Хм.. наверное я гоню. Набрал только что tcpdump -i eth0 > /var/log/tcpdump - через пару минут гляну, наверное, это и есть то, что мне надо...

Нет, это не то. Может cat /proc/net/ip_conntrak > var/log/iptrace.log мне поможет? Прописать в crond чтоб запускался в нужное время... В общем, сорри за внимание, по большому счёту не стоило поднимать этот вопрос - его можно достаточно быстро решить самостоятельно.

>cat /proc/net/ip_conntrak > var/log/iptrace.log

LOL! Действительно гоню! Казалось бы, и трава так себе, а тут такой прогон...

ethereal :)))

have fun :)))

To bsh: Всё воюешь с воровством траффика? Или уже победил злодеев? ;)))

Да, всё воюю... Вот один добрый человек на этом форуме подсказал отключить ARP нахрен (ifconfig eth0 -arp) - может поможет, завтра проверю (он с завидным постоянством пользуется моим трафиком в дневное время в будние дни). Также сконфигурировал /proc/net/ - rp_filter и всё такое (по ходу усложняя правила iptables в части фильтрации широковещательного трафика).

А вообще, если б не этот инцидент, у меня б не скоро дошли руки до изучения tcp/ip, настроек iptables, arpwatch, portsentry, tcpdump и т.п. А по-ходу, всё это оказалось довольно интересным.

З.Ы. С нового года увольняюсь с текущей работы, тогда как раз будет время всем этим поплотнее заняться (поставить snort наконец-то), заодно поснифать ARP трафик в локалке - да выяснить, кто этот умник...

Забыл подписаться.

У tcpdump есть ключик - писать вывод в файл.
Просмотр этого файла - tcpshow.
И никаких извращений :)

Re:Re: Re: Re: Re: Re:

Да я обычно делал что-то вроде:

tcpdump -i eth0 > /var/log/tcpdump

З.Ы. Только лог после пары минут снифа получается внушительных размеров.

Так вот для того и ключик это есть -- сьрасывать именно дамп :)
Попробуй, сравни размеры :)