Logování packetů na serveru

[ATomas]

Zdravim,
pouzivam linux debian 7 serverovou verzi. A schanim nejaky loger. Presneji neco co mi dokaze do souboru logovat prichozi a odchozi packety. Dekuji za tipy

[Reklama]

[tadeas]

tcpdump
Viz https://danielmiessler.com/study/tcpdump/

[jenda]

mozna ke studiu lepsi

wireshark

[Jenda]

mozna ke studiu lepsi

wireshark

Jenže ten je grafický. Na pozdější analýzu na desktopu jednoznačně, ale na zachytávání na serveru tcpdump nebo tshark.

[beer]

mozna ke studiu lepsi

wireshark

Jenže ten je grafický. Na pozdější analýzu na desktopu jednoznačně, ale na zachytávání na serveru tcpdump nebo tshark.

Logovat pakety umí i iptables...

[Reklama]

[samalama]

Zdravim,
pouzivam linux debian 7 serverovou verzi. A schanim nejaky loger. Presneji neco co mi dokaze do souboru logovat prichozi a odchozi packety. Dekuji za tipy

poprosim link na linux debian 7 desktopovu verziu. vdaka.

[beer]

Zdravim,
pouzivam linux debian 7 serverovou verzi. A schanim nejaky loger. Presneji neco co mi dokaze do souboru logovat prichozi a odchozi packety. Dekuji za tipy

poprosim link na linux debian 7 desktopovu verziu. vdaka.

https://www.debian.org/releases/wheezy/

[AlYoSHA]

Na serveri tcpdump do suboru.  Subor sa bude dat pozriet aj vo wiresharku.

[Fantomss]

iptables

[hmmm]

Zdravim,
pouzivam linux debian 7 serverovou verzi. A schanim nejaky loger. Presneji neco co mi dokaze do souboru logovat prichozi a odchozi packety. Dekuji za tipy

A aky to ma zmysel logovat vsetky data?

Ak chces vidiet len "statistiku" (len hlavicky) dat, odporucam vyuzit technologiu netflow/ipfix.

[noobik]

je tcpdump pouzitelny k analyze paketov aj na klasickom desktop PC?

[noobik]

je tcpdump pouzitelny k analyze paketov aj na klasickom desktop PC?

oprava, myslel som k zachytavaniu paketov, nie logovaniu

[Jenda]

je tcpdump pouzitelny k analyze paketov aj na klasickom desktop PC?

oprava, myslel som k zachytavaniu paketov, nie logovaniu

Ano, samozřejmě, i když na desktopu většinou používám tshark.

[kojot4]

Jenom upozorním na jeden háček a to je parametr -s pro tcpdump. Tcpdump standardně zapisuje pouze prvních 65kB paketu, což mnohdy nestačí a člověk se pak při analýze set sakra diví, proč mu třeba v HTTP streamu chybí obsahy stránek

Takže

Kód: [Vybrat]

tcpdump -s0 ...to řeší

[Jenda]

Čekal bych, že pakety budou na ethernetu velké 1500 B. (starý tcpdump zapisoval jenom 68 bajtů nebo tak něco, to bylo "super" - ale teď je ten default dostačující)