记录 tcpdump 输出

Question 1

我建议不要记录所有流量，而是监控发送到服务器的数据包数量。如果超过某个阈值，则记录几千个数据包，然后等待更长时间。

该数据包跟踪应该包含大量可用于分析的信息。此外，在一切正常的情况下，它不会给您的服务器带来太多额外负载。您可以使用以下经过破解的 bash 代码作为起点（screen例如，可以在中启动）：

interface=eth0
dumpdir=/tmp/

while /bin/true; do
  pkt_old=`grep $interface: /proc/net/dev | cut -d :  -f2 | awk '{ print $2 }'`
  sleep 1
  pkt_new=`grep $interface: /proc/net/dev | cut -d :  -f2 | awk '{ print $2 }'`

  pkt=$(( $pkt_new - $pkt_old ))
  echo -ne "\r$pkt packets/s\033[0K"

  if [ $pkt -gt 5000 ]; then
    echo -e "\n`date` Under attack, dumping packets."
    tcpdump -n -s0 -c 2000 -w $dumpdir/dump.`date +"%Y%m%d-%H%M%S"`.cap
    echo "`date` Packets dumped, sleeping now."
    sleep 300
  fi
done

请随意调整以满足您的需要。

Answer

我建议不要记录所有流量，而是监控发送到服务器的数据包数量。如果超过某个阈值，则记录几千个数据包，然后等待更长时间。

该数据包跟踪应该包含大量可用于分析的信息。此外，在一切正常的情况下，它不会给您的服务器带来太多额外负载。您可以使用以下经过破解的 bash 代码作为起点（screen例如，可以在中启动）：

interface=eth0
dumpdir=/tmp/

while /bin/true; do
  pkt_old=`grep $interface: /proc/net/dev | cut -d :  -f2 | awk '{ print $2 }'`
  sleep 1
  pkt_new=`grep $interface: /proc/net/dev | cut -d :  -f2 | awk '{ print $2 }'`

  pkt=$(( $pkt_new - $pkt_old ))
  echo -ne "\r$pkt packets/s\033[0K"

  if [ $pkt -gt 5000 ]; then
    echo -e "\n`date` Under attack, dumping packets."
    tcpdump -n -s0 -c 2000 -w $dumpdir/dump.`date +"%Y%m%d-%H%M%S"`.cap
    echo "`date` Packets dumped, sleeping now."
    sleep 300
  fi
done

请随意调整以满足您的需要。

Question 2

它就在手册页中，tcpdump有-G，

If specified, rotates the dump file specified with the -w option every
rotate_seconds seconds. Savefiles will have the name specified by -w
which should include a time format as defined by strftime(3). If no
time format is specified, each new file will overwrite the previous.

因此，tcpdump -i eth0 -s 65535 -G 86400 -w /var/log/caps/%F.pcap将写入 /var/log/caps/%F.pcap（其中 %F 将是 2012-05-10、2012-05-11、2012-05-12 等）。请记住，它将从您启动上限时起每 24 小时轮换一次，因此从技术上讲它不是每天一次，除非您在午夜运行它。

我并不是说您计划做的事是个好主意，只是说这是您要求的解决方案。

Answer

它就在手册页中，tcpdump有-G，

If specified, rotates the dump file specified with the -w option every
rotate_seconds seconds. Savefiles will have the name specified by -w
which should include a time format as defined by strftime(3). If no
time format is specified, each new file will overwrite the previous.

因此，tcpdump -i eth0 -s 65535 -G 86400 -w /var/log/caps/%F.pcap将写入 /var/log/caps/%F.pcap（其中 %F 将是 2012-05-10、2012-05-11、2012-05-12 等）。请记住，它将从您启动上限时起每 24 小时轮换一次，因此从技术上讲它不是每天一次，除非您在午夜运行它。

我并不是说您计划做的事是个好主意，只是说这是您要求的解决方案。

Question 3

您当然可以从 tcpdump 获取该数据，但这并不是完全简单。

首先，tcpdump 会写入一种特殊的文件格式，这种格式不是日志文件，因此您需要另一个 tcpdump 或 Wireshark 实例来分析日志文件。但这里有一个基本建议：

编写一个脚本，终止所有正在运行的 tcpdump，并启动一个新脚本，将文件内容写入以当天日期命名的日志文件
每个午夜从 cron 运行该脚本
有一个 cron 条目，用于清除存储日志文件的目录中超过 3 天的文件

请注意，tcpdump 会给出大量输出，因此您需要相当数量的可用磁盘空间！

Answer

您当然可以从 tcpdump 获取该数据，但这并不是完全简单。

首先，tcpdump 会写入一种特殊的文件格式，这种格式不是日志文件，因此您需要另一个 tcpdump 或 Wireshark 实例来分析日志文件。但这里有一个基本建议：

编写一个脚本，终止所有正在运行的 tcpdump，并启动一个新脚本，将文件内容写入以当天日期命名的日志文件
每个午夜从 cron 运行该脚本
有一个 cron 条目，用于清除存储日志文件的目录中超过 3 天的文件

请注意，tcpdump 会给出大量输出，因此您需要相当数量的可用磁盘空间！

Question 4

就像是暗态可能对于识别高流量主机更有用，尽管它不会存储实际流量（但它确实记录端口号）。

Answer

就像是暗态可能对于识别高流量主机更有用，尽管它不会存储实际流量（但它确实记录端口号）。

记录 tcpdump 输出

答案1

答案2

答案3

答案4

相关内容