[sage] Traffic protokollieren

Bernhard Schneck Bernhard_Schneck at genua.de
Fri May 22 13:04:44 CEST 2009


> wie kann ich unter Linux (debian) ein Protokoll bekommen, das
> mir für die letzten x (<72) Stunden

Hmmm ... rückwirkend ist blöd!

Da kannst du höchstens bei deinem Provider anrufen ... der
sollte wissen, was du die letzten 6 Monate getan hast :-)

> für jedes ein- und
> ausgehende Netzwerkpaket loggt - src (ip, port)
> - dest (ip, port)

Dafür nimmst du (wie Johannes geschrieben hat) tcpdump,
ich würde aber nicht das ganze Paket wegschreiben, sondern
nur die ersten 68 Bytes (wenn du wirklich nur saddr,daddr,
[tu]h_sport,[tu]h_dport haben willst ... ok, protocol
willst du wahrscheinlich auch noch, sonst weisst du ja
nicht, was die ports bedeuten bzw. ob's die überhaupt gibt!)

64 Bytes maximaler IP-Header (bei IPv4)
 4 Bytes maximaler upper-level-protocol Header bis zu der
   Stelle, wo spätestens die Ports stehen (TCP,UDP)

Der Rest (mögliche TCP-Options, Daten, etc) interessiert
dich ja laut deiner Aussage nicht.

OK, um verschiedene Programme bei der Auswertung etwas
glücklicher zu machen, nimm die ersten 84 Bytes, dann hast
du mindestens noch den ganzen TCP-Header dabei (ohne TCP
Options)

> - bei ausgehenden Paketen das sendende und bei eingehenden
> Paketen das empfangende Programm

Das ist etwas nicht-trivialer.

Schau dir mal als ALF-Modul von Anoubis an, das könnte dir
dabei helfen:

http://www.anoubis.org/index_4_de.html

Viel Erfolg,

\B.

PS: GeNUA entwickelt Anoubis seit einiger Zeit, das Projekt
    wurde auf dem BSI-Kongress vor 1 Woche der Öffentlichkeit
    vorgestellt.

PPS: Nein, das ALF-Modul kommt nicht von Melmak :-)



More information about the SAGE mailing list