Как загрузить tcpdumps в в реальном времени к FTP?
Gnome предоставляет услуги (такие как брелок для ключей Gnome, GConf, интеграция PolicyKit, и т.д.), который некоторые программы используют, а также дополнительные функции как автозапуск приложения и приложения темы. При использовании программ, которые используют те сервисы, и у Вас нет Gnome, можно пропустить некоторую функциональность. В зависимости от того, что Вы используете, это могло бы быть очень важно, или Вы никогда не могли бы пропускать его.
установка curlftpfs
opkg update; opkg install curlftpfs
затем создайте сценарий, который будет бежать за каждой начальной загрузкой маршрутизатора
vi /etc/rc.d/S99tcpdump
содержание S99tcpdump
#!/bin/ash
mkdir -p /dev/shm/something
curlftpfs FTPUSERNAMEHERE:FTPPASSWORDHERE4@EXAMPLE.COM /dev/shm/something/
tcpdump -i wlan0 -s 0 dst 192.168.1.200 or src 192.168.1.200 -w "/dev/shm/something/tcpdump-`date +%F-%Hh-%Mm-%Ss`.pcap" &
сделайте это исполняемым файлом
chmod +x /etc/rc.d/S99tcpdump
маршрутизатор перезагрузки, наслаждаться.
p.s.: похож "-s 0", необходим, потому что могли быть сообщения как: "размер пакета, ограниченный при получении, и т.д." - при загрузке .pcap файлов в wireshark
p.s.2: удостоверьтесь, что время корректно, потому что в противном случае выходное имя файла могло быть неправильным..
С недоступным SSH (и возможно никакая машина UNIX/Linux FTP-сервер работает, Вы могли использовать netcat иначе, также), следующее могло бы работать:
Используя curl, можно загрузить от STDIN до файла через FTP этот путь:
tcpdump -w - | curl -u FTPUSER:FTPPASS ftp://ftpserver/where/ever/dump.pcap -T -
где tcpdump выходные пакеты сырых данных (сравнивают этот вопрос) и завихрение добавляют (перезаписи? не уверенный) этот вход. Я не абсолютно уверен, работает ли это, но это могло бы стоить попытки.
(Добавление метки времени к файлу curl создает оставлен как осуществление.)
-
1это почти хорошо, но это только делает это, это пишет файл, только несколько больших Кбайт, и затем ничто [на FTP-сервере] – LanceBaynes 03.01.2012, 22:57
-
2Хм.. Вы могли действительно попробовать netcat. (Существует порт окон также, если это - то, что мешает Вам использовать ssh.) – sr_ 04.01.2012, 13:29
-
3я использую Linux на рабочем столе. проблема с ssh, что нет никакого ssh СЕРВЕРА. просто FTP. – LanceBaynes 06.01.2012, 18:47
-
4Вы даже не должны использовать завихрение, если ftp признает, что автовход в систему включил режим затем, можно использовать ~/.netrc файл и поместить имя пользователя/пароль в него и использовать ftp непосредственно. – Nikhil Mulley 06.01.2012, 19:52
Смотрите на -C опция к tcpdump:
-C Before writing a raw packet to a savefile, check whether
the file is currently larger than file_size and, if so, close the current
savefile and open a new one. Savefiles after the first savefile will have
the name specified with the -w flag, with a number after it, starting at 1
and continuing upward. The units of file_size are millions of bytes
1,000,000 bytes, not 1,048,576 bytes).
Если Вы устанавливаете флаг размера на что-то довольно маленькое и пишете a cron сценарий, который тестирует на существование новых водосливных файлов каждую минуту или так, затем загружает переполненные файлы через FTP и меняет имя прежде, чем удалить их, необходимо получить то, что Вы ищете.
Эта установка все еще была бы уязвима для DOS, если что-то лавинно рассылает ссылку быстрее, чем Ваш сценарий крона может загрузить новые файлы, и если у Вас есть возможность SSH вообще, я настоятельно рекомендую ssh конвейерно обработайте обманывают @Chris предложения Green выше.
Можно записать tcpdump вывод к каналу и затем сохраняет его в другом месте. Я обновил Ваш фильтр BPF также.
tcpdump -w - host 10.10.10.10 | ssh host2 'cat - > `date +%F-%Hh-%Mm-%Ss-%N`.pcap'
Это запишет пакеты в stdout, затем перепишите его ssh соединение с другим хостом. Можно также изменить к лучшему его и выполнить его от другого хоста.
ssh router tcpdump -w - host 10.10.10.10 > `date +%F-%Hh-%Mm-%Ss-%N`.pcap
-
1, который параметр "хоста" в tcpdump точно так же, как "src 10.10.10.10 или dst 10.10.10.10"? большое спасибо – LanceBaynes 03.01.2012, 14:08
-
2
Я думаю, чтобы ftp работал синхронно, это должно знать, что существует этот поток файла не от диска, а из программы; помимо этого мог стать очень трудным выполнить это.
Я предложил бы, чтобы Вы пошли с sshfs и использовали ssh/sshfs для монтирования удаленной файловой системы с надлежащими учетными данными (это - файловая система пространства пользователя, так мало изменения конфигурации, связанные с термофиксатором в системе, сделали бы, никакие супер требуемые учетные данные) затем используют tcpdump, который постоянно выводил бы получение потока пакетов в файл в смонтированной файловой системе sshfs.
Начинающие на SSHFS:
-
1
-
2
Используйте SMB / самба! Ваш dd-wrt маршрутизатор поддерживает его:
http://www.dd-wrt.com/wiki/index.php/Samba#Running_a_Samba_client_on_DD-WRT
После того как Вы можете ls и посмотрите файл в каталоге, который Вы настраиваете на своем поле Windows, затем просто говорят tcpdump производить к тому каталогу:
tcpdump -n -i any -s 65535 src 192.168.2.200 and not dst port 139 -w /tmp/smbshare/capture.lpcВы не хотите это контролирующий трафик, пробегающийся через SMB (блок серверных сообщений) порт, или это будет контролировать свой собственный трафик и просто взрывать размер файла.
-
1лучше для использования tcpdump-n-i любая сеть-s 65535 src 192.168.0.0/16 и не порт 139 и не порт 1 068-w/tmp/smbshare/capture.lpc – David Levine 14.11.2012, 19:46
Еще один крошечный способ - использовать netcat (встроенный в busybox).
Маршрутизатор: tcpdump -w - | nc 192.168.1.110 1337
Хост: nc -l -p 1337> dump.pcap