Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2016-02-11 14:07:38

  Przemekb88 - Nowy użytkownik

Przemekb88
Nowy użytkownik
Zarejestrowany: 2016-02-11

Tcpdump i zapis do logów

Witam. Chciałbym używając tcpdump logować ruch sieciowy, ale byłby on zapisywany z całego dnia oraz trzymane byłyby logi tylko z trzech ostatnich dni (starsze ma usuwać). Nazwy plików rzecz jasna powinny zawierać datę utworzenia. Potrzebny mi jest skrypt, a użyłem wyłącznie prostego polecenia:

Kod:

tcpdump > logi.log -i eth0 -n &

Ostatnio edytowany przez Przemekb88 (2016-02-11 14:09:18)

Offline

 

#2  2016-02-11 16:04:06

  jurgensen - Użytkownik

jurgensen
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2010-01-26

Re: Tcpdump i zapis do logów

Możesz do tego użyć logrotate. NIe wiem tylko czy tcpdumpjest tu dobrym rozwiązaniem. Jeżeli wystatarczają Ci tylke te dane, które dostarcza tcpdump z opcjami które podałeś (czyli adresy IP, numery portów, opcje tcp) to może lepiej logować przez iptables. Jeśli chciałbyś logować zawartość pakietów (żeby np. zrobić analizę w Wiresharku) powinieneś użyć opcji -w. Pamiętaj tylko, że wtedy pliki ważą tylke, co dane przesyłane przez sieć (np. ktoś będzie pobierał obraz 3GB, to tyle zapisze się w pliku + nagłówki), oczywiści możesz przycinać zapisywany pakiet przez -s.

Jeśli jednak chcesz logować te podstawowe informacje, to tcpdump + log rotate (kiepskie rozwiązanie moim zdaniem) albo logowanie przez iptables (zużywa mniej zasobów, bardziej niezawodne)

Offline

 

#3  2016-02-11 16:32:56

  Przemekb88 - Nowy użytkownik

Przemekb88
Nowy użytkownik
Zarejestrowany: 2016-02-11

Re: Tcpdump i zapis do logów

Byłbym wdzięczny, gdyby ktokolwiek zechciał zrobić log rotate z tcpdump lub iptables (jest mi to obojętne, która opcja). Co do zawartości pakietów do analizy w Wiresharku to nie jest mi to potrzebne. Chcę log rotate tak jak napisałem w pierwszym poście (aby trzymał ostatnie 3 dni logów).

Offline

 

#4  2016-02-11 16:47:01

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Tcpdump i zapis do logów

2710

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:34:25)

Offline

 

#5  2016-02-11 17:30:05

  Przemekb88 - Nowy użytkownik

Przemekb88
Nowy użytkownik
Zarejestrowany: 2016-02-11

Re: Tcpdump i zapis do logów

Ok fajnie spoko, lecz nie za bardzo ogarniam skonfigurowanie tego.

Offline

 

#6  2019-08-28 02:16:40

  Pestka_she - Nowy użytkownik

Pestka_she
Nowy użytkownik
Zarejestrowany: 2019-08-28

Re: Tcpdump i zapis do logów

Cześć,mam pytanie pochodne powyższego tematu. Zapisałam wyniki z tcpdump w pliku. Karte mam ustawioną w tryb monitor mode, i teraz chciałabym z tych kilku dni zrobić sobie zestawienie graficzne jakie sieci były najcześciej oblegane i np. w jakich godzinach. Nie wiem od czego zacząć. Czy mogłabym prosić o pomoc, lub jakąs podpowiedź? :)

Offline

 

#7  2019-08-28 10:14:37

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Tcpdump i zapis do logów

ruch zbierzesz poleceniem

Kod:

tcpdump -s0 -w /tmp/pcap.pcacp -nvi enp5s0

wyświetlić go możesz wiresharku albo samym tcpdumpem

Kod:

tcpdump -ttttnnr /tmp/pcap.pcacp

co pokaże ci takie coś

Kod:

reading from file /tmp/pcap.pcacp, link-type EN10MB (Ethernet)
2019-08-28 10:02:25.018108 IP 185.31.50.30.64967 > 192.168.88.250.22: Flags [.], ack 1508846655, win 251, length 0
2019-08-28 10:02:25.024027 IP 192.168.88.250.22 > 185.31.50.30.64967: Flags [P.], seq 1:145, ack 0, win 167, length 144
2019-08-28 10:02:25.029422 IP 192.168.88.151.51413 > 199.116.115.137.2624: UDP, length 20
2019-08-28 10:02:25.031180 IP 176.93.194.113.24659 > 192.168.88.151.51413: Flags [.], ack 2312469883, win 515, length 0
2019-08-28 10:02:25.031365 IP 192.168.88.151.51413 > 176.93.194.113.24659: Flags [.], seq 1:1421, ack 0, win 76, length 1420
2019-08-28 10:02:25.031385 IP 192.168.88.151.51413 > 176.93.194.113.24659: Flags [.], seq 1421:2841, ack 0, win 76, length 1420
2019-08-28 10:02:25.050443 IP 93.178.16.199.19955 > 192.168.88.151.51413: UDP, length 20
2019-08-28 10:02:25.057783 IP 192.168.88.151.51413 > 122.11.163.112.49349: UDP, length 20
2019-08-28 10:02:25.057840 IP 192.168.88.151.51413 > 82.26.152.166.8999: UDP, length 20
2019-08-28 10:02:25.060587 IP 110.135.211.181.64657 > 192.168.88.151.51413: Flags [.], ack 3320291234, win 1026, length 0

A potem jest rzeźba z wyciąganiem danych itp


Ale do tego co chcesz zrobić tcpdump się kompletnie nie nadaje, jest to narzędzie diagnostyczne a nie analityczne. Potrzebujesz czegoś w stylu netflow (jest darmowa wersja, ale ogółem produkt ogółem płatny).

ManageEngine NetFlow Analyzer comes in two versions. The free version will be identical to the paid one for the first 30 days but it will then revert to monitoring only two interfaces of flows. While this is not much, it could be all that you need.

Może pytanie z innej strony - co chciałbyś osiągnąć, oraz jakie masz do tego obecnie narzędzia?


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#8  2019-08-29 00:20:08

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Tcpdump i zapis do logów

wireshark


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)