[sage] Traffic protokollieren
Thomas Fritzinger
thomas.fritzinger at fritzinger.com
Fri May 22 16:21:34 CEST 2009
On 05/22/2009 01:50 PM, Michele Catalano wrote:
> Gerd Aschemann schrieb:
>> On Fri, May 22, 2009 at 01:00:16PM +0200, Martin Schrder wrote:
>>
>>> Am 2009-05-22 schrieb Johannes Hubertz <johannes at hubertz.de>:
>>>
>>>> tcpdump ist Dein Freund:
>>>>
>>>> 1.)
>>>> nohup tcpdump -n -p -i eth0 -s 1500 -w dmp.pcap &
>>>>
>>> 1500? Ist das nicht etwas viel?
>>>
>>>
>>>> 2.) zu beliebigem spaeteren zeitpunkt:
>>>>
>>>> killall -15 tcpdump
>>>>
>>>> tcpdump -n -r dmp.pcap host ip1 or host ip2 and tcp port 23
>>>>
>>> Danke,
>>> funktioniert, liefert aber nicht den Namen des Programms. :-{
>>>
>> Hmm, das ist auch schwierig: tcpdump protokolliert mit, was auf dem
>> Netz passiert. Es weiss nicht, welcher Prozess auf dem Betriebssystem
>> dahinter steht. Du koenntest jetzt mit identd herumexperimentieren ...
>> weiss nicht, ob man das gescheit mit tcpdump verheiraten kann.
>> Einfacher ist es moeglicherweise, ein kleines script mitlaufen zu
>> lassen:
>>
>> while true
>> do
>> netstat -anp | egrep '(tcp|udp)'
>> sleep 1
>> done
>>
>>
> noch besser währe:
>
> while true
> do
> netstat -tulpen; netstat -puten
> sleep 1
> done
> [...]
Nur ein Detail, aber netstat kann selber 1 sec. continous mit '-c', es
bräuchte also keine extra Schleife. Somit geht das noch besser entweder so:
(netstat -tulpenc &);(netstat -putenc &)
oder gleich in Log-Dateien:
netstat -tulpenc >netstat-tulpenc.log </dev/null &
netstat -putenc >netstat-putenc.log </dev/null &
Wie sinnvoll das ist, und ob der von Florian vorgeschlagene Weg mit
iptables nicht eleganter ist, und ob der source-Port von nmap bei ner
DOS-Analyse nicht ausreicht, ist ein anderes Thema.
Gruss
Thomas
More information about the SAGE
mailing list