sslug-teknik team mailing list archive

Thread
Date

Re: net statistik

To: <sslug-teknik@xxxxxxxx>, "Klaus S. Madsen" <sslug@xxxxxxxxxxxxxxxx>
From: "Soren M. Kristensen" <smk@xxxxxxxxxxxx>
Date: Thu, 24 Jan 2002 01:53:51 +0100 (CET)
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <20020121114519.B29574@hjernemadsen.org>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

Hej Klaus

Tak for hintet om NeTraMet, Det er det helt rigtige og det lader til at
fungere efter lidt eksperimenter. Jeg bruger RH7.X og der er libpcap
defekt og man skal afinstallere rpm'en og bygge den fra scratch FOER man
bygger NeTraMet et al. Ellers virker det bare ikke (netramet fanger ingen
pakker, men kompilerer ioevrigt uden problemer). Alternativt kan man bruge
den linux binaer pakke som kan downloades, hvilket jeg har gjort intil
videre. Naeste trin er at skrive et regel script i srl sproget og
kompilere det med fx. kommandoen 'srl monip.srl' som saa laver en regel
fil med navnaet monip.rules. Oensker man at baade meter process og og
kontrol/aflaeser proces koerer paa samme maskine kan man start de to
processer med det lille script:

---
#!/bin/bash

# Start meter process.
nohup NeTraMet -i eth1 -k -s -w wtest > /dev/null 2>&1 &
sleep 1

# Load rules to meter and read from meter every 5min.
nohup NeMaC -c 300 -r monip.rules localhost wtest > /dev/null 2>&1 &
---

Saa logger NeMaC processen trafikken hvert 5. minut i en fil kaldet noget
med localhost.flow.001.

Koerer maskinen iptables/ipchains skal man passe paa ikke at faa filteret
snmp pakker fra paa lo interfacen, da de to processer snakker snmp. NeMaC
processen kan ogsaa koere paa en helt anden maskine.

Efter lidt studier har jeg har lavet et lille srl script monip.srl som
logger al ip trafik mellem lokalnet og internet kaldet monip.srl og det
lader til at fungere omend at NeMaC kommer med en warning som jeg ikke
helt forstaar. Her er monip.srl:

---
define LNET = (130.225.101.0/24);

define IPTYPES = (tcp,udp,icmp);

#
#  Monitor tcp and udp traffic.
#
   IF SourcePeerType == IP save, {

      # We bother with selected IP protocol types.
      IF SourceTransType == IPTYPES SAVE;
      ELSE IGNORE;

      # Do not monitor local trafic.
      IF (SourcePeerAddress == LNET && DestPeerAddress == LNET) IGNORE;

      # We want the local address to be Dest.
      IF SourcePeerAddress == LNET NOMATCH;

      # Save if the Dest is local.
      IF DestPeerAddress == LNET SAVE, {
           SAVE SourcePeerAddress /32;
           SAVE DestPeerAddress /32;
           SAVE SourceTransAddress /16;
           SAVE DestTransAddress /16;
           COUNT;
      }
      ELSE IGNORE;
   }
   ELSE IGNORE;  # Not an IP packet

SET  2;  # NeMaC commands
FORMAT
 firsttime lasttime sourcetranstype
 sourcepeeraddress sourcetransaddress
 destpeeraddress desttransaddress
 topdus frompdus tooctets fromoctets;
STATISTICS;
---

Programellet virker meget professionelt men noget 'ekspertvenligt'.

K.H.
Soren

On Mon, 21 Jan 2002, Klaus S. Madsen wrote:

> Du kan (vist nok) bruge det program der hedder NeTraMet
> (http://www2.auckland.ac.nz/net//NeTraMet/). Det kan lave precis det du
> efterlyser, men tilgengæld er det godt nok ikke let at sætte op.
>
> Jeg har forsøgt at finde hoved og hale i det hele weekenden, men indtil
> videre er jeg kommet til den konklusion at hvis jeg bare vidste hvordan
> man skulle bruge det, så ville det være precis det program jeg har ledt
> efter i ret lang tid ;-)
>
>

-- 
Søren M. Kristensen, Ph.D.    Phone:  (+45) 3532 0301
University of Copenhagen      FAX:    (+45) 3535 0609
Department of Chemistry       E-mail: smk@xxxxxxxxxxxx
H. C. Ørsted Institutet       http://kl5.ki.ku.dk/~smk
Universitetsparken 5          Room:   C508
DK-2100 København Ø
Denmark

Follow ups

Re: net statistik
From: Klaus S. Madsen, 2002-01-24

References

Re: net statistik
From: Klaus S. Madsen, 2002-01-21