hallo zusammen
ich suche ein programm, dass mir moeglichst fuer alle eingehenden/ausgehenden packete neben src/dst auch noch den prozess nennt, von dem das packet gesendet wurde, bzw. welcher prozess das packet empfaengt.
in tcpdump/tcpflow konnte ich keine solche funktion finden.
thx
packete an welche prozesse?
Hi,
wenn du eine iptables Firewall installiert hast, ist bereits alles "on board", hier gibt es die LOG Option, damit kannst du die IP Adressen und die Ports in einen Logfile schreiben. ABER wenn du jedes Packet mittels LOG wegschreibst, wirst du sehen das die Logdatei nicht waechst, sondern wuchert!
Welcher Prozess der "Absender" ist kann dir iptables nicht sagen, waere mir neu. Lokal kannst du mittels netstat ermitteln welcher Port von welchem Dienst benutzt wird, hier siehst du auch die PID, damit koenntest du dann ps aufrufen.
Wie du den "Empfaenger" Prozess rauffinden willst ist mir schleierhaft. Wenn du nicht raten willst, brauchst du 'nen Account auf der Zielsystem. Beispiel: normalerweise ist Port 80 Http, wobei du dann immer noch nich den Prozess kennst (nicht jeder verwendet Apache), was aber ist wenn ein kreativer Admin meint Port 80 waere fuer FTP viel besser geeignet. Zugegeben, das Beispiel ist vielleicht nicht unbeding realitaetsnah, aber immerhin moeglich.
wenn du eine iptables Firewall installiert hast, ist bereits alles "on board", hier gibt es die LOG Option, damit kannst du die IP Adressen und die Ports in einen Logfile schreiben. ABER wenn du jedes Packet mittels LOG wegschreibst, wirst du sehen das die Logdatei nicht waechst, sondern wuchert!
Welcher Prozess der "Absender" ist kann dir iptables nicht sagen, waere mir neu. Lokal kannst du mittels netstat ermitteln welcher Port von welchem Dienst benutzt wird, hier siehst du auch die PID, damit koenntest du dann ps aufrufen.
Wie du den "Empfaenger" Prozess rauffinden willst ist mir schleierhaft. Wenn du nicht raten willst, brauchst du 'nen Account auf der Zielsystem. Beispiel: normalerweise ist Port 80 Http, wobei du dann immer noch nich den Prozess kennst (nicht jeder verwendet Apache), was aber ist wenn ein kreativer Admin meint Port 80 waere fuer FTP viel besser geeignet. Zugegeben, das Beispiel ist vielleicht nicht unbeding realitaetsnah, aber immerhin moeglich.
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
hab iptables mit log funktion am laufen, aber wie du ja selbst sagst macht die logging funktion keine angaben zum lokalen prozess, der die packet gesendet hat/empfangen wird....
mit empfaengerprozess hab ich natuerlich den prozess auf dem lokalen rechner gemeint
das eigentliche ziel ist schlussendlich rauszufinden, welche ports verschiedene p2p systeme benutzen und vor allem wie gross dabei der anteil der nicht-standard ports dabei ist.
mit empfaengerprozess hab ich natuerlich den prozess auf dem lokalen rechner gemeint
das eigentliche ziel ist schlussendlich rauszufinden, welche ports verschiedene p2p systeme benutzen und vor allem wie gross dabei der anteil der nicht-standard ports dabei ist.
Joh,
wenn's so ist
Wie schon geschrieben, mir faellt nix besseres ein wie die Ausgabe von netstat.
wenn's so ist
Wie schon geschrieben, mir faellt nix besseres ein wie die Ausgabe von netstat.
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
- pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
netstat anschauen (netstat -l), oder wenn Du wissen willst zu welcher Anwendung ein belegter Port gehört: "lsof tcp/PORTNUMMER".
Patrick
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de