- Статистика колличества активных соединений, VolanD, 06:03 , 20-Июл-12 (1)
> Как можно определить, у кого из пользователей больше всего tcp, udp соединений. > sh ip nat translations - показывает все соединения, а возможно как то > через RSH на FreeBsd, написать какой то запрос (извините не силен > в этом), что бы посмотреть кто допустим сидит с включенным torrent. > /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra| grep 192.168.0.1 | > wc -l > покажет количество соединений только для 192.168.0.1 > Смог сделать только через grep, но так нужно перебирать все адреса. > подскажите...А как вы по портам поймете, что это торрент? Я бы сделал через NetFlow
- Статистика колличества активных соединений, eek, 06:28 , 20-Июл-12 (2)
> А как вы по портам поймете, что это торрент? Я бы сделал > через NetFlow фываА как вы по netflow поймете что это торрент? Насколько я знаю, без DPI в той или иной реализации, точно это сделать не представляется возможным. Для меня это не праздный интерес, если есть метод расскажите. Ибо netflow как не крути значительно дешевле DPI на широком канале.
- Статистика колличества активных соединений, VolanD, 06:30 , 20-Июл-12 (3)
>> А как вы по портам поймете, что это торрент? Я бы сделал >> через NetFlow фыва > А как вы по netflow поймете что это торрент? > Насколько я знаю, без DPI в той или иной реализации, точно это > сделать не представляется возможным. Для меня это не праздный интерес, если > есть метод расскажите. Ибо netflow как не крути значительно дешевле DPI > на широком канале.Сорри, неверно выразился. Я хотел сказать, что автору будет тяжело отловить торрент. Но то что он хочет сделать (а именно видеть куда и кто ходит)- я бы сделал через NetFlow.
- Статистика колличества активных соединений, kolyaniust, 10:02 , 20-Июл-12 (4)
>>> А как вы по портам поймете, что это торрент? Я бы сделал >>> через NetFlow фыва >> А как вы по netflow поймете что это торрент? >> Насколько я знаю, без DPI в той или иной реализации, точно это >> сделать не представляется возможным. Для меня это не праздный интерес, если >> есть метод расскажите. Ибо netflow как не крути значительно дешевле DPI >> на широком канале. > Сорри, неверно выразился. Я хотел сказать, что автору будет тяжело отловить торрент. > Но то что он хочет сделать (а именно видеть куда и > кто ходит)- я бы сделал через NetFlow.Согласен отловить торрент тяжело, но по статическим данным почти всегда он установлен и включен у того, у кого на данный момент огромное количество tcp соединений, если идет кач. Хотя это не факт, но практически так всегда и бывает. Задача стоит не видеть куда кто ходит, а посмотреть у кого из пользователей самое большое количество tcp сессий.
- Статистика колличества активных соединений, McS555, 10:20 , 20-Июл-12 (5)
> Как можно определить, у кого из пользователей больше всего tcp, udp соединений. > sh ip nat translations - показывает все соединения, а возможно как то > через RSH на FreeBsd, написать какой то запрос (извините не силен > в этом), что бы посмотреть кто допустим сидит с включенным torrent. > /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra| grep 192.168.0.1 | > wc -l > покажет количество соединений только для 192.168.0.1 > Смог сделать только через grep, но так нужно перебирать все адреса. > подскажите...Ну если просто в данный момент посмотреть, то можно на самой цыске отсортировать show ip nat translations | include 192.168.0.25 Можно по портам. А можно и по адресу и по порту
- Статистика колличества активных соединений, kolyaniust, 11:17 , 20-Июл-12 (6)
>[оверквотинг удален] >> в этом), что бы посмотреть кто допустим сидит с включенным torrent. >> /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra| grep 192.168.0.1 | >> wc -l >> покажет количество соединений только для 192.168.0.1 >> Смог сделать только через grep, но так нужно перебирать все адреса. >> подскажите... > Ну если просто в данный момент посмотреть, то можно на самой цыске > отсортировать > show ip nat translations | include 192.168.0.25 > Можно по портам. А можно и по адресу и по порту Так покажет все соединения по адресу 192.168.0.25 , но не количество. а так /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra| grep 192.168.0.1 | wc -l 2546 - количество
- Статистика колличества активных соединений, stereoPANDA, 12:19 , 20-Июл-12 (7)
Если сможете куда-нибудь(paste.org) скинуть весь вывод: /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra B я вам навояю скрипт. (Интерес - спортивный.)
- Статистика колличества активных соединений, kolyaniust, 13:08 , 20-Июл-12 (8)
> Если сможете куда-нибудь(paste.org) скинуть весь вывод: > /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra > B я вам навояю скрипт. > (Интерес - спортивный.) на paste.org, не получилось, отослал вам файлом на почту. Буду ждать результаты спортивного интереса ))) За ранее Благодарю!!!
- Статистика колличества активных соединений, stereoPANDA, 13:44 , 20-Июл-12 (9) +1
> на paste.org, не получилось, отослал вам файлом на почту.А у меня получилось - http://paste.org/51919 Вот строчка: for IP in 192.168.0.{1..255}; do echo $IP $(cat nat | grep $IP | wc -l); done | sed '/0$/d' | awk '{if ($2 > 40) {print $0, "TORRENT" }}' 1. Создаю цикл по пулу IP адресов(пул поменяй, если у тебя не такой): for IP in 192.168.0.{1..255} 2. Вывод хочу видеть таким: "IP пробел колличество соединений": do echo $IP $(cat nat | grep $IP | wc -l); done (Тут вместо "cat nat" тебе нужно сделать "/usr/bin/rsh -l root 192.168.0.25 sh ip nat tra") 3. Вырезаю все строки, где кол. соединений = 0: sed '/0$/d' 4. Для тех строк, где кол. соединений > 40 печать этих строк и через пробел алярма (= : awk '{if ($2 > 40) {print $0, "TORRENT" }}' Ну и вывод получается таким: [root@zabbix ~]# for IP in 192.168.0.{1..255}; do echo $IP $(cat nat | grep $IP | wc -l); done | sed '/0$/d' | awk '{if ($2 > 40) {print $0, "TORRENT" }}' 192.168.0.1 41 TORRENT 192.168.0.2 45 TORRENT 192.168.0.11 41 TORRENT 192.168.0.20 45 TORRENT 192.168.0.111 41 TORRENT Занавес.
- Статистика колличества активных соединений, kolyaniust, 15:36 , 20-Июл-12 (10)
Огромнейшее спасибо за скрипт, он теперь у меня очень часто будет применяться. 2 торрента уже обезврежено.
- Статистика колличества активных соединений, stereoPANDA, 15:39 , 20-Июл-12 (11)
- Статистика колличества активных соединений, tashmen, 13:21 , 07-Фев-18 (12)
> Всегда пожалуйста.Подниму тему. Спасибо за скрипт, но лучше доработать, т.к. например если качает IP 192.168.0.153 то в выводе появляются несуществующие 192.168.0.1 192.168.0.15 (т.е. производные от 153 1-15-153) Так же и у Вас в выводе 1-11-111 Нужно заменить "grep $IP" на "grep $IP -w"
|