор в моменты атаки.

Kaspersky AntiHacker 1.5

Достоинства и особенности:

Хорошо действующая бортовая IDS. Уверенно распознаются типовые атаки, атакующий хост блокируется на заданное время. Особенностью IDS является возможность просмотра обнаруживаемых типов атак (с кратким пояснением, в чем состоит тот или иной тип атаки) и настройки параметров (что очень полезно и важно, причем для каждой разновидности атаки есть специфичные для нее параметры);
Информативное окно системы обучения. В режиме обучения есть возможность однократной блокировки запрошенного действия;
Есть режим невидимости (который включается независимо от других настроек) и регулировка уровня безопасности
Есть возможность просмотра прослушиваемых портов и установленных соединений с привязкой к процессу;
Содержит встроенный набор типовых правил (которые могут быть удалены или отредактированы)
Процесс AntiHacker-а виден в списке процессов, но имеет защиту от удаления
Малое потребление ресурсов во время работы и в моменты отражения атаки

Недостатки:

Нет возможности построения правил фильтрации трафика по MAC адресу
Во время настроки один раз имело место полное повисание системы ("экран смерти")
Во время обучения удалось пробить защиту по нескольким портам (это, как показали тесты, типовая проблема многих Firewall) - это произошло в момент создания правила. После настройки правил пробить Firewall не удалось
Блокировка и разблокировка атакующих проходит автоматически с занесением отметки в протокол, но я не нашел возможности просмотра списка заблокированных хостов с возможностью ручной разблокировки и настройки исключений

Общая оценка:
Хороший Firewall, содержит отличную IDS. Предоставляет типовые для современного Firewall функции.
Получить подробное описание Kaspersky AntiHacker 1.5 и приобрести его можно в магазине OZON Kaspersky Anti-Hacker

Tiny Personal Firewall Pro 6.0

Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Достоинства:

Хороший инсталлятор - позволяет выбрать компоненты (можно отказаться от установки ненужного компонента);
Информативное окно системы обучения. В режиме обучения есть возможность однократной блокировки запрошенного действия, создания правил;
Есть достаточно мощный "Firewall системных операций" - т.е. кроме функций Firewall еще есть возможность отслеживать и блокировать нежелательную активность приложений (по отношению к реестру, файлам, запуску приложений, установке сервисов) ... - все это настраивается. Для приложений ведется контроль цифровой подписи в формате MD5 (т.е. привязка идет не к имени программы, а еще и к ее MD5 хешу - это позволит поймать заражение программы вирусом или подмену программы). В режиме обучения, таким образом, программа информирует о системной и сетевой активности приложений. Есть возможность аудита системных операций (аудит настраивается).
Очень неплохая IDS - все ее правила можно просматривать и редактировать. В базе IDS уже имеется большое количество правил для разных троянов/backdoor, разнообразных видов атак ... Все правила сгруппированы по категориям и могут активироваться индивидуально (или активируются/выключаются все правила группы). В правиле могут фигурировать не только порты и адреса, но содержимое пакета (включая поля заголовка пакета);
Содержит встроенный набор типовых правил (которые могут быть удалены или отредактированы). По умолчанию привила позволяют довольно много - стоит начать работу их анализа и ужесточения;
Правила можно создавать на уровне конкретных пользователей - это позволяет индивидуально настроить Firewall многопользовательской среде
Управление и мониторинг событий выполнены в виде двух отдельных приложений - это экономит память, т.к. их можно выгрузить и загружать по необходимости. Центр управления можно защитить паролем;
Firewall имеет встроенный NAT и ICS, есть поддержка VPN (правда я ее не тестировал)

Недостатки и особенности:

Много настроек (очень много). Это естественно не недостаток (скорее плюс), но рекомендовать такой Firewall начинающему пользователю я бы не стал;
В настройке по умолчанию IDS вяло реагирует на явные атаки, секция WEB атак и Backdoor у нее вообще отключена.
При включении большинства встроенных правил имели место ложные срабатывания IDS - например, при посещении www.ozon.ru IDS был замечен "вредоносный java script" - ничего подобного на самом деле там конечно не было
Процессы Firewall видны в памяти и могут быть удалены;
Я не нашел возможности создания правил по MAC адресам;
За время тестирования центр управления несколько раз "падал" с ошибкой защиты памяти, но на работу Firewall это не оказывало влияния;

Общая оценка:
Хороший Firewall, содержит хорошую настраиваемую IDS и отличные средства мониторинга операционной системы (т.е. по сути Tiny не Firewall, а антихакерский комплекс, что мне в нем и понравилось). Собственно Firewall-ная часть предоставляет типовые для современного Firewall функции. Перед эксплуатацией рекомендуется провести тщательную настройку правил Firewall и его IDS.

McAfee Personal Firewall Plus 6.0 Build 6014

Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Достоинства:

Небольшой размер, наличие мастера, позволяющего начинающему пользователю настроить Firewall;
Есть визуальный индикатор трафика и карта, на которой отображается продполагаемое местоположение атакующего;
Удаление процессов Firewall не привело к пропаданию защиты

Недостатки и особенности:

В настройке по умолчанию оказались открыты многие опасные порты (я пробовал выбирать разные профили, но результат примерно одинавок);
Окно сообщения о попытке доступа приложения в сеть неиформативно (нет данных о том, c каким IP идет попытка соединения, по каким портам, нет полного пути к программе и дополнительных данных по нему ...);
Не прослеживается возможность ручного создания правил фильтрации пакетов. Я не нашел такой возможности - может быть, она и есть - но закопана далеко .... Правила для приложений есть, но крайне примитивны (разрешить приложению все, запретить все);
Блокирование прослушивая порта, по моему мнению, сделано очень некорректно - все исследованные мной Firewall позволяли программе открыть порт на прослушивание (и при запрете в правилах Firewall обмена с сетью программа просто не получала по этому порту пакеты). В данном случае блокируется открытие порта - это приводит к ошибкам в некоторых программах;
IDS отсутствует - я проводил лобовые атаки (сканирование портов в 200 потоков, флуд порта со скоростью 2000 соединений/сек ...) - Firewall не выдал никаких сообщений или предупреждений. Зато он обнаружил прихождение на мой ПК единичного пакета по порту 514 (Syslog) и записал это в протокол.
В ходе тестов отмечался некий интересный глюк в системе - перестали отображаться иконки на рабочем столе

Общая оценка:
Весьма примитивный Firewall, ориентированный на уровень начинающего пользователя. Очень бедные возможности, IDS не определяет явные атаки

R-Firewall 1.0 Build 43

Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. Размер дистрибутива небольшой (3.8 МБ), можно настроить состав продукта. Работа достаточно стабильная, на эталонном ПК явных сбоев и зависаний не замечено

Достоинства:

Небольшой размер;
Два уровня настройки - упрощенный для начинающего и расширенный для опытного пользователя;
Содержит детектор атак, фильтр контента для блокирования баннеров, скриптов и т.п. Детектор атак реагирует на сканирование портов, флуд (правда флуд считается как Single port scan)
Детектирует внедрение посторонних DLL в критические процессы типа iexplorer.exe, предупреждая с указанием библиотеки и процесса. Правда не содержит системы проверки цифровых подписей или базы чистых файлов, поэтому ругается на все, включая системные DLL
Блокиратор контента реально опробирован на сайтах типа cracks.am, что показало его работоспособность (конечно, блокирование не стопроцентное, но файктс срабатывания имеет место)
Есть профили настроек с правилами для распространенных программ, что может быть полезно для начинающего пользователя

Недостатки и особенности:

Окно системы обучение не информативно (не выводится полный путь к программе-нарушителю и подробной информации о ней). В случае работы троянской DLL в сообщение фигурирует не DLL, а применяющая ее программа. Например, на тестах Backdoor.Win32.Thunk.i (библиотека c:windowscpu.dll) был запущен через rundll32.exe - в сообщениях firewall ругался именно на эту DLL
Процессы не защищены от убиения, нет контроля установки посторонних драйверов и записи в чужие процессы, из-за чего защита не может быть всесторонней. После убиения управляющих процессов защита судя по всему частично сохраняется, обмен с сетью по крайней не блокируется и ряд тестовых TrojanDownloader смогли успешно работать и обмениваться с Интернет. Убиение процессов провело к отказу контроля за внедрением посторонних DLL
Я не обнаружил (по крайней мере на поверхности) возможностей фильтрации по MAC адресам
Интерфейс и система построения правил лично мне показалась немного запутанной

Общая оценка:
Еще один Firewall, ничем радикально новым или особенным не обличается. Главный его плюс (и несомненный на мой взгляд) состоит в том, это этот продукт бесплатный - один только этот момент может перечеркнуть все его минусы и недостатки.

Общие выводы и заключение

Итак, подведем итоги тестов. По сути, тесты подтвердили мои теоретические представления о состоянии проблемы:

Firewall нужно настраивать. Все тестируемые Firewall неплохо работали, но только после настройки (обучения, создания настроек вручную - не важно). Эксплуатация ненастроенного Firewall может нанести больше вреда, чем пользы (он пропустит опасные пакеты и наоборот, будет мешать полезным программам);
После настройки Firewall и IDS нужно тестировать - это тоже достаточно очевидный вывод, но тем не менее он важен. Первый шаг к созданию тестера я сделал - это утилита APS. Осталось еще два - имитатор троянской програмы (т.е. утилита, которая будет выполнять безопасные для пользователя попытки "сломать" Firewall изнутри (естественно, атаки будут описаны базой данных и будут проводиться по команде пользователя под его управлением), что позволит наблюдать за реакцией Firewall и IDS) и утилита для экспресс-сканирования портов и проведения базовых атак (по сути APS с точностью до наоборот - база портов у них может быть общая). Разработкой этих утилит я уже занимаюсь - их наличие в арсенале пользователя позволит произвести некий "инструментальный контроль".
Персональный Firewall уязвим перед вредоносными программами, работающими из контекста полезных. Вывод - как минимум долой разные "левые" панели и прочие BHO из браузера и электронной почты !! Перед установкой любого плагина, панели, утилиты расширения и т.п. нужно десять раз подумать о их необходимости, т.к. они не являются отдельными процессами операционной системы и работают из контекста родительской программы. Троянская программа легко детектируется персональным Firewall - он "видит", что некоторый процесс (скажем, bo2k.exe) пытается начать прослушивание порта xxxxx или обмен с неким хостом - выдается запрос о допусимости, пользователь начинает разбираться, что же это за "bo2k.exe" и Backdoor оказывается пойман. А вот если бы троянская программа работала из контекста браузера, то на обращение браузера в Интернет почти наверняка никто не обратит внимание. Такие троянские программы существуют, ближайший пример - TrojanDownloader.IstBar - он устанавливается именно как панель IE (в процессах его естественно нет, в списке автозапуска - тоже);
Многие персональные Firewall видны как процессы операционной системы и могут быть остановлены вирусом. Вывод - за работой Firewall нужно следить и его внезапное завершение может служить сигналом о проникновении на ПК вируса;
Некоторые Firewall (например Kerio) допускают дистанционное управление - функцию дистанционного управления необходимо или отключить, или запаролить.

Источник здесь.

Безопасный аноним squid

Обновлено: 30.06.2025

Теги: Настройка прокси Squid

Думаю, многие люди, посетив страничку http://checker.samair.ru/, увидят, что они передают в сеть такую информацию, как свой внутренний ip-адрес и другие заголовки, что несет с собой потенциальные уязвимости. Если вы используете прокси-сервер squid для доступа локальной сети в интернет, то исправить ситуацию вам поможет применение двух простых правил в squid.conf, а именно:

forwarded_for off
header_access Via deny all

Добавьте их в файл /usr/local/squid/etc/squid.conf, после чего введите команду:

/usr/local/squid/sbin/squid -k reconfigure

После этого на вышеуказанном сайте проверьте результат. Ваш статус должен стать: hight anonymous (elite) proxy

Параметр "header_access Via deny all" запретит передавать ваш внутренний ip-адрес.

А вот что написано о параметре "forwarded_for off":

если включено - по умолчанию - то squid будет вставлять IP-адрес или имя в заголовок перенаправляемых HTTP-запросов: "X-Forwarded-For: 192.1.2.3"; если выключено, то "X-Forwarded-For: unknown"

Так что спите спокойно. Главное - чтобы ваш сон был безопасным.

Безопасность Windows XP. Часть 2

Обновлено: 30.06.2025

Пришло время познакомиться со второй частью материала, рассказывающего о том, как повысить безопасность персонального компьютера, работающего под управлением операционной системы Windows XP.

Перед тем, как приступить к чтению, мы рекомендуем ознакомиться с первой частью материала, расположенной по следующему адресу.

Shared-ресурсы

Shared-ресурсы, в народе называемые просто "шары", всегда были и будут одной из главных головных болей пользователей Windows XP. Изначально задуманный как неоценимая помощь для пользователей, находящихся в локальных сетях, проект содержал множество багов, которыми непременно и пользовались злоумышленники при захвате удаленной машины.

Но, не удержавшись, дам совет пользователям локальных сетей. Если при работе вам столь необходимо часто обмениваться файлами, для этого есть более безопасные методы.

Как пример - создание ftp-сервера. Скажу по секрету, что такого рода материал планируется для написания, так что ждите анонсов и чаще заходите на www.3dnews.ru! Но вернемся к делу. Наша задача - отключить расшаренные ресурсы, к чему и приступим. Заглянем в свойства диска C, затем на вкладку "Sharing".

Взглянув на скриншот, мы видим, что у нас имеется расшаренный диск. И его немедленно нужно отключить. Это нужно сделать, отметив опцию "Do not share This Folder". Так нужно сделать со всеми логическими дисками, имеющими место у вас в системе.

Еще одна особенность Windows XP - появление папки Shared Documents (Общие документы). Перемещаем в папку любой файл, и вуаля - он доступен по сети. Чтобы прекратить данное безобразие, в который раз воспользуемся услугами редактора системного реестра. Пройдем сюда - HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer MyComputer NameSpace DelegateFolders {59031a47-3f72-44a7-89c5-5595fe6b30ee}, удалим в пух и прах этот раздел реестра, после чего папка станет недоступна.

Все бы хорошо, но расслабляться еще рано. В системе присутствует протокол под названием NetBIOS, который также следует удалить от греха подальше. Суть протокола заключается в том, что он предоставляет удаленный доступ к файлам и папкам и может раскрыть нежелательную информацию о компьютере. Сомнений не осталось? Тогда в свойствах используемого соединения, во вкладке "свойства протокола TCP/IP" -> "дополнительно" выбираем пункт "отключить NetBIOS через TCP/IP". Там же убираем галочку напротив сервиса "Доступ к файлам и принтерам сети Microsoft".

Автозагрузка

Часто пользователи персональных компьютеров не интересуются тем, какие программные продукты стартуют при загрузке системы. Этим фактом и пользуются злоумышленники, подсаживая трояны и прочую нечисть в автозагрузку.

Поэтому хотя бы раз в неделю запускайте программу msconfig (Пуск-Выполнить), чтобы проверить, какие утилиты загружаются при старте. Помимо автозагрузки, вирусописатели любят засовывать старт своих детищ в следующие ветки реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersion WindowsRun.

Выходов, как обычно, имеется множество. К примеру, можно проводить аудит данных ветвей на предмет новых записей самостоятельно. А можно для этого использовать программный продукт, такой как RegMon.

Удаление неиспользуемых аккаунтов

А зачем вам нужны пользователи, учетными записями которых вы никогда и не воспользуетесь? Компания Microsoft, помимо стандартных записей, успела запихать "секретные" учетные записи по типу SUPPORT_586975a0, которая, кстати, предназначена для получения удаленной помощи от службы технической поддержки. Вы себе это представляете? Я - нет. И именно по этому берите в руки пилу, двигайтесь по направлению к Панель Управления - Администрирование - Управление компьютером - Локальные пользователи и группы - Пользователи и начинайте пилить всех, кто попадется под горячую руку.

Безопасность Windows XP. Часть 1

Обновлено: 30.06.2025

Операционная система Microsoft Windows XP вышла на рынок 25-го ноября 2001-го года. Сотрудники компании возлагали на неё большие надежды и, как оказалось, не прогадали. По заявлению самих разработчиков, новоиспеченная на тот момент XP включала в себе опыт, накопленный за многие годы построения операционных систем.

Как и ожидалось, перед выходом, пользователям было дано множество обещаний (к примеру, непробиваемую защиту от несанкционированного доступа, невиданную ранее стабильность и "багоустойчивость"), но не все оказалось настолько уж гладко.

Но довольно лирических отступлений, сегодня на повестке дня - повышение безопасности операционной системы. Пошаговый формат выбран не с проста - так наиболее просто выполнять инструкции, описанные в статье.

Шаг 1. Отключение автоматического запуска CD

Купили вы диск, доверху набитый полезным программным обеспечением. Принесли домой, вставили в дисковод, автоматически запустился диск, а там - вирус. Чтобы этого не произошло, вам нужно пройти по следующему адресу в реестре - HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesCdrom, и параметру AutoRun присвоить значение 0. Для редактирования реестра вам нужно запустить программу RegEdit, которая запускается так: Пуск - Выполнить - regedit.

Шаг 2. Автоматическое обновление системы

Как каждому из нас известно, достаточно часто в операционных системах Windows находятся ошибки и критические огрехи в безопасности, исправить которые следует сразу же после выхода патча. Ушедший 2004-ый год лишний раз это доказал, явив миру несколько глобальных вирусных эпидемий.

Поэтому кликаем правой кнопкой мыши по иконке Мой Компьютер, а затем направляемся по пути Свойства - Автоматическое Обновление. Перед нами возникает дилемма - либо остановить свой выбор на опции "Автоматически", либо сделать активной опцию "Уведомлять, но не загружать и не устанавливать их автоматически".

Дам несколько рекомендаций. Если вы владелец выделенного интернет-канала, и закачивать каждый день в фоновом режиме (а именно так происходит обновление системы через Windows Update) файла приличного размера не составляет большой проблемы, то однозначно ваш выбор - Автоматически.

Другим же пользователям, а в особенности модемным, советую выбрать "Уведомлять, но не загружать и не устанавливать их автоматически", где качать и устанавливать файлы вы будете, предварительно оценив их важность, дабы не захламлять итак слабый интернет-канал.

Шаг 3. Отключение ненужных сервисов

Не знаю зачем, но Билл Гейтс и сотоварищи нагородили в Windows XP такое огромное количество ненужных служб, запускающихся автоматически, что не отключить их - грех. Но так как разговор мы ведем о безопасности операционной системы, обратим наше внимание на системные сервисы, подрывающие наши старания. Для этого пройдем по пути Панель управления - Администрирование - Службы и займемся работой.

Напомню, как работать со службами. Кликнув на одну из них, перед собой вы увидите окно с четырьмя закладками: Общие, Вход в систему, Восстановление, Зависимости. По сути дела, наиболее важными являются две: первая и последняя. На первой вкладке, "Общие", вы можете прочитать название службы, ее функции, исполняемый файл, а также выставить тип запуска: авто, вручную, отключено. Так как нам предстоит деактивировать ненужные системные сервисы, мы будет выставлять тип "отключено". На последней вкладке, "Зависимости", вы можете увидеть, с какими из служб выбранный вами сервис находится в зависимости, то есть если служба отключена или неправильно работает, это может отразиться на зависимых от нее сервисах.

Внимание: прежде чем начать резкое удаление ненужных служб, я советую сохранить первоначальные настройки, чтобы избежать возможных конфликтов. Для этого нужно пройти по HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiсes и кликнув правой кнопкой, выбрать пункт "Экспортировать". Далее сохраняем данные в *.reg-файл.

Служба удаленного управления реестром (Remote Registry Service) - позволяет удаленно управлять системным реестром. Если служба остановлена, то редактировать реестр может только локальный пользователь. Надеюсь, лишних вопросов не возникает. Режем.

Служба сообщений (Messenger) - данная служба позволяет получать и отправлять сообщения. Часто используется для розыгрышей и спама. Оно вам нужно? Режем.

Служба терминалов (Terminal Service) - одной из функций службы является предоставление услуг Remote Desktop. Несомненно, данный сервис не является безопасным, поэтому нуждается в отключении, что и делаем.

NetMeeting Remote Desktop Sharing - служба позволяет определенным пользователям получать доступ к рабочему столу Windows. Давно вы пользовались Windows NetMeeting? И пользовались ли вообще? Режем.

Telnet - позволяет удаленным пользователям работать с машиной по протоколу Telnet. Если вы не пользуетесь данными услугами, отключение произойдет незаметно. Режем.

Шаг 4. Установка фаервола

Согласно статистике, большинство злоумышленников, существующих в сети, ломают не определенные системы, а путем сканирования выявляют слабые точки и делают свои "грязные" дела. Чтобы не стать их жертвой, вам обязательно нужно установить брандмауэр. В комплекте с XP идет встроенный фаервол, но он не отвечает тем требованиям, которые предъявляются хорошим программным продуктам.

К сожалению, тема и формат статьи не позволяет нам провести сравнительное тестирование n-го количества программ (что мы обязательно сделаем в будущем), но, основываясь на своем опыте, я могу посоветовать вам остановить свой выбор либо на Outpost Firewall Free от Agnitum Limited, либо на Zone Labs' ZoneAlarm. По своей функциональности - это схожие продукты, поэтому выбор за вами.

Шаг 5. Пароли и все о них

По мнению большинства IT-экспертов, именно халатность пользователей при составлении паролей во многом предопределяет ход событий при взломе. Пароли на пользовательские аккаунты хранятся в файле .sam в директории systemrootsystem32config. Но доступ к файлу во время работы компьютера не имеет даже пользователь с правами администратора.

Локально получить доступ не составляет никакого труда. Мне видится два варианта. Первый - загрузить на дискету альтернативную ось (Trinux, PicoBSD), способную читать из раздела NTFS, и прочитать файл. Второй - достаточно распространенная связка Win9x + WinXP, где первая система ставится для игр, а вторая для работы. И, естественно, чтобы избежать лишних манипуляций, пользователи охотно ставит WinXP на файловую систему FAT32 для получения доступа к рабочим файлам. Что из этого выйдет - огромная дыра в безопасности.

Пароли в Windows XP шифруется сразу по двум алгоритмам. Первый - LM-Hash, существующий для аутентификации в сетях LanMan, второй - NT-Hash. Алгоритм LM-Hash работает довольно глупо, чем и пользуются программы расшифровки паролей, хранящихся в файле .sam. LM-Hash разделяет полученный пароль на части по 7 символов (например, если пароль из 10 символов, то пароль будет разделен на две части - 7 символов и 3), переводит все символы в верхний регистр, шифрует каждую часть отдельно, и два полученных хэша объединяет в LM-Hash.

Стоит ли говорить о том, что пароль из десяти символом расшифровать сложнее, чем два, состоящих из 7 и 3 символов? Этой огрехой и пользуются программы для взлома. Быстро расшифровав вторую часть, можно составить общее впечатление о пароле, что, согласитесь, плохо. Учитывая вышесказанное, пароль из 7 символом будет надежнее 8,9 или 10. Но бороться с этой проблемой можно. Для этого пройдем по пути Панель Управления - Администрирование - Локальные параметры Безопасности, далее Локальные политики - Параметры безопасности, и ищем в появившемся списке опцию "Сетевая безопасность: уровень проверки подлинности LAN Manager".

В выпадающем списке выбираем "Отправлять только NTLM ответ" и нажимаем на ok. Одной проблемой стало меньше.

Шаг 6. Теория составления паролей

Для начала ответьте на вопрос: вы когда-нибудь задумывались о том, насколько легко можно угадать ваш пароль? Если да, то хорошо. А если нет, то плохо. Своей халатностью вы только упростите работу взломщика, поставивший цель уложить на лопатки вашу систему. В сети Интернет существует огромное количество программ, подбирающих пароль методом bruteforce (или же "в лоб"). Подбор может вестись как по словарю, так и по определенным правилам, установленным взломщиком. Во-первых, никогда не используйте в качестве паролей ФИО, дату рождения, кличку любимой собаки и т.д.

Этой информацией очень легко завладеть, следуя обычной логике. Если человек без ума от собак, то почему бы ему не назначить паролем для доступа к e-mail имя своего любимого пса? Злоумышленник же, узнав это, легко представится в ICQ таким же собаководом, и начнет тщательный опрос. А вы, того не подозревая, в чистую выложите всю информацию о себе и своем питомце.

Пароль нужно придумать. И для этого есть свой алгоритм, которым я спешу поделиться с вами. Возьмите бумажку и напишите любое слово. Затем добавьте две цифры между букв. Приобщите к делу знак пунктуации, вставив его в самое неожиданное место. Из легко угадываемого пароля password мы получили pass2w!ord. Крепкий орешек, согласны? То-то.

Шаг 7. Аккаунт "Администратор"

По настоянию компании Microsoft, сменим логин администратора на что-нибудь более звучное и одновременно менее бросающее в глаза. Поэтому пройдем по Панель Управления - Администрирование - Локальная политика безопасности. В выпавшем списке выберем опцию "Локальная политика", далее Параметры безопасности, и после ищем в открывшемся списке "Учетные записи: Переименование учетной записи администратора". Придумываем логин, и соответственно, вписываем в открывшемся окне. И еще - никогда не используйте аккаунт Администратора при каждодневных делах. Для этого создайте другой пользовательский аккаунт, и именно с него путешествуйте в сети, работайте и развлекайтесь.

Шаг 8. Опасная заставка

Безобидный на первый взгляд файл заставки несет в себе большую опасность, так как внутри файла может быть все что угодно. Для исправления бага нужно пройти по следующему ключу в реестре - HKEY_USERS.DEFAULTControl PanelDesktop и найдя параметр ScreenSaveActive, присвоить значение 0.

Шаг 9. Реестр, друг наш!

Реестр очень полезная вещь. Полазив, можно настроить систему так, что работа будет только в удовольствие. Чтобы не занимать много места, разбивая по шагам, я решил представить вашему вниманию подборку ключей в системном реестре, пройти мимо которых невозможно.

Очистка файла PageFile - HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager Memory Management - присвоив значение 1 параметру ClearPageFileAtShutdown, тем самым вы активируете возможность удалять при завершении работы все данные, которые могли сохраниться в системном файле. Автоматические удаление трэшевых файлов после работы в сети Интернет - HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Internet Settings Cache - присвоив 0 значению Persistent, вы больше не будете вынуждены собственноручно стирать остатки путешествий по сети Интернет. Internet Explorer будет делать это за вас. Удобно.

Установка минимального количества символов в паролях - HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies Network - чтобы отбить у вас охоту каждый раз вписывать пароль меньше 6-ти символов, присвойте значение hex:6 параметру MinPwdLen. Отныне все пароли в вашей системе будут больше 6 символов.

Требовать пароли только из букв и цифр - HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Policies Network - предыдущий ключ отбил охоту придумывать пароль меньше 6-ти символов. Данная опция заставит вас комбинировать при составлении пароля как буквы, так и цифры. Активировать опцию можно присвоив значение 1 параметру AlphanumPwds.

Шаг 10. Проводник

И последнее, что мы сегодня исправим, будет касаться программы Проводник. Мало кто знает, что в реестре можно указать путь, где физически располагается Проводник, чтобы избежать несанкционированной замены. Для этого пройдем по _LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon и укажем полный путь до Проводника.

На этом наш сегодняшний экскурс в мир безопасности закончен. Но мы не остановимся на достигнутом, а постоянно будет подпитывать вас новой информацией. Оставайтесь на нашей волне!

Источник: http://www.3dnews.ru/

<< Назад Далее >>

Принимаю заказы на настройку серверов, mikrotik и других роутеров, точек доступа, nginx и т.п. В пределах Санкт-Петербурга возможен выезд к заказчику. См. контакты.

Последние комментарии

13.06.2024 09:11 casper200

Спасибо, благодоря приведенной транскрипции, настроил проксю....

29.05.2024 17:36 bzzz

Еще нашел тут, что для парольной защиты (PSK) IPSec Xauth PSK и L2TP IPSec PSK, "Идентификатор IPSec" - это имя пользователя �...

29.05.2024 15:20 bzzz

Не уверен точно, но идентификатор IPSec - возможно, это IP-адрес сервера, или username@1.2.3.4 или FQDN-имя вашего сервера....

27.05.2024 14:55 Zahar

Здравствуйте, в Redmi Note 13 Pro после обновления просит обязательно внести Идентификатор Ipsec. Раньше это было необ�...

27.05.2024 13:29 Diana

Здравствуйте
Подскажите. подключение с ПК все работает все ок. Делал по вашей мурзилке.
Но при подключе...

15.02.2024 16:53 Rost

Доброго дня! Проблема как у некоторых людей в комментвриях,что при подключении по VPN вне со снятием галочки &qu...

Популярно:

Разделы статей:

Установка 1.2.13 (Linux RedHat 9)

Установка 1.0.33 (Linux RedHat 6.2 и Solaris 2.5)

Методика использования

Создание базы данных

Занесение значения в БД

Извлечение значений из БД

Построение графиков

Обмен данными

at-формат указания времени

Сбор информации с удаленных хостов с помощью SSH

Методика тестов

Kerio Technologies WinRoute Pro v4.2.5

Outpost Firewall Pro 2.5.369.4608 (369)

ZoneLabs ZoneAlarm Pro with Web Filtering 4.5.594.000 - Personal Firewall

AtGuard 3.22>

Kerio Personal Firewall 4

Norton Internet Security 2004 (NIS)

Internet Connection Firewall, ICF - встроенный брандмауэр Windows XP

Internet Connection Firewall, ICF - встроенный брандмауэр Windows XP SP2

Sygate Personal Firewall Pro 5.5 build 2525

ISS BlackIce 3.6.cci

Visnetic Firewall 2.2

Look n stop personal firewall 2.05

Kaspersky AntiHacker 1.5

Tiny Personal Firewall Pro 6.0

McAfee Personal Firewall Plus 6.0 Build 6014

R-Firewall 1.0 Build 43

Общие выводы и заключение

Shared-ресурсы

Автозагрузка

Удаление неиспользуемых аккаунтов

Популярная брешь в IE

Шаг 1. Отключение автоматического запуска CD

Шаг 2. Автоматическое обновление системы

Шаг 3. Отключение ненужных сервисов

Шаг 4. Установка фаервола

Шаг 5. Пароли и все о них

Шаг 6. Теория составления паролей

Шаг 7. Аккаунт "Администратор"

Шаг 8. Опасная заставка

Шаг 9. Реестр, друг наш!

Шаг 10. Проводник

Последние комментарии