С учётом траффика собственно проблем нет.
Спасибо Гайдару подкинул пример PacketSniffa.zip от V2Software.
Там наблюдается сетевой интерфейс.
Видны все пакеты, исходящий и входящий Ай-Пи.
Всё хорошо при прямом соединении.
А как быть если:
1. Я соединился по ВПН. (пусть его IP 196.214.0.2)
2. образовался Виртуальный интерфейс (пусть Ip 10.0.0.2)
3. и я Проложил такой маршрут - все пакеты адресованные адресу напр 226.114.0.2 отправлять на виртуальный интерфейс (см выше его Ip 10.0.0.2 )
(для справки : Это можно сделать простой командой в ДОСе
ROUTE ADD 226.114.0.2 (как цель) MASK 255.255.255.255 10.0.0.2 (как GATEWAY) )
4. дальше я запускаю удалённое соединение RDP-1 которое настроено на мою цель - 226.114.0.2
5. повторяю пункты 3. и 4. для нескольких RDP-соединений.
В результате, через один ВПН работает несколько РДП соединений.
Внимание вопрос 1 :
Как посчитать траффик по каждому РДП соединению ?
Что выяснил пока сам:
Если вы попробуете проделать вышеуказанные пункты хотябы для 2-х РДП соединений и затем запустите сниффер с задачей наблюдать за Вашим сетевым интерфейсом то увидите чёткий входящий и исходящий траффик (но ВНИМАНИЕ) между Вашим сетевым интерфейсом и ВПН-Ай ПИ.
Однако что из этого трафика создал РДП-1 а что РДП-2 мы не видим.
Теперь попробуем понаблюдать за виртуальным интерфейсом.
УРА! Мы видим входящие пакеты и даже видим их отправителей - Ай-Пишники РДП-1 и РДП-2, НО мы не видим ни одного исходящего пакета !!!
Таким образом проблемы считать входящий траффик нету.
Вопрос 2 :
Как получить исходящий траффик ?
Вижу 2 способа решения
1. Всякий ВПН пакет есть обычный ТСП пакет в заголовке у которого заменены АйПи цели и отправителя на ВПН Ай Пи.
Поэтому сниффер и не может распознать кому на самом деле адресован пакет. В случае когда мы наблюдаем физический интерфейс - мы видим только до ВПН сервера.
(сетевухин АйПи-отправитель, ВПНАйПи-получатель)
Когда же мы наблюдаем виртуальный интерфейс - то видим входящий траффик, тк адрес виртуального интерфейса это и есть тот адрес который стоит на месте адреса получателя
в нормальном ТСП пакете, дальше ВПН вынимает из своего пакета нормальный ТСП и шлёт нам на сетевуху, но нас это уже не интересует. Входящий пакет мы ловим.
А исходящего не видим, т.к. Виртуальный интерфейс не является отправителем. (Отправитель - наша сетевуха, но её Ай Пи в этот момент уже внутри ВПН пакета /наверно/.)
Полагаю, если наблюдая за физической сетевухой и перехватывать пакеты, то можно внутри обнаружить, что помимо ВПН-АйПи стоящего на месте адресата глубже можно вырыть РДП-АйПи - тот АйПи куда пойдёт этот пакет дальше.
и таким образом отличать пакеты идущие на РДП-1 от идущих на РДП-2.
Вопрос 3 - реально ли изъять из ВПН пакета скрытый в нём цель-АйПи нормального ТСП пакета ?
Решение 2
Писать нДИС-драйвер, но это Си.
Пример есть в Майкрософт ДК,
но там целый Файрволл.
Может у кого есть примерчик по проще ?
Может даже на ВБ ?
Вопрос последний
У кого есть какие предложения по решению проблемы ?
Если непонятно изложил, задавайте вопросы.
Спасибо всем проявившим интерес