tcpdump mysql traffic

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
newdebianer
Beiträge: 93
Registriert: 19.07.2004 01:34:44

tcpdump mysql traffic

Beitrag von newdebianer » 19.07.2004 01:38:24

hi,

weis jemand von euch ob mit tcpdump der datenverkehr auf einer lokalen schnittstelle eth0 im folgenden format ausgegeben werden kann

quell-IP quell-MAC ziel-IP ziel MAC bytes

und vielleicht noch in eine mySQL db geschrieben wird.

bin für jeden TIP dankbar!!!

gruß
newdebianer

Benutzeravatar
Hendri
Beiträge: 586
Registriert: 23.08.2003 12:17:43
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von Hendri » 19.07.2004 11:14:18

Hallo,
AWK kann man dafür benutzen um es für seine Zwecke zu formatieren.
z.B.

Code: Alles auswählen

tcpdump -nqi eth0 tcp or udp |awk '{ split($2,src,"."); split($4,dst,"."); print src[1]"."src[2]"."src[3]"."src[4] " " dst[1]"."dst[2]"."dst[3]"."dst[4] " "$6 }'
Ciao, Hendri

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 19.07.2004 17:20:49

Das könnte aber bei hohem Durchsatz Performance Probleme haben... Pipes sind zwar praktisch aber nicht schnell...

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

Benutzeravatar
Hendri
Beiträge: 586
Registriert: 23.08.2003 12:17:43
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von Hendri » 19.07.2004 21:07:28

Das ist korrekt das es stark von der Anwendung abhängig ist ob alle Pakete geloggt werden, aber den gesamten Traffic über eine 100MBit NIC zu protokollieren ist ohne hin selbst schon fragwürdig...
Mit z.B. iptables und einem DB logger währe das Performance Problem aber auch nicht wirklich viel besser umgangen...
Ist überhaupt zu überlegen ob SNORT, PRELUDE, NESSUS oder Konsorten nicht besser dafür geeignet sind als stumpf jedes Paket mit zu loggen...
Ciao, Hendri

Antworten