The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Прочитать лог tcpdump"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Прочитать лог tcpdump"  
Сообщение от Seventh email(ok) on 09-Мрт-07, 12:52 
Вот подробное изложение проблемы.
Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так:
tcpdump -w /файл куда записывать/ -n
Все красиво пишется и в результате в файле получается такое вот

____________________________________________________________________

11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp 2500225 135724911>
11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp 2500231 135724913>
11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win 16384
11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124
11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win 62 <nop,nop,timestamp 135724950 2496559>
11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp 2500320 135724950>

____________________________________________________________________

причем в огромном количестве. Задача - разобрать все это по полочкам и выудить то, что надо, отбросив лишнее. А надо узнать кто, что, во сколько скачал и сколько это весило. Непростая задача (для меня) - пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС запросам увидеть кто на какие сайты ходил и только (и то половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а уж тем более его размер вообще не понимаю как. Прошу Вашей помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD, разбор на Suse 10.2.
Спасибо заранее.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Прочитать лог tcpdump"  
Сообщение от obl (ok) on 09-Мрт-07, 13:42 
>Вот подробное изложение проблемы.
>Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем
>на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так:
>
>tcpdump -w /файл куда записывать/ -n
>Все красиво пишется и в результате в файле получается такое вот
>
>____________________________________________________________________
>
>11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp 2500225 135724911>
>11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp 2500231 135724913>
>11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win 16384
>11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124
>11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win 62 <nop,nop,timestamp 135724950 2496559>
>11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp 2500320 135724950>
>
>____________________________________________________________________
>
>причем в огромном количестве. Задача - разобрать все это по полочкам и
>выудить то, что надо, отбросив лишнее. А надо узнать кто, что,
>во сколько скачал и сколько это весило. Непростая задача (для меня)
>- пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС
>запросам увидеть кто на какие сайты ходил и только (и то
>половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а
>уж тем более его размер вообще не понимаю как. Прошу Вашей
>помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD,
>разбор на Suse 10.2.
>Спасибо заранее.

ээ.. система биллинга на основе tcpdump? ето чтото новое...
есть же уйма вещей предназначенных специально для подсчета траффика
/usr/ports/net-mgmt/trafd
/usr/ports/net-mgmt/ipacctd

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Прочитать лог tcpdump"  
Сообщение от obl (ok) on 09-Мрт-07, 13:44 
>Вот подробное изложение проблемы.
>Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем
>на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так:
>
>tcpdump -w /файл куда записывать/ -n
>Все красиво пишется и в результате в файле получается такое вот
>
>____________________________________________________________________
>
>11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp 2500225 135724911>
>11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp 2500231 135724913>
>11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win 16384
>11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124
>11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win 62 <nop,nop,timestamp 135724950 2496559>
>11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp 2500320 135724950>
>
>____________________________________________________________________
>
>причем в огромном количестве. Задача - разобрать все это по полочкам и
>выудить то, что надо, отбросив лишнее. А надо узнать кто, что,
>во сколько скачал и сколько это весило. Непростая задача (для меня)
>- пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС
>запросам увидеть кто на какие сайты ходил и только (и то
>половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а
>уж тем более его размер вообще не понимаю как. Прошу Вашей
>помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD,
>разбор на Suse 10.2.
>Спасибо заранее.

для анализа сетевого трафика используется не tcpdump а snort...
tcpdump ето утилита для диагностики работы сети, но никак не для работы в виде демона :)

ээ.. система биллинга на основе tcpdump? ето чтото новое...
есть же уйма вещей предназначенных специально для подсчета траффика
/usr/ports/net-mgmt/trafd
/usr/ports/net-mgmt/ipacctd
/usr/ports/net/tcpflow
/usr/ports/net-mgmt/softflowd

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Прочитать лог tcpdump"  
Сообщение от Seventh email(ok) on 09-Мрт-07, 13:59 
>
>для анализа сетевого трафика используется не tcpdump а snort...
>tcpdump ето утилита для диагностики работы сети, но никак не для работы
>в виде демона :)
>
>ээ.. система биллинга на основе tcpdump? ето чтото новое...
>есть же уйма вещей предназначенных специально для подсчета траффика
>/usr/ports/net-mgmt/trafd
>/usr/ports/net-mgmt/ipacctd
>/usr/ports/net/tcpflow
>/usr/ports/net-mgmt/softflowd


Спасибо большое. МНЕ это мало о чем говорит, но МЫ будем пробовать!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Прочитать лог tcpdump"  
Сообщение от obl (ok) on 09-Мрт-07, 16:39 
>>
>>для анализа сетевого трафика используется не tcpdump а snort...
>>tcpdump ето утилита для диагностики работы сети, но никак не для работы
>>в виде демона :)
>>
>>ээ.. система биллинга на основе tcpdump? ето чтото новое...
>>есть же уйма вещей предназначенных специально для подсчета траффика
>>/usr/ports/net-mgmt/trafd
>>/usr/ports/net-mgmt/ipacctd
>>/usr/ports/net/tcpflow
>>/usr/ports/net-mgmt/softflowd
>
>
>Спасибо большое. МНЕ это мало о чем говорит, но МЫ будем пробовать!
>


забивай в поиск яндекса trafd.. и узнаешь намного больше
http://www.yandex.ru/yandsearch?text=trafd

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Прочитать лог tcpdump"  
Сообщение от jonjohn (??) on 19-Авг-07, 23:03 
>[оверквотинг удален]
>>>/usr/ports/net/tcpflow
>>>/usr/ports/net-mgmt/softflowd
>>
>>
>>Спасибо большое. МНЕ это мало о чем говорит, но МЫ будем пробовать!
>>
>
>
>забивай в поиск яндекса trafd.. и узнаешь намного больше
>http://www.yandex.ru/yandsearch?text=trafd

мануал рулит
http://tcpdump.ru/man.html


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру