Salut, vre-un coleg forumist ce lucreaa in retelistica?

Am nevoie de cativa parametrii care sa-i aloc lui tcpdump pentru a verifica traficul din retea. Banuiesc ca cineva face “flood”, nu cunosc portul nu cunosc ip-ul care trimite nici ip-ul care primeste.
Sunt ceva parametrii care ii pot pune si sa-mi sara imediat in ochi foarte mult trafic pe secunda? Incerc sa vad in special de unde vine.

Ce am reusit sa fac eu pana acum este de forma:

tcpdump -i any -nN -s 1500

De mentionat ca am o placa de retea sub linux cu mai multe interfete ridicate pe ea (vlan-uri), ma intereseaza ceva cu care sa le pot urmarii pe toate o data.

Rar recomand un tool cu GUI, dar acum o sa-ti fie mai usor cu el: Wireshark

https://ask.wireshark.org/questions/16343/install-wireshark-on-ubuntu

“-i any” - asta citeste pachetele de pe toate interfetele DAR doar cele adresate direct calculatorului tau
dacă vrei “promiscuous” mode în care loghează tot traficul care trece pe acel fir, indiferent de adrisant, trebuie să specifici explicit interfața.

verifică statisticile de interfață cu “netstat -in” - vezi care crește cel mai repede și ascultă doar pe aia “-i NUME_INTERFATA”

De asemenea - dacă ești conectat cu ssh la un server și pui tcpdump să afișeze traficul de pe interfața pe care ești conectat în clipa aia ... ghici ce se întâmplă

“-s 1500” cati octeti sa logheze din fiecare pachet. Daca nu te intereseaza continutul mesajelor ci doar detaliile tehnice, primi 100 bytes sunt destui.

Pentru examinare, cel mai simplu, fă tcpdump intr-un fișier pt x minute șî examinează-l după aia, fie de mână, fie cu un tool grafic care stie sa citeasca dump-uri de pcap.

tcpdump -s 100 -n -i INTERFATA -w log_retea.pcap

apoi il citesti cu:

tcpdump -r log_retea.pcap | less -Ss

( cu less -Ss nu mai face line-wrapping și poți face scroll dreapta-stânga când e linia mai lată decât ecranul )

“man tcpdump” pentru alte opțiuni de afișare și filtrare

salut, multumesc de ajutor. serverul l-am pus in retea special sa monitorizeze traficul. sunt multe vlan-uri si speram sa scap usor folosind “-i any”

am inteles cu capturarea intr-un fisier, dar ce programe cu interfata grafica sunt utile pentru analizarea fisierului (tinand cont de context, vreau sa caut sursa flood-ului).

http://www.signal11.us/oss/playcap/

https://www.wireshark.org/download.html (pentru OS X) stie sa le citeasca.

Nu cumva tu erai ala care facea “Aplification attack” pe retea ca faceai tcpdump la pachete si le afisai peste ssh si afisandu-le creai mai mult trafic care era afisat si el care crea si mai mult trafic ...

) nici chiar asa…