[sage] Traffic protokollieren
Gerd Aschemann
gerd at aschemann.net
Fri May 22 13:17:59 CEST 2009
On Fri, May 22, 2009 at 01:00:16PM +0200, Martin Schrder wrote:
> Am 2009-05-22 schrieb Johannes Hubertz <johannes at hubertz.de>:
> > tcpdump ist Dein Freund:
> >
> > 1.)
> > nohup tcpdump -n -p -i eth0 -s 1500 -w dmp.pcap &
>
> 1500? Ist das nicht etwas viel?
>
> > 2.) zu beliebigem spaeteren zeitpunkt:
> >
> > killall -15 tcpdump
> >
> > tcpdump -n -r dmp.pcap host ip1 or host ip2 and tcp port 23
>
> Danke,
> funktioniert, liefert aber nicht den Namen des Programms. :-{
Hmm, das ist auch schwierig: tcpdump protokolliert mit, was auf dem
Netz passiert. Es weiss nicht, welcher Prozess auf dem Betriebssystem
dahinter steht. Du koenntest jetzt mit identd herumexperimentieren ...
weiss nicht, ob man das gescheit mit tcpdump verheiraten kann.
Einfacher ist es moeglicherweise, ein kleines script mitlaufen zu
lassen:
while true
do
netstat -anp | egrep '(tcp|udp)'
sleep 1
done
Die Option -p gibt dir (als root) immer noch mit aus, wer den jeweiligen
Socket geoeffnet hat).
Das ganze erzeugt natuerlich so sehr viel output (hast du eine grosse
Platte?). Da kannst du sicher noch optimieren, z.B. mit perl: netstat
regelmaessig aufrufen und output parsen und z.B. pro verwendetem Port
(Hash) die oeffenenden/schliessenden "events" mit Uhrzeit/Programm
wegschreiben.
--
Gerd Aschemann --- Veröffentlichen heißt Verändern (Carmen Thomas)
+49/173/3264070 -- gerd at aschemann.net -- http://www.aschemann.net
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 186 bytes
Desc: not available
Url : http://lists.guug.de/pipermail/sage/attachments/20090522/174c18ee/attachment-0001.pgp
More information about the SAGE
mailing list