TCP - Traffic Analyse nach Diensten

f41thr

f41thr

Well-Known Member
Hallo,

welche Möglichkeiten habe ich den, wenn ich Netzwerktraffic nach Diensten analysieren möchte. Okay es gibt kommerzielle Tools, aber als Proof of Conzept würde ich gerne ein alternatives Tool einsetzen.

Im Prinzip brauche ich wahrscheinlich ein intelligentes Script um tcpdump herum, aber vielleicht gibt es auch andere Möglicheiten.

How-To's, Links oder ähnliches wäre super. Oder ein Stichwort nach dem ich suchen müsste.

Mit meiner Wrap bin ich auch nicht weiter. Irgendwie mag die offensichtlich kein OpenBSD pxeboot :mad:

Gruss

f41thr
 
Such mal nach dem "Chaosreader". Das schlüsselt dir den Netzwerktraffic von tcpdump auf. Ansonsten kannst du natürlich den tcpdump-traffic zu Laufzeit mit den Expressions wie "port xyz and not host foobar" filtern. (und danach noch immer mit Chaosreader angucken :) Was anderes wäre auch die option bei Ethereal, wo du "Follow TCP-Stream" machen kannst, womit du eine Protokollsession komplett aus dem traffic vom Programm herausgelesen bekommst, und dir als reiner "Layer-ueberTCP"-TextDump dargestellt wird.

Oder hab ich dich falsch verstanden? Im übrigen ist diese ganze Sniffinggeschichte nicht gerade immer trivial, also sei nicht frustriert, wenn's gleich nicht so läuft, wie es soll.
 
thorben schrieb:
moin,
ntop machts bunt

gruß
thorben
Zum Vergrößern anklicken....

Und wenn ich es weiterverarbeiten möchte? Und der Traffic sollte nicht durch das Analyse System gehen. Vielleicht mit snort?

Mal sehen, aber jetzt weiss ich, wonach ich suchen muss. Vielen Dank an alle :-)

Ein MPLS nach dem Motto: "Ey, sach mal vielviel User auf Deine Applikation zugreifen? Aha, ist Port 23, 80, 50000, ....."

Irgendwie nicht so zielführend! :-)

f41thr
 
hi @ all

ich war vor eineigen tagen selbst an dem Thema du musst bei ntop auf eines achten: beim compile from src must du bei openbsd und freebsd das patch löschen
sonst wird dir der weboutput nicht erstellt oder angezeigt
diese option ist seit einiger zeit aus sicherheitsgründen disabeld

dann läuft es supi

ntop -w <port>
 
The_Godfather schrieb:
hi @ all

ich war vor eineigen tagen selbst an dem Thema du musst bei ntop auf eines achten: beim compile from src must du bei openbsd und freebsd das patch löschen
sonst wird dir der weboutput nicht erstellt oder angezeigt
diese option ist seit einiger zeit aus sicherheitsgründen disabeld

dann läuft es supi

ntop -w <port>
Zum Vergrößern anklicken....

Hallo,

stimmt! Läuft super, aber macht auch Lust auf mehr. Wie sieht es mit ntop 3.x aus, hat das schon jemand zum Laufen gebracht. Mit einem Spiegelport bekomme ich dann genau was ich haben möchte ;-)

Das Patchverzeichniss moven genügt, argh nach 3 Versuchen bin ich dann gerade drauf gekommen.

f41thr
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben