hi,
weis jemand von euch ob mit tcpdump der datenverkehr auf einer lokalen schnittstelle eth0 im folgenden format ausgegeben werden kann
quell-IP quell-MAC ziel-IP ziel MAC bytes
und vielleicht noch in eine mySQL db geschrieben wird.
bin für jeden TIP dankbar!!!
gruß
newdebianer
tcpdump mysql traffic
Hallo,
AWK kann man dafür benutzen um es für seine Zwecke zu formatieren.
z.B.
AWK kann man dafür benutzen um es für seine Zwecke zu formatieren.
z.B.
Code: Alles auswählen
tcpdump -nqi eth0 tcp or udp |awk '{ split($2,src,"."); split($4,dst,"."); print src[1]"."src[2]"."src[3]"."src[4] " " dst[1]"."dst[2]"."dst[3]"."dst[4] " "$6 }'
Ciao, Hendri
- pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
Das könnte aber bei hohem Durchsatz Performance Probleme haben... Pipes sind zwar praktisch aber nicht schnell...
Patrick
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de
Das ist korrekt das es stark von der Anwendung abhängig ist ob alle Pakete geloggt werden, aber den gesamten Traffic über eine 100MBit NIC zu protokollieren ist ohne hin selbst schon fragwürdig...
Mit z.B. iptables und einem DB logger währe das Performance Problem aber auch nicht wirklich viel besser umgangen...
Ist überhaupt zu überlegen ob SNORT, PRELUDE, NESSUS oder Konsorten nicht besser dafür geeignet sind als stumpf jedes Paket mit zu loggen...
Mit z.B. iptables und einem DB logger währe das Performance Problem aber auch nicht wirklich viel besser umgangen...
Ist überhaupt zu überlegen ob SNORT, PRELUDE, NESSUS oder Konsorten nicht besser dafür geeignet sind als stumpf jedes Paket mit zu loggen...
Ciao, Hendri