Десктопный сетевой анализатор трафика: мониторинг подключений в реальном времени, геолокация хостов, идентификация программ и протоколов

Описание

Клиенту нужен был инструмент для мониторинга и анализа сетевого трафика на персональном компьютере — что-то на уровне Wireshark по функциональности, но с современным интерфейсом и удобной визуализацией для неподготовленного пользователя. Существующие решения либо слишком сложны (требуют знания пакетной структуры), либо закрыты и платны (GlassWire), либо устарели визуально.
Задача — разработать десктопное приложение, которое в реальном времени показывает все сетевые подключения компьютера, идентифицирует процессы и протоколы, определяет географию удалённых хостов и подсвечивает потенциально опасный трафик. При этом приложение должно работать без облака, не отправлять данные третьим лицам и оставаться лёгким для постоянного фонового мониторинга.

Решение

Разработал десктопный сетевой анализатор с полным циклом работы с трафиком — от низкоуровневого перехвата пакетов до визуализации и поведенческой аналитики.

Захват и обработка трафика:
• Выбор конкретного сетевого адаптера для прослушивания (Wi-Fi, Ethernet, виртуальные интерфейсы)
• Гибкая система фильтров, применяемых к захватываемому потоку
• Импорт и экспорт полных дампов в стандартном формате PCAP — совместимо с Wireshark, tcpdump и другими инструментами анализа

Идентификация и обогащение данных:
• База из 6000+ сигнатур протоколов, сервисов верхнего уровня, известных троянов и червей — каждое соединение сразу классифицируется
• Определение программы-источника трафика: пользователь видит, какое именно приложение шлёт данные
• Геолокация удалённых хостов с отображением страны и города
• Резолв доменных имён и определение ASN (автономной системы) для каждого внешнего узла
• Отдельная подсветка соединений внутри локальной сети
Визуализация и мониторинг:
• Графики интенсивности трафика в режиме реального времени (входящий/исходящий, по протоколам, по хостам)
• Сводная статистика: топ-хосты, топ-протоколы, объёмы по программам
• Поиск и фильтрация по любому полю активных подключений
• Работа в фоне со свёрнутым окном — постоянный мониторинг без нагрузки на внимание
Безопасность:
• Импорт пользовательских чёрных списков IP — соединения с такими адресами визуально выделяются
• Настраиваемые уведомления на сетевые события (новое соединение с подозрительным хостом, превышение трафика, обращение к адресу из чёрного списка и т.д.)
Кастомизация:
• Избранные хосты, сервисы и программы для быстрого доступа
• Темы оформления с поддержкой пользовательских стилей — приложение адаптируется под предпочтения пользователя

Результат

Получилось десктопное приложение, которое закрывает целый класс задач — от ежедневного мониторинга домашней сети до расследования подозрительной активности. Пользователь видит не сырые пакеты, как в классических снифферах, а понятную картину: какая программа куда стучится, насколько это нормально, где физически находится удалённый сервер.
Ключевые сценарии использования:
• Аудит безопасности — обнаружение программ, которые шлют данные на неизвестные серверы
• Контроль трафика — отслеживание реального потребления интернета по приложениям
• Расследование инцидентов — экспорт PCAP для последующего детального разбора в Wireshark
• Мониторинг локальной сети — кто подключён, какие устройства активны
Архитектура построена модульно: база сигнатур, источник геоданных и движок захвата изолированы друг от друга. Это позволяет обновлять каждый компонент независимо и легко добавлять новые форматы экспорта или источники данных.

Презентация проекта