Записки не очём

Корпорация Google представила выпуск дистрибутива Chrome OS 63, основанного на ОС GNU с ядром Linux, системе инициализации upstart, уникальных сервисах Google и системе сборки пакетов portage.

Исходные коды распространяются под лицензией Apache 2.0.

Дистрибутив Chrome OS 63 подходит для большинства моделей Chromebook. Пользовательским сообществом подготовлены неофициальные сборки для обычных компьютеров x86 и ARM.

Окружение Chrome OS состоит преимущественно из web-браузера, а вместо привычных приложений для системы задействованы web-приложения.

( читать дальше... )

 chrome os, google

Создатель Mandrake Linux представил мобильную платформу Eelo.

Гаэль Дюваль (Ga

8 лучших программ для анализа сетевого трафика

Сниффинг пакетов — это разговорный термин, который относится к искусству анализа сетевого трафика. Вопреки распространенному мнению, такие вещи, как электронные письма и веб-страницы, не проходят через сеть интернет одним куском. Они разбиты на тысячи небольших пакетов данных и таким образом отправляются через интернет. В этой статье мы рассмотрим лучшие бесплатные анализаторы сети и снифферы пакетов.

Есть множество утилит, которые собирают сетевой трафик, и большинство из них используют pcap (в Unix-подобных системах) или libcap (в Windows) в качестве ядра. Другой вид утилит помогает анализировать эти данные, так как даже небольшой объем траффика может генерировать тысячи пакетов, в которых трудно ориентироваться. Почти все эти утилиты мало отличаются друг от друга в сборе данных, основные отличия заключаются в том, как они анализируют данные.

Анализ сетевого трафика требует понимания того, как работает сеть. Нет никакого инструмента, который бы волшебным образом заменил знания аналитика об основах работы сети, такие как "3-х этапное рукопожатие" TCP, которое используется для инициирования соединения между двумя устройствами. Аналитики также должны иметь некоторое представление о типах сетевого трафика в нормально функционирующей сети, таких как ARP и DHCP. Это знание важно, потому что аналитические инструменты просто покажут вам то, о чем вы их попросите. Вам решать, что нужно просить. Если вы не знаете, как обычно выглядит ваша сеть, может быть сложно понять, что вы нашли то, что нужно, в массе собранных вами пакетов.

Лучшие снифферы пакетов и анализаторы сети

Промышленные инструменты

Начнем с вершины и далее спустимся к основам. Если вы имеете дело с сетью уровня предприятия, вам понадобится большая пушка. Хотя в основе почти все использует tcpdump (подробнее об этом позже), инструменты уровня предприятия могут решать определенные сложные проблемы, такие как корреляция трафика со множества серверов, предоставление интеллектуальных запросов для выявления проблем, предупреждение об исключениях и создание хороших графиков, чего всегда требует начальство.

Инструменты уровня предприятия, как правило, заточены на потоковую работу с сетевым трафиком, а не на оценку содержимого пакетов. Под этим я подразумеваю, что основное внимание большинства системных администраторов на предприятии заключается в том, чтобы сеть не имела узких мест в производительности. Когда такие узкие места возникают, цель обычно заключается в том, чтобы определить, вызвана ли проблема сетью или приложением в сети. С другой стороны, эти инструменты обычно могут обрабатывать такой большой трафик, что они могут помочь предсказать момент, когда сегмент сети будет полностью загружен, что является критическим моментом управления пропускной способностью сети.

1. SolarWinds

SolarWinds — это очень большой набор инструментов управления IT. В этой статье более уместна утилита Deep Packet Inspection and Analysis которая является его составной частью. Сбор сетевого трафика довольно прост. С использованием таких инструментов, как WireShark, базовый анализ также не является проблемой. Но не всегда ситуация полностью понятна. В очень загруженной сети может быть трудно определить даже очень простые вещи, например:

— какое приложение в сети создает этот трафик?
— если приложение известно (скажем, веб-браузер), где его пользователи проводят большую часть своего времени?
— какие соединения самые длинные и перегружают сеть?

Большинство сетевых устройств, чтобы убедиться, что пакет идет туда, куда нужно, используют метаданные каждого пакета. Содержимое пакета неизвестно сетевому устройству. Другое дело - глубокая инспекция пакетов; это означает, что проверяется фактическое содержимое пакета. Таким образом можно обнаружить критическую сетевую информацию, которую нельзя почерпнуть из метаданных. Инструменты, подобные тем, которые предоставляются SolarWinds, могут выдавать более значимые данные, чем просто поток трафика.

Анализ сетей в целом является передовой темой, которая базируется как на основе полученных знаний, так и на основе практического опыта работы. Можно обучить человека детальным знаниям о сетевых пакетах, но если этот человек не обладает знаниями о самой сети, и не имеет опыта выявления аномалий, он не слишком преуспеет. Инструменты, описанные в этой статье, должны использоваться опытными сетевыми администраторами, которые знают, что они хотят, но не уверены в том, какая утилита лучше. Они также могут использоваться менее опытными системными администраторами, чтобы получить повседневный опыт работы с сетями.

Основы

2. tcpdump

Основным инструментом для сбора сетевого трафика является tcpdump. Это приложение с открытым исходным кодом, которое устанавливается практически во всех Unix-подобных операционных системах. Tcpdump - отличная утилита для сбора данных, которая имеет очень сложный язык фильтрации. Важно знать, как фильтровать данные при их сборе, чтобы в итоге получить нормальный набор данных для анализа. Захват всех данных с сетевого устройства даже в умеренно загруженной сети может породить слишком много данных, которые будет очень трудно проанализировать.

В некоторых редких случаях достаточно будет выводить захваченные tcpdump данные прямо на экран, чтобы найти то, что вам нужно. Например, при написании этой статьи я собрал трафик и заметил, что моя машина отправляет трафик на IP-адрес, который я не знаю. Оказывается, моя машина отправляла данные на IP-адрес Google 172.217.11.142. Поскольку у меня не было никаких продуктов Google, и не был открыт Gmail, я не знал, почему это происходит. Я проверил свою систему и нашел следующее:


[ ~ ]$ ps -ef | grep google
user 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome —type=service

Оказывается, что даже когда Chrome не работает, он остается запущенным как служба. Я не заметил бы этого без анализа пакетов. Я перехватил еще несколько пакетов данных, но на этот раз дал tcpdump задачу записать данные в файл, который затем открыл в Wireshark (подробнее об этом позже).

Tcpdump — любимый инструмент системных администраторов, потому что это утилита командной строки. Для запуска tcpdump не требуется графический интерфейс. Для производственных серверов графический интерфес скорее вреден, так как потребляет системные ресурсы, поэтому предпочтительны программы командной строки. Как и многие современные утилиты, tcpdump имеет очень богатый и сложный язык, который требует некоторого времени для его освоения. Несколько самых базовых команд включают в себя выбор сетевого интерфейса для сбора данных и запись этих данных в файл, чтобы его можно было экспортировать для анализа в другом месте. Для этого используются переключатели -i и -w.

# tcpdump -i eth0 -w tcpdump_packets
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C51 packets captured

Эта команда создает файл с захваченными данными:

file tcpdump_packets
tcpdump_packets: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 262144)

Стандартом для таких файлов является формат pcap. Он не является текстом, поэтому его можно анализировать только с помощью программ, которые понимают данный формат.

3. Wireshark

Wireshark является следующим самым известным инструментом в наборе системного администратора. Он позволяет не только захватывать данные, но также предоставляет некоторые расширенные инструменты анализа. Кроме того, Wireshark является программой с открытым исходным кодом и перенесен практически на все существующие серверные операционные системы. Под названием Etheral, Wireshark теперь работает везде, в том числе в качестве автономного переносимого приложения.

Если вы анализируете трафик на сервере с графическим интерфейсом, Wireshark может сделать все за вас. Он может собрать данные, а затем анализировать их все здесь же. Однако на серверах графический интерфейс встречается редко, поэтому вы можете собирать сетевые данные удаленно, а затем изучать полученный файл pcap в Wireshark на своем компьютере.

При первом запуске Wireshark позволяет либо загрузить существующий файл pcap, либо запустить захват трафика. В последнем случае вы можете дополнительно задать фильтры для уменьшения количества собираемых данных. Если вы не укажете фильтр, Wireshark будет просто собирать все сетевые данные с выбранного интерфейса.

Одной из самых полезных возможностей Wireshark является возможность следовать за потоком. Лучше всего представить поток как цепочку. Если захват трафика производился на другом компьютере, вы можете импортировать файл PCAP с помощью диалога Wireshark File -> Open. Для импортированных файлов доступны те же фильтры и инструменты, что и для захваченных сетевых данных.

4. tshark

Tshark — это очень полезное звено между tcpdump и Wireshark. Tcpdump превосходит их при сборе данных и может хирургически извлекать только те данные, которые вам нужны, однако его возможности анализа данных очень ограничены. Wireshark отлично справляется как с захватом, так и с анализом, но имеет тяжелый пользовательский интерфейс и не может использоваться на серверах без графического интерфейса. Попробуйте tshark, он работает в командной строке.

Tshark использует те же правила фильтрации, что и Wireshark, что не должно удивлять, так как они по сути являются одним и тем же продуктом. Приведенная ниже команда говорит tshark только о том, что необходимо захватить IP-адрес пункта назначения, а также некоторые другие интересующие нас поля из HTTP-части пакета.


# tshark -i eth0 -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/title.png
172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/index.css
172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png
172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico
172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico

Если вы хотите записать трафик в файл, используйте для этого параметр-W, а затем переключатель -r (чтение), чтобы прочитать его.

Сначала захват:

# tshark -i eth0 -w tshark_packets
Capturing on 'eth0'
102 ^C
Прочитайте его здесь же, или перенесите в другое место для анализа.

# tshark -r tshark_packets -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /contact
172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/
172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css
172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/images/title.png

5. Network Miner

Network Miner — это очень интересный инструмент, который скорее попадает в категорию инструментов сетевого криминалистического анализа, а не просто снифферов. Сфера криминалистики, как правило, занимается расследованиями и сбором доказательств, и Network Miner выполняет эту работу просто отлично. Также, как wireshark может следовать потоку TCP, чтобы восстановить всю цепочку передачи паков, Network Miner может следовать потоку для того, чтобы восстановить файлы, которые были переданы по сети.

Network Miner может быть стратегически размещен в сети, чтобы иметь возможность наблюдать и собирать трафик, который вас интересует, в режиме реального времени. Он не будет генерировать свой собственный трафик в сети, поэтому будет работать скрытно.

Network Miner также может работать в автономном режиме. Вы можете использовать tcpdump, чтобы собрать пакеты в интересующей вас точке сети, а затем импортировать файлы PCAP в Network Miner. Далее можно будет попробовать восстановить какие-либо файлы или сертификаты, найденные в записанном файле.

Network Miner сделан для Windows, но с помощью Mono он может быть запущен в любой ОС, которая поддерживает платформу Mono, например Linux и MacOS.

Есть бесплатная версия, начального уровня, но с приличным набором функций. Если вам нужны дополнительные возможности, такие как геолокация и пользовательские сценарии, потребуется приобрести профессиональную лицензию.

6. Fiddler (HTTP)

Fiddler технически не является утилитой для захвата сетевых пакетов, но он так невероятно полезен, что попал в этот список. В отличие от других перечисленных здесь инструментов, которые предназначены для захвата трафика в сети из любого источника, Fiddler скорее служит инструментом отладки. Он захватывает HTTP трафик. Хотя многие браузеры уже имеют эту возможность в своих средствах разработчика, Fiddler не ограничивается трафиком браузера. Fiddler может захватить любой HTTP-трафик на компьютере, в том числе и не из веб-приложений.

Многие настольные приложения используют HTTP для подключения к веб-службам, и помимо Fiddler, единственным способом захвата такого трафика для анализа является использование таких инструментов, как tcpdump или Wireshark. Однако они работают на уровне пакетов, поэтому для анализа необходимо реконструировать этии пакеты в потоки HTTP. Это может потребовать много работы для выполнения простых исследований и здесь на помощь приходит Fiddler. Fiddler поможет обнаружить куки, сертификаты, и прочие полезные данные, отправляемые приложениями.

Fiddler является бесплатным и, так же, как Network Miner, он может быть запущен в Mono практически на любой операционной системе.
6 лучших программ для анализа сетевого трафика

Гаэлем Дюваль (Gaël Duval), создатель дистрибутива Mandrake Linux, объявил о разработке новой мобильной платформы Eelo, которая будет развиваться как некоммерческий проект, нацеленный на формирование функциональности в интересах пользователей, бережное отношение к данным и обеспечение конфиденциальности. Средства на разработку планируется собрать в рамках.

NVIDIA прекращает выпуск 32бит версий видеодрайвера для всех о.с.
NVIDIA To Stop Offering 32-bit Driver Support - Phoronix

Торгуешь в интернете? Будешь обязан принимать карты «Мир».

На рассмотрение в Госдуму РФ внесён законопроект № 346659-7 «О внесении изменения в статью 16.1 Закона Российской Федерации “О защите прав потребителей”».

Законопроект очень простой и состоит фактически из одного абзаца. Упомянутую статью закона «О защите прав потребителей» предлагается дополнить абзацем следующего содержания:

«Обязанность обеспечить возможность оплаты товаров (работ, услуг) с использованием национальных платёжных инструментов в рамках национальной системы платёжных карт распространяется на продавца (исполнителя), осуществляющего реализацию товаров (работ, услуг) с использованием информационно-телекоммуникационной сети “Интернет”, вне зависимости от объёма выручки указанного продавца (исполнителя) от реализации товаров (работ, услуг) за предшествующий календарный год»

В пояснительной записке авторы законопроекта объясняют, что в данный момент обязанность принимать карты «Мир» распространяется только на субъектов предпринимательской деятельности, у которых выручка за предыдущий год превысила 40 млн руб. Теперь обязанность принимать карты хотят распространить и на всех остальных, в том числе на мелких предпринимателей.

Из пояснительной записки видно, что главной целью законопроекта является принудить к приёму карты «Мир», как там написано, «значительное число микропредприятий, совокупная доля которых… варьируется в диапазоне 50

Instagram открыл код MonkeyType, системы аннотации типов для Python.

Сервис Instagram объявил об открытии исходных текстов проекта MonkeyType, в рамках которого разработана система для языка Python, позволяющая генерировать аннотации типов на основе сбора информации о типах переменных во время выполнения кода. Код открыт под лицензией BSD. Для работы требуется Python 3.6 (аннотации сохраняются в атрибуте __annotations__ , а не в комментариях) и опционально утилита retype для подстановки аннотаций в код.

Система была разработана как для упрощения понимания кода проектов новыми разработчиками, так и для автоматизированного выявления ошибок через применение статического анализа типов. Статический анализ имеет смысл только если большая часть кода снабжена сведениями о типах, но если для нового кода такая работа может быть выполнена вручную, то для старого кода и сторонних библиотек подобная задача оказалась не по силам и после ряда попыток анализа типов в модулях вручную было принято решение автоматизировать работу. В итоге была создана система MonkeyType.

Для сбора информации о типах применяется вызов sys.setprofile, предоставляемый в Python для перехвата событий вызова/завершения функций и результатов работы генераторов/yield. Вначале Python-приложение запускается под контролем MonkeyType в режиме трассировки, в ходе которой определяются типы аргументов и возвращаемых значений функций и методов во всех импортированных модулях. На основании полученных сведений формируется дамп трассировки (monkeytype.sqlite3), на базе которого затем могут быть сгенерированы файлы-заглушки (stub) для утилиты retype или выполнена подстановка черновых аннотаций типов прямо в исходные тексты.
Instagram открыл код MonkeyType, системы аннотации типов для Python

Разработчики проекта Xfce опубликовали новые выпуски панели xfce4-panel 4.12.2 и 4.13.2. Ветка 4.13 позиционируется как экспериментальная, используется для разработки Xfce 4.14 и отличается переходом на библиотеки GTK+3.

В версии xfce4-panel 4.13.2, помимо решения различных проблем в панели и плагинах к ней, добавлена поддержка интроспекции GObject, позволяющей создавать плагины к панели на различных языках программирования (например, на Python). Также обеспечена возможность встраивания диалога настройки в xfce4-settings-manager.

В версии xfce4-panel 4.12.2 добавлена поддержка установки первичного монитора ("primary monitor" в RandR) для панели. При установке параметра местоположения панели в "Output: Primary", панель будет динамически перемещена на монитор, помеченный первичным в настройках xfce4-display-settings.

Также доступен новый выпуск интерфейса управления питанием (xfce4-power-manager 1.6.1), в который включены исправления, накопившиеся за два года. Улучшена поддержка стационарных систем, для которых больше не показывается предупреждение об отсутствии аккумулятора. Добавлена фильтрация связанных с системой питания событий, передаваемых в xfce4-notifyd для отражения в логе (например, не передаются события изменения яркости).
Новые версии панели Xfce 4.12.2 и 4.13.2

Команда российских разработчиков SalesPlatform выпустила стабильный релиз популярной в СНГ свободной платформы автоматизации бизнеса - SalesPlatform Vtiger CRM 7.0.1-201711. SalesPlatform Vtiger CRM позволяет реализовать средства автоматизации продаж, в том числе формировать полный цикл первичных документов процесса продаж в соответствии с требованиями российского законодательства (Счета, Счета-фактуры, Накладные, Акты об оказанных услугах), а также предлагает дополнительные модули для управление складом, поддержки клиентов, управления проектами, интеграции с телефонией и т.п. Исходные тексты проекта распространяются под лицензией Vtiger Public License 1.2 (вариант Mozilla Public License 1.1).

Разработчики проекта Xfce опубликовали новые выпуски панели xfce4-panel 4.12.2 и 4.13.2. Ветка 4.13 позиционируется как экспериментальная, используется для разработки Xfce 4.14 и отличается переходом на библиотеки GTK+3.