URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 72751
[ Назад ]

Исходное сообщение
"Прочитать лог tcpdump"

Отправлено Seventh , 09-Мрт-07 12:52 
Вот подробное изложение проблемы.
Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так:
tcpdump -w /файл куда записывать/ -n
Все красиво пишется и в результате в файле получается такое вот

____________________________________________________________________

11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp 2500225 135724911>
11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp 2500231 135724913>
11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win 16384
11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124
11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win 62 <nop,nop,timestamp 135724950 2496559>
11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp 2500320 135724950>

____________________________________________________________________

причем в огромном количестве. Задача - разобрать все это по полочкам и выудить то, что надо, отбросив лишнее. А надо узнать кто, что, во сколько скачал и сколько это весило. Непростая задача (для меня) - пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС запросам увидеть кто на какие сайты ходил и только (и то половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а уж тем более его размер вообще не понимаю как. Прошу Вашей помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD, разбор на Suse 10.2.
Спасибо заранее.


Содержание

Сообщения в этом обсуждении
"Прочитать лог tcpdump"
Отправлено obl , 09-Мрт-07 13:42 
>Вот подробное изложение проблемы.
>Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем
>на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так:
>
>tcpdump -w /файл куда записывать/ -n
>Все красиво пишется и в результате в файле получается такое вот
>
>____________________________________________________________________
>
>11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp 2500225 135724911>
>11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp 2500231 135724913>
>11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win 16384
>11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124
>11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win 62 <nop,nop,timestamp 135724950 2496559>
>11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp 2500320 135724950>
>
>____________________________________________________________________
>
>причем в огромном количестве. Задача - разобрать все это по полочкам и
>выудить то, что надо, отбросив лишнее. А надо узнать кто, что,
>во сколько скачал и сколько это весило. Непростая задача (для меня)
>- пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС
>запросам увидеть кто на какие сайты ходил и только (и то
>половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а
>уж тем более его размер вообще не понимаю как. Прошу Вашей
>помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD,
>разбор на Suse 10.2.
>Спасибо заранее.

ээ.. система биллинга на основе tcpdump? ето чтото новое...
есть же уйма вещей предназначенных специально для подсчета траффика
/usr/ports/net-mgmt/trafd
/usr/ports/net-mgmt/ipacctd


"Прочитать лог tcpdump"
Отправлено obl , 09-Мрт-07 13:44 
>Вот подробное изложение проблемы.
>Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем
>на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так:
>
>tcpdump -w /файл куда записывать/ -n
>Все красиво пишется и в результате в файле получается такое вот
>
>____________________________________________________________________
>
>11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp 2500225 135724911>
>11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp 2500231 135724913>
>11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win 16384
>11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124
>11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win 62 <nop,nop,timestamp 135724950 2496559>
>11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp 2500320 135724950>
>
>____________________________________________________________________
>
>причем в огромном количестве. Задача - разобрать все это по полочкам и
>выудить то, что надо, отбросив лишнее. А надо узнать кто, что,
>во сколько скачал и сколько это весило. Непростая задача (для меня)
>- пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС
>запросам увидеть кто на какие сайты ходил и только (и то
>половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а
>уж тем более его размер вообще не понимаю как. Прошу Вашей
>помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD,
>разбор на Suse 10.2.
>Спасибо заранее.

для анализа сетевого трафика используется не tcpdump а snort...
tcpdump ето утилита для диагностики работы сети, но никак не для работы в виде демона :)

ээ.. система биллинга на основе tcpdump? ето чтото новое...
есть же уйма вещей предназначенных специально для подсчета траффика
/usr/ports/net-mgmt/trafd
/usr/ports/net-mgmt/ipacctd
/usr/ports/net/tcpflow
/usr/ports/net-mgmt/softflowd


"Прочитать лог tcpdump"
Отправлено Seventh , 09-Мрт-07 13:59 
>
>для анализа сетевого трафика используется не tcpdump а snort...
>tcpdump ето утилита для диагностики работы сети, но никак не для работы
>в виде демона :)
>
>ээ.. система биллинга на основе tcpdump? ето чтото новое...
>есть же уйма вещей предназначенных специально для подсчета траффика
>/usr/ports/net-mgmt/trafd
>/usr/ports/net-mgmt/ipacctd
>/usr/ports/net/tcpflow
>/usr/ports/net-mgmt/softflowd


Спасибо большое. МНЕ это мало о чем говорит, но МЫ будем пробовать!


"Прочитать лог tcpdump"
Отправлено obl , 09-Мрт-07 16:39 
>>
>>для анализа сетевого трафика используется не tcpdump а snort...
>>tcpdump ето утилита для диагностики работы сети, но никак не для работы
>>в виде демона :)
>>
>>ээ.. система биллинга на основе tcpdump? ето чтото новое...
>>есть же уйма вещей предназначенных специально для подсчета траффика
>>/usr/ports/net-mgmt/trafd
>>/usr/ports/net-mgmt/ipacctd
>>/usr/ports/net/tcpflow
>>/usr/ports/net-mgmt/softflowd
>
>
>Спасибо большое. МНЕ это мало о чем говорит, но МЫ будем пробовать!
>


забивай в поиск яндекса trafd.. и узнаешь намного больше
http://www.yandex.ru/yandsearch?text=trafd


"Прочитать лог tcpdump"
Отправлено jonjohn , 19-Авг-07 23:03 
>[оверквотинг удален]
>>>/usr/ports/net/tcpflow
>>>/usr/ports/net-mgmt/softflowd
>>
>>
>>Спасибо большое. МНЕ это мало о чем говорит, но МЫ будем пробовать!
>>
>
>
>забивай в поиск яндекса trafd.. и узнаешь намного больше
>http://www.yandex.ru/yandsearch?text=trafd

мануал рулит
http://tcpdump.ru/man.html