forum.opennet.ru

Составление сообщения

Исходное сообщение

"Прочитать лог tcpdump"
Отправлено Seventh, 09-Мрт-07 12:52

Вот подробное изложение проблемы.
Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так:
tcpdump -w /файл куда записывать/ -n
Все красиво пишется и в результате в файле получается такое вот
____________________________________________________________________
11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp 2500225 135724911>
11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp 2500231 135724913>
11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win 16384
11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124
11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win 62 <nop,nop,timestamp 135724950 2496559>
11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp 2500320 135724950>
____________________________________________________________________
причем в огромном количестве. Задача - разобрать все это по полочкам и выудить то, что надо, отбросив лишнее. А надо узнать кто, что, во сколько скачал и сколько это весило. Непростая задача (для меня) - пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС запросам увидеть кто на какие сайты ходил и только (и то половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а уж тем более его размер вообще не понимаю как. Прошу Вашей помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD, разбор на Suse 10.2.
Спасибо заранее.

Исходное сообщение
"Прочитать лог tcpdump" Отправлено Seventh, 09-Мрт-07 12:52
Вот подробное изложение проблемы. Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так: tcpdump -w /файл куда записывать/ -n Все красиво пишется и в результате в файле получается такое вот ____________________________________________________________________ 11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp 2500225 135724911> 11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp 2500231 135724913> 11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win 16384 11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124 11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win 62 <nop,nop,timestamp 135724950 2496559> 11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp 2500320 135724950> ____________________________________________________________________ причем в огромном количестве. Задача - разобрать все это по полочкам и выудить то, что надо, отбросив лишнее. А надо узнать кто, что, во сколько скачал и сколько это весило. Непростая задача (для меня) - пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС запросам увидеть кто на какие сайты ходил и только (и то половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а уж тем более его размер вообще не понимаю как. Прошу Вашей помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD, разбор на Suse 10.2. Спасибо заранее.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Вот подробное изложение проблемы. > Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем > на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так: > tcpdump -w /файл куда записывать/ -n > Все красиво пишется и в результате в файле получается такое вот > ____________________________________________________________________ > 11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp > 2500225 135724911> > 11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp > 2500231 135724913> > 11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win > 16384 > 11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124 > 11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win > 62 <nop,nop,timestamp 135724950 2496559> > 11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp > 2500320 135724950> > ____________________________________________________________________ > причем в огромном количестве. Задача - разобрать все это по полочкам и > выудить то, что надо, отбросив лишнее. А надо узнать кто, что, > во сколько скачал и сколько это весило. Непростая задача (для меня) > - пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС > запросам увидеть кто на какие сайты ходил и только (и то > половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а > уж тем более его размер вообще не понимаю как. Прошу Вашей > помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD, > разбор на Suse 10.2. > Спасибо заранее.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру