From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <hmepas@yauza.ru>
Message-ID: <406307C1.4080003@yauza.ru>
Date: Thu, 25 Mar 2004 19:24:33 +0300
From: "Pavel S. Khmelinsky" <hmepas@yauza.ru>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.4) Gecko/20030710
X-Accept-Language: ru, en-us, en
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] Reverse DNS records database creation
References: <40619CE4.4000609@yauza.ru> <263900537.20040325182429@post.ural.ru>
In-Reply-To: <263900537.20040325182429@post.ural.ru>
X-Enigmail-Version: 0.76.1.0
X-Enigmail-Supports: pgp-inline, pgp-mime
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.4
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <http://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Thu, 25 Mar 2004 16:24:33 -0000
Archived-At: <http://lore.altlinux.org/community/406307C1.4080003@yauza.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Alexander Leschinsky wrote:
> Hello Pavel,
> 
>    On Wed, 24 Mar 2004 17:36:20 +0300 (24.03.2004 19:36 my local time),
>    received Wednesday, March 24, 2004 at 21:07:09,
>    you wrote about "[Comm] Reverse DNS records database creation"
>    at least in part:
> 
> 
>>То что выдает на этот счет tcpdump  довольно сложно 
>>парсить.
> 
> Я где-то в свое время видел фронтенд к tcpdump - "дампы с человеческим
> лицом"
Дело даже не в человеческом лице. А в самом протоколе:
Клиент посылает запрос, сервер посылает ответ причем в ответе не 
сказано на какой запрос этот ответ
19:17:42.652722 > 192.168.2.10.32771 > ns.demos.su.domain: 43129+ 
PTR? 9.0.87.194.in-addr.arpa. (41) (DF)
19:17:42.725009 < ns.demos.su.domain > 192.168.2.10.32771: 43129* 
1/3/5 PTR ns.demos.su. (221)
клиент то понимает на какой вопрос ему ответили, т.к. сервер 
ответил ему в рамках того же соединения которым был послан запрос.
А вот если писать под это парсер то придется учитывать номера 
пакетов, а это уже будет не самый тривиальный парсер. Сомневаюсь 
что front-end к tcpdump поможет решить эту проблему, хотя 
попробую поискать в этом направлении.
Идеальным решением на мой взгляд был бы патч к бинду.
> 
> Только учти, что если дампить все, что никакого винта не хватит
> "локальное зеркало интернета" получится через некоторое время
У меня достаточно опыта чтобы судить об объемах при хранении 
трафика в разных форматах, но к вопросу это имеет мало отношения.