Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:mrezna_forenzika:bpf_tehnologija [2020/01/09 14:25]
ksalamun [Primjena u analizi mrežnog prometa]
+++ racfor_wiki:mrezna_forenzika:bpf_tehnologija [2024/12/05 12:24] (trenutno)
@@ Redak 84: / Redak 84: @@
 **opensnoop**
-Alat opensnoop prati operacije otvaranja datoteka (sistemski poziv //open//) i koristan je za otkrivanje podatkovnih i konfiguraicijskih datoteka te dnevnika. Moguće je otkriti i probleme uzrokovane učestalim otvaranjem datoteka. U nastavku je naveden primjer korištenja naredbe. U ispisu se može uočiti utjecaj naredbe ispis datoteke (cat) na testnu datoteku.
+Alat ''opensnoop '' prati operacije otvaranja datoteka (sistemski poziv ''open '') i koristan je za otkrivanje podatkovnih i konfiguraicijskih datoteka te dnevnika. Moguće je otkriti i probleme uzrokovane učestalim otvaranjem datoteka. U nastavku je naveden primjer korištenja naredbe. U ispisu se može uočiti utjecaj naredbe ispis datoteke (''cat '') na testnu datoteku.
 <code>
@@ Redak 98: / Redak 98: @@
 **scread**
-Pomoću alata scread moguće je pratiti operacije čitanja datoteka (sistemski poziv //read//). Ime datoteke dohvaća se iz tablice deskriptora datoteka.
+Pomoću alata ''scread '' moguće je pratiti operacije čitanja datoteka (sistemski poziv ''read ''). Ime datoteke dohvaća se iz tablice deskriptora datoteka.
 <code>
@@ Redak 112: / Redak 112: @@
 **filelife**
-Alat filelife služi za utvrđivanje vijeka trajanja datoteka za datoteke koje su stvorene tijekom praćenja. Ispisuje vrijeme proteklo od stvaranja datoteke do brisanja.
+Alat ''filelife '' služi za utvrđivanje vijeka trajanja datoteka za datoteke koje su stvorene tijekom praćenja. Ispisuje vrijeme proteklo od stvaranja datoteke do brisanja.
-Radi ilustracije u primjeru je naveden dio ispisa alata filelife tijekom prevođenja Linux jezgre. U ispisu se mogu uočiti privremene datoteke koje generira prevoditelj gcc.
+Radi ilustracije u primjeru je naveden dio ispisa alata ''filelife '' tijekom prevođenja Linux jezgre. U ispisu se mogu uočiti privremene datoteke koje generira prevoditelj gcc.
 <code>
@@ Redak 130: / Redak 130: @@
 U nastavku su navedeni uobičajeni koraci analize datotečnog sustava:
-. identifikacija montirane datotečne sustave (naredba df i [[http://man7.org/linux/man-pages/man8/mount.8.html|mount]])
+. identifikacija montirane datotečne sustave (naredba ''df '' i [[http://man7.org/linux/man-pages/man8/mount.8.html|mount]])
 . provjera kapaciteta montiranih datotečnih sustava
@@ Redak 138: / Redak 138: @@
 . pokrenuti alat [[http://www.brendangregg.com/blog/2014-07-25/opensnoop-for-linux.html|opensnoop]] kako bi se utvrdilo koje su datoteke otvorene
-. pokrenuti alat filelife radi provjere postoje li datoteke s kratkoročnom upotrebom
+. pokrenuti alat ''filelife '' radi provjere postoje li datoteke s kratkoročnom upotrebom
 . ispitati brzinu rada datotečnog sustava i utvrditi detalje o aktivnim procesima i datotekama (primjerice alat [[http://www.brendangregg.com/blog/2016-10-06/linux-bcc-ext4dist-ext4slower.html|ext4slower]])
@@ Redak 146: / Redak 146: @@
 . utvrditi udio pogodaka priručne memorije (alat [[http://www.brendangregg.com/blog/2014-12-31/linux-page-cache-hit-ratio.html|cachestat]])
-. usporediti brzinu logičkih i fizičkih ulazno/izlaznih operacija alatom vfsstat (pod pretpostavkom da je korištenje priručne memorije učinkovito, logičke operacije su očekivano brže).
+. usporediti brzinu logičkih i fizičkih ulazno/izlaznih operacija alatom ''vfsstat '' (pod pretpostavkom da je korištenje priručne memorije učinkovito, logičke operacije su očekivano brže).
@@ Redak 157: / Redak 157: @@
 **execsnoop**
-Alat execsnoop prati izvođenje novih procesa, a koristan je za detekciju kratkotrajnih procesa koje je teško uočiti korištenjem alata kao što je top.  U nastavku naveden je dio ispisa alata execsnoop pri pokretanju programskog okruženja //Xilinx Vivado//.
+Alat ''execsnoop '' prati izvođenje novih procesa, a koristan je za detekciju kratkotrajnih procesa koje je teško uočiti korištenjem alata kao što je ''top ''.  U nastavku je naveden dio ispisa alata execsnoop pri pokretanju programskog okruženja //Xilinx Vivado//.
 <code>
@@ Redak 170: / Redak 170: @@
 **runqlat**
-Alat runqlat služi za mjerenje latencije raspoređivača. Ova karakteristika korisna je za definiranje zasićenja procesora, stanja u kojem ima više zahtjeva za resursima nego što se može obraditi. Kao što je vidljivo u primjeru, rezultat naredbe je histogram koji pokazuje  koliko vremena dretve provedu u stanju čekanja. U ovom slučaju, dretve većinu vremena čekaju između 16 i 126 mikrosekundi.
+Alat ''runqlat '' služi za mjerenje latencije raspoređivača. Ova karakteristika korisna je za definiranje zasićenja procesora, stanja u kojem ima više zahtjeva za resursima nego što se može obraditi. Kao što je vidljivo u primjeru, rezultat naredbe je histogram koji pokazuje  koliko vremena dretve provedu u stanju čekanja. U ovom slučaju, dretve većinu vremena čekaju između 16 i 126 mikrosekundi.
 <code>
@@ Redak 210: / Redak 210: @@
 **sockstat**
-Pomoću alata sockstat moguće je ispisati statistiku priključaka uz broj sistemskih poziva vezanih uz priključke. Ispis se ponavlja za svaku proteklu sekundu. U ovom primjeru vidljivi su sistemski pozivi ''sock_sendmsg() '' i ''sock_recvmsg() ''.
+Pomoću alata ''sockstat '' moguće je ispisati statistiku priključaka uz broj sistemskih poziva vezanih uz priključke. Ispis se ponavlja za svaku proteklu sekundu. U ovom primjeru vidljivi su sistemski pozivi ''sock_sendmsg() '' i ''sock_recvmsg() ''.
-Ovaj alat pruža uvid u statistiku priključaka na visokoj razini i koristan je za pokretanje daljnje analize. U ispis je uključen i naziv ispitivača (engl. //probe//) kako bi se olakšala analiza. Primjerice, ako je uočen prevelik broj kprobe:sock_sendmsg() događaja, proces se može dohvatiti pomoću sljedeće naredbe:
+Ovaj alat pruža uvid u statistiku priključaka na visokoj razini i koristan je za pokretanje daljnje analize. U ispis je uključen i naziv ispitivača (engl. //probe//) kako bi se olakšala analiza. Primjerice, ako je uočen prevelik broj ''kprobe:sock_sendmsg() '' događaja, proces se može dohvatiti pomoću sljedeće naredbe:
 <code>
@@ Redak 225: / Redak 225: @@
 **sofamily**
-Alat sofamily omogućuje praćenje novih povezivanja na priključke putem sistemskih poziva accept i connect. Također, navodi se naziv procesa i obitelj adresa (IPv4 ili IPv6). Alat je koristan za detekciju neočekivane uporabe priključaka. U nastavku je naveden primjer korištenja ovog alata.
+Alat ''sofamily '' omogućuje praćenje novih povezivanja na priključke putem sistemskih poziva ''accept '' i ''connect ''. Također, navodi se naziv procesa i obitelj adresa (IPv4 ili IPv6). Alat je koristan za detekciju neočekivane uporabe priključaka. U nastavku je naveden primjer korištenja ovog alata.
 <code>
@@ Redak 236: / Redak 236: @@
 </code>
-U uglatim zagradama je navedeno redom: ime procesa, broj obitelji adresa te ime obitelji adresa, ukoliko je poznata. Ovakvo mapiranje brojeva adresnih obitelji specifično je za Linux i definirano je u zaglavlju include/linux/socket.h. U ovom primjeru je tijekom pokretanja alata bio aktivan web preglednik, stoga su vidljivi DNS zahtjevi.
+U uglatim zagradama je navedeno redom: ime procesa, broj obitelji adresa te ime obitelji adresa, ukoliko je poznata. Ovakvo mapiranje brojeva adresnih obitelji specifično je za Linux i definirano je u zaglavlju ''include/linux/socket.h ''. U ovom primjeru je tijekom pokretanja alata bio aktivan web preglednik, stoga su vidljivi DNS zahtjevi.
 **soprotocol**
-Pomoću alata soprotocol također je moguće pratiti nova povezivanja na priključke, ali osim naziva procesa navodi se i protokol koji je korišten.
+Pomoću alata ''soprotocol '' također je moguće pratiti nova povezivanja na priključke, ali osim naziva procesa navodi se i protokol koji je korišten.
 **socketio**
-Alat socektio omogućuje ispis količine ulazno/izlaznih transakcija na priključcima. Također, ispisuje se količina prenesenih podataka po pojedinom procesu i smjeru.
+Alat ''socektio '' omogućuje ispis količine ulazno/izlaznih transakcija na priključcima. Također, ispisuje se količina prenesenih podataka po pojedinom procesu i smjeru.
-U ovom primjeru proces systemd-resolve, PID 706, obavio je 10 pisanja s ukupno 364 okteta podataka. Podaci o čitanju i pisanju dobivaju se praćenjem jezgrenih funkcija sock_read_iter() i sock_write_iter() koje spadaju u [[https://www.oreilly.com/library/view/linux-device-drivers/0596000081/ch03s03.html|file_operations strukturu]] koja pripada pojedinom priključku.
+U ovom primjeru proces ''systemd-resolve '', PID 706, obavio je 10 pisanja s ukupno 364 okteta podataka. Podaci o čitanju i pisanju dobivaju se praćenjem jezgrenih funkcija ''sock_read_iter() '' i ''sock_write_iter() '' koje spadaju u [[https://www.oreilly.com/library/view/linux-device-drivers/0596000081/ch03s03.html|file_operations strukturu]] koja pripada pojedinom priključku.
 <code>

racfor_wiki/mrezna_forenzika/bpf_tehnologija.1578579959.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)