Программа для наблюдения за сетевой активностью

эээ... в смысле наблюдать трафик, который идёт с локальной машины во вне от имени каких пользователей?

// wbr

Ну да. вообще-то весь трафик. Но имя пользователей и программы только для трафика порожденного локально. МНе больше и надо было =)

О, фак, в архиве нет никакой доки к этому делу 8( Если кому-то будет нужно напишу небольшую инструкцию ;)

А ты залей, не поленись. Оно вроде бы ничего революционного,
но зачем свой велосипед каждому делать? Залей сделай милость.
Предчуствую ибо чтосейчас не нужно, но потом понадобится.

эээ, а iptables разве этого всего не умеет?

Что-то умеет:

# /sbin/iptables -I OUTPUT -j LOG --log-uid

kernel: IN= OUT=ppp0 SRC=1.2.3.4 DST=99.225.203.192 LEN=1492 TOS=0x08 PREC=0x00 TTL=64 ID=36816 DF PROTO=TCP SPT=4662 DPT=1183 WINDOW=5808 RES=0x00 ACK URGP=0 UID=1003

Вот вам UID=1003 (mldonkey)

Да и счетчики по --uid-owner добавить для сбора трафика

ну а --log-prefix позволит без лишних усилий отфильтровать нужное :)

Ну можно конечно запускать каждую прогу под отдельным uid, я так понимаю что iptables может логгировать только его?

И еще - на FreeBSD так сделать не получиться. (-8

Хотя оно конечно R.I.P

либо я не понял вопроса, либо одно из двух :)

# /sbin/iptables -I OUTPUT -j LOG --log-uid

будет логировать uid всех локально порождаемых пакетов

Ну да. Но как отследить что это за процесс? Скажем запустилось нечто, что соединилось через 21 порт с удаленным компьютером. Но действительно ли это фтп клиент?

Или скажем у клиента есть много php скпиптов которые что-то качают по ночам. Нужно узнать какой из них что качал. uid у всех будет одинаковый.

сорри, я почему-то был уверен, что и pid можно было тоже логировать

Может в patch-o-matic такое есть. =) Но я не видел/ не нашел.

Мне почему-то кажется что на уровне на котором работает iptables в ядре, достаточно сложно привязать сокет к конкретному процессу, тем более к его inode на диске.

> Мне почему-то кажется что на уровне на котором работает iptables в ядре, достаточно сложно привязать сокет к конкретному процессу, тем более к его inode на диске.

как раз на уровне ядра привязать файловый дескриптор к процессу - нет ничего проще (он как бы уже привязан) да и имя исполняемого взять из task_struct->comm или найти inode образа не сложно.

// wbr

Но на уровне userspace нормального апи для этого нет почему-то 8(

О обратные пакеты все приходят без UID, как статистику считать будем?

Автору - молодец - выкладывай - вещь!

Да, на днях залью на сорцфордж. =)

> Да, на днях залью на сорцфордж. =)

IMHO пока что несколько рановато :)

// wbr

> IMHO пока что несколько рановато :)

ибо

...дикое форматирование и смесь табуляции и пробелов, отсутствие комментариев а те, что есть - мало того, что на русском, так ещё и в UTF8, ошибки, возвращаемые системой, иногда не проверяются, фиксированные пути в коде, изобретение велосипеда в spin_lock() поверх мьютекса, в то время как есть условные переменные, зачем громоздить таймер на сигналах, если все равно используются потоки?, зачем нужен свой strptime()?, зачем делать разнесённые SELECT-check-UPDATE со всеми вытекающими, когда есть INSERT...ON DUPLICATE KEY UPDATE..? отсутствие autotools или аналога ну и прочее.

ну а так да, забавно :)

// wbr

Все это учту, спасибо за указанияю. просто изначально для себя делалось, а с mysql знаком.. ну кароче как написал, так и знаком =)