Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2016-02-11 14:07:38
Przemekb88 - Nowy użytkownik
- Przemekb88
- Nowy użytkownik
- Zarejestrowany: 2016-02-11
Tcpdump i zapis do logów
Witam. Chciałbym używając tcpdump logować ruch sieciowy, ale byłby on zapisywany z całego dnia oraz trzymane byłyby logi tylko z trzech ostatnich dni (starsze ma usuwać). Nazwy plików rzecz jasna powinny zawierać datę utworzenia. Potrzebny mi jest skrypt, a użyłem wyłącznie prostego polecenia:
Kod:
tcpdump > logi.log -i eth0 -n &
Ostatnio edytowany przez Przemekb88 (2016-02-11 14:09:18)
Offline
#2 2016-02-11 16:04:06
jurgensen - 
Użytkownik
- jurgensen
- Użytkownik
- Skąd: Wrocław
- Zarejestrowany: 2010-01-26
Re: Tcpdump i zapis do logów
Możesz do tego użyć logrotate. NIe wiem tylko czy tcpdumpjest tu dobrym rozwiązaniem. Jeżeli wystatarczają Ci tylke te dane, które dostarcza tcpdump z opcjami które podałeś (czyli adresy IP, numery portów, opcje tcp) to może lepiej logować przez iptables. Jeśli chciałbyś logować zawartość pakietów (żeby np. zrobić analizę w Wiresharku) powinieneś użyć opcji -w. Pamiętaj tylko, że wtedy pliki ważą tylke, co dane przesyłane przez sieć (np. ktoś będzie pobierał obraz 3GB, to tyle zapisze się w pliku + nagłówki), oczywiści możesz przycinać zapisywany pakiet przez -s.
Jeśli jednak chcesz logować te podstawowe informacje, to tcpdump + log rotate (kiepskie rozwiązanie moim zdaniem) albo logowanie przez iptables (zużywa mniej zasobów, bardziej niezawodne)
Offline
#3 2016-02-11 16:32:56
Przemekb88 - Nowy użytkownik
- Przemekb88
- Nowy użytkownik
- Zarejestrowany: 2016-02-11
Re: Tcpdump i zapis do logów
Byłbym wdzięczny, gdyby ktokolwiek zechciał zrobić log rotate z tcpdump lub iptables (jest mi to obojętne, która opcja). Co do zawartości pakietów do analizy w Wiresharku to nie jest mi to potrzebne. Chcę log rotate tak jak napisałem w pierwszym poście (aby trzymał ostatnie 3 dni logów).
Offline
#4 2016-02-11 16:47:01
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Tcpdump i zapis do logów
2710
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:34:25)
Offline
#5 2016-02-11 17:30:05
Przemekb88 - Nowy użytkownik
- Przemekb88
- Nowy użytkownik
- Zarejestrowany: 2016-02-11
Re: Tcpdump i zapis do logów
Ok fajnie spoko, lecz nie za bardzo ogarniam skonfigurowanie tego.
Offline
#6 2019-08-28 02:16:40
Pestka_she - Nowy użytkownik
- Pestka_she
- Nowy użytkownik
- Zarejestrowany: 2019-08-28
Re: Tcpdump i zapis do logów
Cześć,mam pytanie pochodne powyższego tematu. Zapisałam wyniki z tcpdump w pliku. Karte mam ustawioną w tryb monitor mode, i teraz chciałabym z tych kilku dni zrobić sobie zestawienie graficzne jakie sieci były najcześciej oblegane i np. w jakich godzinach. Nie wiem od czego zacząć. Czy mogłabym prosić o pomoc, lub jakąs podpowiedź? :)
Offline
#7 2019-08-28 10:14:37
urbinek - Dzban Naczelny
Re: Tcpdump i zapis do logów
ruch zbierzesz poleceniem
Kod:
tcpdump -s0 -w /tmp/pcap.pcacp -nvi enp5s0
wyświetlić go możesz wiresharku albo samym tcpdumpem
Kod:
tcpdump -ttttnnr /tmp/pcap.pcacp
co pokaże ci takie coś
Kod:
reading from file /tmp/pcap.pcacp, link-type EN10MB (Ethernet) 2019-08-28 10:02:25.018108 IP 185.31.50.30.64967 > 192.168.88.250.22: Flags [.], ack 1508846655, win 251, length 0 2019-08-28 10:02:25.024027 IP 192.168.88.250.22 > 185.31.50.30.64967: Flags [P.], seq 1:145, ack 0, win 167, length 144 2019-08-28 10:02:25.029422 IP 192.168.88.151.51413 > 199.116.115.137.2624: UDP, length 20 2019-08-28 10:02:25.031180 IP 176.93.194.113.24659 > 192.168.88.151.51413: Flags [.], ack 2312469883, win 515, length 0 2019-08-28 10:02:25.031365 IP 192.168.88.151.51413 > 176.93.194.113.24659: Flags [.], seq 1:1421, ack 0, win 76, length 1420 2019-08-28 10:02:25.031385 IP 192.168.88.151.51413 > 176.93.194.113.24659: Flags [.], seq 1421:2841, ack 0, win 76, length 1420 2019-08-28 10:02:25.050443 IP 93.178.16.199.19955 > 192.168.88.151.51413: UDP, length 20 2019-08-28 10:02:25.057783 IP 192.168.88.151.51413 > 122.11.163.112.49349: UDP, length 20 2019-08-28 10:02:25.057840 IP 192.168.88.151.51413 > 82.26.152.166.8999: UDP, length 20 2019-08-28 10:02:25.060587 IP 110.135.211.181.64657 > 192.168.88.151.51413: Flags [.], ack 3320291234, win 1026, length 0
A potem jest rzeźba z wyciąganiem danych itp
Ale do tego co chcesz zrobić tcpdump się kompletnie nie nadaje, jest to narzędzie diagnostyczne a nie analityczne. Potrzebujesz czegoś w stylu netflow (jest darmowa wersja, ale ogółem produkt ogółem płatny).
ManageEngine NetFlow Analyzer comes in two versions. The free version will be identical to the paid one for the first 30 days but it will then revert to monitoring only two interfaces of flows. While this is not much, it could be all that you need.
Może pytanie z innej strony - co chciałbyś osiągnąć, oraz jakie masz do tego obecnie narzędzia?
A w wolnym czasie, robię noże :)
Offline
#8 2019-08-29 00:20:08
hi - Zbanowany
- hi
- Zbanowany
- Zarejestrowany: 2016-03-24
Re: Tcpdump i zapis do logów
wireshark
"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu
Offline