Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
tethereal dump auswerten

geschrieben am 04.05.2009 um 14:51 von oldbrand

Hallo *, ich möchte mit ethereal auswerten wieviel UDP Pakete im Netzwerk unterwegs sind. Dazu nutze ich folgenden Befehl:
tethereal -a filesize:5000 -f udp -w log.pcap

Das ganze klappt wunderbar, mein Problem ist nur das ich eine Funktion / Skript / Tool brauche welches mir die vorhandenen Pakete zählt.

Das ganze würde ich denn gerne noch mit Nagios - Nagiosgrapher benutzen.
So das ich sehen kann das zum Beispiel von Montag bis Mittwoch XXX UDP Pakete vorhanden sind.

Mir würde es erstmal reichen das ich das vorhandene Log von tethereal auswerten kann. Ist es möglich das Log Standard mäßig als *.txt zu schreiben statt *.pcap, denn dadurch brauche ich wieder ein extra Programm welches mir die Datei öffnen kann.

Danke im voraus
 

geschrieben am 04.05.2009 um 20:02 von Mirko

Du könntest tethereal (oder besser tshark) ohne die Option -w starten. Dann werden die Frames auf die Standardausgabe ausgegeben. Die kannst Du dann mit > in eine Datei umleiten. Alternativ erzeugt ein

Code:
tshark -i 4 -a duration:60 -q
Capturing on Intel(R) PRO/Wireless 3945ABG Network Connection (Microsoft's Packet Scheduler)
123 packets captured


Die Anzahl der Frames im Zeitraum duration (hier 60 Sekunden).

Allerdings finde ich diese Lösung nicht so optimal. Wo kommen die Frames denn her? Hast Du einen Port gespiegelt? Vielleicht könnte man da was mit SNMP oder pmacct machen.

Mirko
 

geschrieben am 05.05.2009 um 08:16 von oldbrand

Das sieht ja so schonmal ganz gut aus, allerdings habe ich in dem Befehl noch die Option "-f udp" ergänzt. Eigentlich sollten nun nur noch udp Pakete gecaptured werden.

Wenn ich aber Wireshark in der grafischen Oberfläche nutze und den Filter UDP benutze habe ich ca. ein zehntel an Paketen.
Was stimmt denn an der Option "-f udp" nicht?
 

geschrieben am 05.05.2009 um 20:49 von Mirko

Der Capture Filter auf UDP ist so ok. Funktioniert hier mit TShark 1.0.3 auch problemlos. Welche Frames fehlen denn?

Mirko

PS: Was machst Du eigentlich mit der Anzahl der UPD-Frames?
 

geschrieben am 11.05.2009 um 09:55 von oldbrand

Eigentlich möchte ich nur die Anzahl der Gecaptureten Pakete auswerten.
Nutze nun folgenden Befehl
tethereal -i eth0 -f dst host 255.255.255.255 -a duration:10 -q
Am Ende wird die Anzahl der gecaptureten Pakete auf der Console ausgegeben. Habe die Ausgabe dann in eine Datei umgeleitet doch leider wird nichts in die Datei reingeschrieben.

Bin nun auf der Suche nach einer Lösung wie ich die Anzahl der Gecaptureten Pakete in einer Datei hineinschreiben kann.

tethereal -i eth0 -f dst host 255.255.255.255 -a duration:10 -q > ./log.log funktioniert leider nicht.
 

geschrieben am 11.05.2009 um 20:15 von Mirko

Du musst die Fehlerausgabe in die Datei leiten:


Code:
tethereal -i eth0 -f dst host 255.255.255.255 -a duration:10 -q 2> ./log.log


Mirko
 

geschrieben am 12.05.2009 um 08:04 von oldbrand

Jo super, es funktioniert. Danke
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019