URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 72751
[ Назад ]

Исходное сообщение
"Прочитать лог tcpdump"
Отправлено Seventh , 09-Мрт-07 12:52

Вот подробное изложение проблемы.
Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так:
tcpdump -w /файл куда записывать/ -n
Все красиво пишется и в результате в файле получается такое вот
____________________________________________________________________
11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp 2500225 135724911>
11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp 2500231 135724913>
11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win 16384
11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124
11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win 62 <nop,nop,timestamp 135724950 2496559>
11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp 2500320 135724950>
____________________________________________________________________
причем в огромном количестве. Задача - разобрать все это по полочкам и выудить то, что надо, отбросив лишнее. А надо узнать кто, что, во сколько скачал и сколько это весило. Непростая задача (для меня) - пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС запросам увидеть кто на какие сайты ходил и только (и то половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а уж тем более его размер вообще не понимаю как. Прошу Вашей помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD, разбор на Suse 10.2.
Спасибо заранее.

Содержание

Прочитать лог tcpdump,obl, 13:42 , 09-Мрт-07
Прочитать лог tcpdump,obl, 13:44 , 09-Мрт-07
- Прочитать лог tcpdump,Seventh, 13:59 , 09-Мрт-07
  - Прочитать лог tcpdump,obl, 16:39 , 09-Мрт-07
    - Прочитать лог tcpdump,jonjohn, 23:03 , 19-Авг-07

Сообщения в этом обсуждении

"Прочитать лог tcpdump"
Отправлено obl , 09-Мрт-07 13:42

>Вот подробное изложение проблемы.
>Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем
>на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так:
>
>tcpdump -w /файл куда записывать/ -n
>Все красиво пишется и в результате в файле получается такое вот
>
>____________________________________________________________________
>
>11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp 2500225 135724911>
>11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp 2500231 135724913>
>11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win 16384
>11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124
>11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win 62 <nop,nop,timestamp 135724950 2496559>
>11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp 2500320 135724950>
>
>____________________________________________________________________
>
>причем в огромном количестве. Задача - разобрать все это по полочкам и
>выудить то, что надо, отбросив лишнее. А надо узнать кто, что,
>во сколько скачал и сколько это весило. Непростая задача (для меня)
>- пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС
>запросам увидеть кто на какие сайты ходил и только (и то
>половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а
>уж тем более его размер вообще не понимаю как. Прошу Вашей
>помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD,
>разбор на Suse 10.2.
>Спасибо заранее.
ээ.. система биллинга на основе tcpdump? ето чтото новое...
есть же уйма вещей предназначенных специально для подсчета траффика
/usr/ports/net-mgmt/trafd
/usr/ports/net-mgmt/ipacctd

"Прочитать лог tcpdump"
Отправлено obl , 09-Мрт-07 13:44

>Вот подробное изложение проблемы.
>Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем
>на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так:
>
>tcpdump -w /файл куда записывать/ -n
>Все красиво пишется и в результате в файле получается такое вот
>
>____________________________________________________________________
>
>11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp 2500225 135724911>
>11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp 2500231 135724913>
>11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win 16384
>11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124
>11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win 62 <nop,nop,timestamp 135724950 2496559>
>11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp 2500320 135724950>
>
>____________________________________________________________________
>
>причем в огромном количестве. Задача - разобрать все это по полочкам и
>выудить то, что надо, отбросив лишнее. А надо узнать кто, что,
>во сколько скачал и сколько это весило. Непростая задача (для меня)
>- пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС
>запросам увидеть кто на какие сайты ходил и только (и то
>половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а
>уж тем более его размер вообще не понимаю как. Прошу Вашей
>помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD,
>разбор на Suse 10.2.
>Спасибо заранее.
для анализа сетевого трафика используется не tcpdump а snort...
tcpdump ето утилита для диагностики работы сети, но никак не для работы в виде демона :)
ээ.. система биллинга на основе tcpdump? ето чтото новое...
есть же уйма вещей предназначенных специально для подсчета траффика
/usr/ports/net-mgmt/trafd
/usr/ports/net-mgmt/ipacctd
/usr/ports/net/tcpflow
/usr/ports/net-mgmt/softflowd

"Прочитать лог tcpdump"
Отправлено Seventh , 09-Мрт-07 13:59

>
>для анализа сетевого трафика используется не tcpdump а snort...
>tcpdump ето утилита для диагностики работы сети, но никак не для работы
>в виде демона :)
>
>ээ.. система биллинга на основе tcpdump? ето чтото новое...
>есть же уйма вещей предназначенных специально для подсчета траффика
>/usr/ports/net-mgmt/trafd
>/usr/ports/net-mgmt/ipacctd
>/usr/ports/net/tcpflow
>/usr/ports/net-mgmt/softflowd

Спасибо большое. МНЕ это мало о чем говорит, но МЫ будем пробовать!

"Прочитать лог tcpdump"
Отправлено obl , 09-Мрт-07 16:39

>>
>>для анализа сетевого трафика используется не tcpdump а snort...
>>tcpdump ето утилита для диагностики работы сети, но никак не для работы
>>в виде демона :)
>>
>>ээ.. система биллинга на основе tcpdump? ето чтото новое...
>>есть же уйма вещей предназначенных специально для подсчета траффика
>>/usr/ports/net-mgmt/trafd
>>/usr/ports/net-mgmt/ipacctd
>>/usr/ports/net/tcpflow
>>/usr/ports/net-mgmt/softflowd
>
>
>Спасибо большое. МНЕ это мало о чем говорит, но МЫ будем пробовать!
>

забивай в поиск яндекса trafd.. и узнаешь намного больше
http://www.yandex.ru/yandsearch?text=trafd

"Прочитать лог tcpdump"
Отправлено jonjohn , 19-Авг-07 23:03

>[оверквотинг удален]
>>>/usr/ports/net/tcpflow
>>>/usr/ports/net-mgmt/softflowd
>>
>>
>>Спасибо большое. МНЕ это мало о чем говорит, но МЫ будем пробовать!
>>
>
>
>забивай в поиск яндекса trafd.. и узнаешь намного больше
>http://www.yandex.ru/yandsearch?text=trafd
мануал рулит
http://tcpdump.ru/man.html