Nur das erste Paket eines Flows sehen?

25/06/2008 - 23:15 von Marc Haber | Report spam
Hallo,

ich suche nach einem unter Linux lauffàhigen Programm, das mir -
möglichst live - per libpcap oder netfilter ULOG Target zu jedem Flow
nur das jeweils erste Paket zeigt, und da reicht mir auch schon die
Angabe von Quelladresse, Quellport, Zieladresse, Zielport und die
Reihenfolge der Pakete.

tcpdump, tshark und ulogd zeigen mir auch die Folgepakete (was die
Anzeige schnell unattraktiv macht), und die zahlreichen Programme, die
eigentlich zu Accountingzwecken dienen (z.B. ulog-acctd) verlieren die
Reihenfolge der Paket, was es in Grenzfàllen schwer macht zu
beurteilen welche Seite das erste Paket geschickt hat.

Derzeit könnte ich mir vorstellen, dass eine Kombination aus netfilter
ULOG zusammen mit --state NEW und einem ulogd diesem Wunsch am
nàchsten kommt, das habe ich aber noch nicht im Detail probiert.

HIntergrund ist - natürlich - der Wunsch ein Netzwerkinterface mit
einem zu weit offenen Paketfilter über làngere Zeit zu beboachten und
zu gucken, welche der vielen Regeln (die leider oft aus einem iptables
an der Regel nicht hilfreich sind) überflüssig sind.

Grüße
Marc

Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
 

Lesen sie die antworten

#1 Jens Link
26/06/2008 - 18:45 | Warnen spam
Marc Haber <mh+ writes:

Hallo,

ich suche nach einem unter Linux lauffàhigen Programm, das mir -
möglichst live - per libpcap oder netfilter ULOG Target zu jedem Flow
nur das jeweils erste Paket zeigt, und da reicht mir auch schon die
Angabe von Quelladresse, Quellport, Zieladresse, Zielport und die
Reihenfolge der Pakete.



Ich wuerde mir an deiner Stelle mal Netflow anschauen. Laesst sich unter
Linux recht nett mit fprobe-ng (Sensor), nfdump (Netflow-Collector) und
nfsen (Web-GUI fuer nfdump) machen.

Jens
Berlin: http://www.guug.de/lokal/berlin/index.html

Ähnliche fragen