[sage] Traffic protokollieren

Michele Catalano michele at catalano.de
Fri May 22 13:50:16 CEST 2009 

Gerd Aschemann schrieb:
> On Fri, May 22, 2009 at 01:00:16PM +0200, Martin Schrder wrote:
>   
>> Am 2009-05-22 schrieb Johannes Hubertz <johannes at hubertz.de>:
>>     
>>> tcpdump ist Dein Freund:
>>>
>>>  1.)
>>>  nohup tcpdump -n -p -i eth0 -s 1500 -w dmp.pcap &
>>>       
>> 1500? Ist das nicht etwas viel?
>>
>>     
>>>  2.) zu beliebigem spaeteren zeitpunkt:
>>>
>>>  killall -15 tcpdump
>>>
>>>  tcpdump -n -r dmp.pcap host ip1 or host ip2 and tcp port 23
>>>       
>> Danke,
>> funktioniert, liefert aber nicht den Namen des Programms. :-{
>>     
>
> Hmm, das ist auch schwierig: tcpdump protokolliert mit, was auf dem
> Netz passiert. Es weiss nicht, welcher Prozess auf dem Betriebssystem
> dahinter steht. Du koenntest jetzt mit identd herumexperimentieren ...
> weiss nicht, ob man das gescheit mit tcpdump verheiraten kann.
> Einfacher ist es moeglicherweise, ein kleines script mitlaufen zu
> lassen:
>
> while true
> do
>     netstat -anp | egrep '(tcp|udp)'
>     sleep 1
> done
>
>   
noch besser währe:

while true
do
    netstat -tulpen; netstat -puten
    sleep 1
done
> Die Option -p gibt dir (als root) immer noch mit aus, wer den jeweiligen
> Socket geoeffnet hat).
>
> Das ganze erzeugt natuerlich so sehr viel output (hast du eine grosse
> Platte?). Da kannst du sicher noch optimieren, z.B. mit perl: netstat
> regelmaessig aufrufen und output parsen und z.B. pro verwendetem Port
> (Hash) die oeffenenden/schliessenden "events" mit Uhrzeit/Programm
> wegschreiben.
>
>
> --
> Gerd Aschemann --- Veröffentlichen heißt Verändern (Carmen Thomas)
> +49/173/3264070 -- gerd at aschemann.net -- http://www.aschemann.net
>   
> ------------------------------------------------------------------------
>
> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> http://lists.guug.de/mailman/listinfo/sage
>   

Ciao Michele

-- 
Mit freundlichen Grüßen / with kind regards / distinti saluti

Michele Catalano
St.-Cajetan-Str. 1
81669 München

Tel.: 	+49 (0)89 762299
Fax: 	+49 (0)89 74747872
Mobil: 	+49 (0)160 96686174


eMail:  	michele at catalano.de <mailto:michele at catalano.de>
Web: 	http://www.catalano.de
GnuPG: 	 pub 1024D/0F28E57B 2003-10-21
880D 9AB3 846C 1AE9 AD8E  CCC5 1CD7 57AD 0F28 E57B
<http://www.catalano.de/index.php?id=41>

More information about the SAGE mailing list