kapcsolatok számának meghatározása

Hálózatok egyéb

Üdv!

Van egy C osztályú subnetem egy router mögött. Hogyan tudnám a routeren futtatott scripttel vagy programmal meghatározni, hogy melyik IP-ről hány TCP és hány UDP kapcsolatot létesítenek az adott pillanatban?

Gondoltam arra, hogy a conntrack táblából egy scripttel kigyűjtöm, de ez elég fapados megoldás, van esetleg valakinek jobb ötlete?

Próbáltam ettercap-ot, iptraf-ot, de egyiket se tudom úgy beállítani, hogy azt csinálja ami nekem kell.

Előre is köszönöm a segítséget!

Petya

  • 1227 megtekintés

Üdv!

Ezt csak web felületen lehet használni? Nincs az adott gépen webszerver, és nem is nagyon szeretnék telepíteni rá..

szerk: most nézem, beépített szervere van, de akkor se tudok csatlakozni hozzá localhostról sem.

Tudsz segíteni?

Van már egy montoring szerverem, azzal nem lehet valahogy összehozni ezt az ntop-ot?

Petya

( E-Medve v | 2007. 01. 26., p – 02:22 )

netstat -n | grep tcp | grep -v tcp6 | awk '{print $4}' | awk -F: '{print $1}' | uniq -c

Ez kiirja a tcp kapcsolatokat (kiveve az ipv6-osok) es IP-nkent osszegzi. Ha globalis osszegzes kell, akkor a uniq -c helyett wc -l kell. Favago modszer, de egynek jo.

Ha a kulso IP-k (ahova kapcsolodott) szerint akarod szamolni, akkor a $4-et csereld ki $5-re.

# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Ez az ntop tetszik, lehet ezt konzolon is használni?

Petya

Hello!

Erre nekem azt írja, hogy: 

# ntop -n -p -i eth0
FATAL ERROR: Unrecognized/unprocessed ntop options...
      eth0

run ntop --help for usage information

    Common problems:
        -B "filter expressions" (quotes are required)
        --use-syslog=facilty (the = is required)

így pedig: 

# ntop -n -p -i
Fri Jan 26 13:37:55 2007  ntop will be started as user nobody
Fri Jan 26 13:37:55 2007  ntop v.3.0 SourceForge .tgz MT (SSL)
Fri Jan 26 13:37:55 2007  Configured on Jan 30 2005 22:53:02, built on Jan 30 2005 22:53:23.
Fri Jan 26 13:37:55 2007  Copyright 1998-2004 by Luca Deri <deri@ntop.org>
Fri Jan 26 13:37:55 2007  Get the freshest ntop from http://www.ntop.org/
Fri Jan 26 13:37:55 2007  Initializing ntop
Fri Jan 26 13:37:55 2007  PROTO_INIT: Processing protocol list: '-i'
Fri Jan 26 13:37:55 2007  PROTO_INIT: Unknown protocol '-i'. It has been ignored
Fri Jan 26 13:37:55 2007  Checking eth0 for additional devices
Fri Jan 26 13:37:55 2007  Resetting traffic statistics for device eth0
Fri Jan 26 13:37:55 2007  DLT: Device 0 [eth0] is 1, mtu 1514, header 14
Fri Jan 26 13:37:55 2007  Initializing gdbm databases
Fri Jan 26 13:37:55 2007  Now running as requested user 'nobody' (65534:65534)
Fri Jan 26 13:37:55 2007  **FATAL_ERROR** ....open of /var/lib/ntop/prefsCache.db failed: File open error
Fri Jan 26 13:37:55 2007  1. Is another instance of ntop running?
Fri Jan 26 13:37:55 2007  2. Make sure that the use you specified can write in the target directory

Mit csinálok rosszul?

Petya

Üdv!

Van, és benne is van a file, amit keres: 

# ls -l /var/lib/ntop
total 1064
-rw-r--r--  1 ntop ntop   12288 2007-01-26 13:55 addressQueue.db
-rw-r--r--  1 ntop ntop   12288 2007-01-26 13:55 dnsCache.db
-rw-r--r--  1 root root      30 2007-01-26 13:55 init.cfg
-rw-rw-r--  1 ntop ntop   12288 2007-01-26 13:55 LsWatch.db
-rw-r--r--  1 ntop ntop 1077396 2007-01-26 13:55 macPrefix.db
-rw-rw-rw-  1 ntop ntop       5 2007-01-26 13:55 ntop.pid
-rw-r--r--  1 ntop ntop   12288 2007-01-26 13:55 ntop_pw.db
-rw-r--r--  1 ntop ntop   12828 2007-01-26 13:55 prefsCache.db
drwx------  5 ntop ntop    4096 2007-01-26 13:55 rrd

Petya

Üdv!

Sikerült beizzítani a webfelületet. Azt kérdezném, hogy a Host Contacts néven futó érték az az élő kapcsolatokat jelenti, vagy azt, hogy a gép hány másikhoz kapcsolódott?

Más: hogyan tudom a Summary/Hosts alatt beállítani, hogy csak a local subnet-ben lévő gépeket lássam, távoliakat ne?

Petya

( Cisco | 2007. 01. 26., p – 15:39 )

hali,

netflow-t probaltad? a router-en beallitod hogy a netflow adatokat kuldje egy megadott gepre,
port szamot is be kell allitani. majd nfdump-al lehet ezeket egy fajlba menteni. a lementett
fajlokbol mar ugy listazol ki azt amit akarsz ahogy szeretned.

Cisco