Вот подробное изложение проблемы.
Клиенты жалуются на неизвестно куда уходящий трафик. Чтобы отследить его, мы запускаем на сервере (через который идет трафик клиентов - FreeBSD) tcpdump так:
tcpdump -w /файл куда записывать/ -n
Все красиво пишется и в результате в файле получается такое вот____________________________________________________________________
11:55:23.582647 IP 192.168.168.7.2878 > 81.176.228.22.80: . ack 4435 win 908 <nop,nop,timestamp 2500225 135724911>
11:55:23.606652 IP 192.168.168.7.2872 > 81.176.228.22.80: . ack 36697 win 4006 <nop,nop,timestamp 2500231 135724913>
11:55:23.721482 IP 205.188.9.50.5190 > 192.168.168.7.4107: P 1582:1623(41) ack 299 win 16384
11:55:23.721530 IP 192.168.168.7.4107 > 205.188.9.50.5190: . ack 1623 win 63124
11:55:23.923681 IP 81.176.228.22.80 > 192.168.168.7.2879: F 17863:17863(0) ack 846 win 62 <nop,nop,timestamp 135724950 2496559>
11:55:23.962647 IP 192.168.168.7.2879 > 81.176.228.22.80: . ack 17864 win 2719 <nop,nop,timestamp 2500320 135724950>
____________________________________________________________________
причем в огромном количестве. Задача - разобрать все это по полочкам и выудить то, что надо, отбросив лишнее. А надо узнать кто, что, во сколько скачал и сколько это весило. Непростая задача (для меня) - пока, используя WireShark (http://www.wireshark.org) для удобства, я могу по ДНС запросам увидеть кто на какие сайты ходил и только (и то половина запросов - это баннеры..) и все. Увидеть закачиваемый файл, а уж тем более его размер вообще не понимаю как. Прошу Вашей помощи. Как красиво разобрать файл tcpdump? Захват файла происходит на FreeBSD, разбор на Suse 10.2.
Спасибо заранее.
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(ok) on 09-Мрт-07, 12:52 
