Freesco, NND, CDN, EOS

Witam, moze jakas mala podpowiedz jak uruchomic ethereal na nnd ?

pozdrawiam.

Zobacz tutaj: http://www.ethereal.com/ NND to router, nie stacja robocza. Ethereal wymaga graficznego środowiska pracy. Zainstaluj sobie Ethereal'a na innej maszynie i tam analizuj log'i.

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...

a .. no wlasnie .. spoczko dzieki za odpowiedz .. pozdrawiam adi!

kombinując pod konsolą ... wykombinowalem ze mozna te pliki odczytac za po moca tcpdumpa .. tcpdump -r tcp-syn.dmp |more mozna sobie wygrepowac konkretnego usera .. itp .. zawsze to jakies wyjscie
swoja droga .. od 8 to dziala u mnie .. a plik ma juz 5 mega .. 120 uzytkownikow robi swoje .. ciekawe jak to bedzie wygladalo w godzinach szczytu .. pozdrowka!

Przy ponad 80 osobach - po spakowaniu plik nie przekroczył mi dziennie 7,5MB - także licz na 10 -12 MB/dzień max (dane z ponad 2 tygodni) - to nie tragedia.

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...

a jak to wylaczyc?

Normalnie - na przykład: killall tcpdump

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...

Witam,

zapodalem te 2 skrypty wszystko ladnie smiga, ale po zaimportowaniu do ethereal logu wyswietla mi parametry polaczenia jakies tam wartosci nawiazywanych polaczen i nie widze np. jaki plik w danej chwili ktos pobral z www czy pliki ze stron. Czy ja cos zle robie czy poprostu tak ma byc ?

_________________
Pozdrawiam,

VajruS

a nie prosciej zrobic to jednym plikiem uruchamianym przy starcie nnd i okresowo w cronie np. o 5 godzinie ?



a nastepnie po przekopiowaniu spakowanego pliku pod mc do innego lub nie, katalogu zdekodowac zawarte w nim dane ( troche to trwa na celeronie 500 )



i wygrepowac sobie interesujace nas dane



pozostaje wowczas wyedytowac utworzony plik "wynik" i patrzec czy przypadkiem nie ma adresu http://gole.dupy.com.pl

ja mam takie cus:


Dziala dobrze i loguje wszystko w przyjazny sposob - da sie czytac bez programow

_________________
GG

można bardziej rożwinąć temat tego skryptu ?

Mnie zastanawia taka sprawa: Zauważyłem, że pakiety generowane przez tcpdump są zapisywane do pliku porcjami (bodajże po 64kB). Domyślam się, że dane mające trafić do pliku są najpierw przechowywane w jakimś buforze i jak się uzbiera odpowiednia porcja, wykonywana jest operacja zapisu. I teraz czy "ubicie" tcpdumpa przez 'killall tcpdump' nie powoduje, że część pakietów (czyli to, co jest w buforze i jeszcze nie zostało zaisane) zostanie utracona?
Zdaję sobie sprawę, że nawet gdyby tak było to nie jest to duży problem, ale ciekawi mnie czy tak właśnie jest.

A mnie log po 4 minutach zajmuje 6mega i wszystko jest przepisane jak trzeba

_________________
Nie ma takich rzeczy na świecie, których nie możnaby naprawić odpowiednią ilością taśmy klejącej
WWW.PANET.PL

EDIT:
U mnie plik tcp-syn zajmuje już 24MB, wczoraj zrobił mi jeden plik tar i zajmuje 2MB.

_________________
Nie ma takich rzeczy na świecie, których nie możnaby naprawić odpowiednią ilością taśmy klejącej
WWW.PANET.PL

Jak wpisałem to u siebie to mi wywala:
tcpdump: no process killed
tcpdump: syntax error
tar: Removing leading '/' from member names

Sprawdzałem chyba z 10 razy czy poprawnie przepisałem

kurde felek , przepisywałeś ?? nie lepiej było skopiować ??

a co ci się pokazuje po tym poleceniu :
pacman -Q tcpdump

jeśli coś takiego :
Pakiet "tcpdump" nie został znaleziony.

To musisz zainstalować :
pacman -S tcpdump

Zgadza sie. Skrypt zabija stare procesy tcpdump, jesli istnieja. Jesli nie, to wywala wlasnie taki blad

Cos masz ze skladnia.

Zgadza sie. Tar, gdy pakuje pliki, to usuwa znak '/' ze sciezki.


Nie przepisuj skryptu, tylko zaznacz go prawym, skopiuj. Potem wejdz przez putty na serwer, utworz plik poleceniem 'touch logpakietow', potem 'chmod +x logpakietow', potem wejdz w 'mc', edytuj ten plik wciskajac F4, przytrzymaj shift i kliknij prawym przyciskiem. Skrypt przekopiuje sie wlasnie do tego pliku. Potem tylko F2 (zapisz), wyjdz z pliku i dodaj go do crona.

_________________
GG

Witam.

Mam taki problem z tcpdump.

W serwerku mam 5 kart sieciowych (1-Wan; 4xLan od eth1 do eth4)

1. Utworzyłem sobie katalog /logi a w nim katalog dla każdego eth.
2. Zrobiłem skrytpy w cron.daily oraz w rc.d
3. Uruchomiłem logowanie i wszystko jeszcze do tego czasu jest ok
4. Paczka tar.gz zrobiła się ale tutaj jest problem
5. Po zrobieniu paczki tcpdump nie loguje już dalej

Zrobiłem tak:
Do crona dodałem wpisy:
04 00 * * * tcpdump -i eth1 tcp [13] == 2 -w /home/logi/eth1/tcp-syn.dmp &
08 00 * * * tcpdump -i eth2 tcp [13] == 2 -w /home/logi/eth2/tcp-syn.dmp &
12 00 * * * tcpdump -i eth3 tcp [13] == 2 -w /home/logi/eth3/tcp-syn.dmp &
16 00 * * * tcpdump -i eth4 tcp [13] == 2 -w /home/logi/eth4/tcp-syn.dmp &


Pytanie moje takie:

Jest jakieś inne rozwiązanie tego problemu lub można to zrobić inaczej a jednocześnie mądrzej??

Pozdrawiam:
Miłosz K.

Mam pytanko do gg123456 używam tego skryptu od ciebie ale ja tam nie wiedze wszystkich danych potrzebnych np. do zlokalizowania użytkownika, nie mam np. IP gościa z mojej sieci,chyba że nie widze dobrze
Krótki wycinek logu:
05:03:11.089408 IP avp102.internetdsl.tpnet.pl.4530 > 232.Red-83-46-142.dynamicIP.rima-tde.net.4662: S 3652802490:3652802490(0) win 16384 <mss 1460,nop,nop,sackOK>
05:03:12.266921 IP 60.162.181.239.3725 > avp100.internetdsl.tpnet.pl.4662: S 128396073:128396073(0) win 14600 <mss 1440,nop,nop,nop,sackOK>
05:03:14.094029 IP avp102.internetdsl.tpnet.pl.4531 > hoas-fe2cdd00-18.dhcp.inet.fi.4662: S 3653600799:3653600799(0) win 16384 <mss 1460,nop,nop,sackOK>

Jeśli się myle to poprawcie mnie.

nie na tym interfejsie słuchasz dlatego niewidzisz.