Comment faire pour capturer le comte de particulier paquets à l'aide de tcpdump?

Je suis intéressé à obtenir un décompte de tous LDAP/Kerberos/paquets DNS.

J'ai essayé le suivant, mais celui-ci saisit le paquet complet.

tcpdump -i tout -Z racine "port tcp 389 port tcp ou 88 ou le port udp 53" -w ~/ldap_kerberos_dns.cap

Est-il un moyen que je peux le capturer combien ldap/Kerberos/paquets DNS ont été échangés

sans réellement capturer le paquet complet.

Résultat attendu doit être quelque chose comme: 

LDAP:     100  
Kerberos: 200  
UDP:      300
InformationsquelleAutor Aman Jain | 2013-01-30
  1. 3

    Prendre un coup d'oeil à tshark statistiques:

    $ tshark -r 04.ppce -q -z io,phs 
=================================================================== 
Protocole De La Hiérarchie Des Statistiques 
Filtre: 

eth images:649 octets:124780 
ipv6 images:605 octets:116558 
des trames udp:212 octets:33686 
dhcpv6 images:171 octets:28044 
dns images:25 octets:2914 
ntp images:les 10 octets:1300 
cldap cadres:6 octets:1428 
icmpv6 cadres:80 octets:7008 
trames tcp:313 octets:75864 
ssnb images:108 octets:24063 
smb cadres:7 octets:1554 
smb2 images:101 octets:22509 
tcp.les segments de trames:1 octets:103 
dcerpc cadres:16 octets:4264 
epm cadres:2 octets:544 
tcp.les segments de trames:1 octets:214 
drsuapi cadres:8 octets:2352 
kerberos cadres:16 octets:9358 
tcp.les segments d'images:8 octets:2130 
dcerpc.cn_deseg_req cadres:1 octets:1514 
ldap cadres:16 octets:5945 
tcp.les segments d'images:les 3 octets:1101 
ldap cadres:1 octets:803 
les trames ip:40 octets:8018 
des trames udp:40 octets:8018 
nbdgm cadres:de 30 octets:7300 
smb cadres:de 30 octets:7300 
la fente de chargement d'images:30 octets:7300 
navigateur d'images:30 octets:7300 
dns images:les 10 octets:718 
arp cadres:4 octets:204 
===================================================================

    Voir le l'homme-page pour plus d'informations.

    • Cela requiert la saisie d'un fichier pcap. Je ne veux pas de capture d'un fichier, depuis le tcpdump sera exécuté pendant 4 à 5 heures avec beaucoup de trafic. L' .fichier pcap pourrait facilement prendre 10s de Sgb dans mon cas.
    • Clair. Néanmoins, je tiens à vous montrer une autre option. Vous pouvez également utiliser: $ tshark -i 2 -durée:60 -q -z io,phs > io.phs.txt l'Option -a est la capture de l'autostop condition. Vous pouvez spécifier la durée.
    InformationsquelleAutor joke
  2. 3

    tshark approche

    Si vous avez Wireshark (basé sur les question tags, pas la question) puis tshark le long des lignes de @blague du commentaire est une façon d'aller, si vous n'avez pas l'esprit de ses détaillé de la sortie stats:

    tshark -i any -n -q -z 'io,stat,0,FRAMES()tcp.port==389,FRAMES()tcp.port==88,FRAMES()udp.port==53'
Capturing on Pseudo-device that captures on all interfaces
^C142 packets captured

=============================================
| IO Statistics                             |
|                                           |
| Interval size: 4.319 secs (dur)           |
| Col 1: FRAMES()tcp.port==389              |
|     2: FRAMES()tcp.port==88               |
|     3: FRAMES()udp.port==53               |
|-------------------------------------------|
|                |1       |2       |3       |
| Interval
| Interval       | FRAMES | FRAMES | FRAMES |
|-------------------------------------------|
| 0.000 <> 4.319 |    100 |    200 |    300 |
=============================================

    Bien que la sortie de la est verbeux, je ne pense pas que vous pouvez obtenir plus près à tshark seul. Une autre approche, encore plus détaillé, serait:

    tshark -q -z io,phs "tcp port 389 or tcp port 88 or udp port 53"

    Ces deux commandes ne pas écrire un fichier de capture. Utiliser Ctrl+C lorsque vous êtes prêt à cesser de fumer, ou voir le commentaire ci-dessous sur -a et de l'autostop conditions. Un inconvénient est que ces statistiques s'appuient sur les protocole dissectors, pas la source/destination des ports, donc il peut y avoir des anomalies (par exemple, les connexions avec pas de données ou de contenu non-conforme avec le protocole), "malformé" paquets seront signalés à la place. Cela signifie également que vous n'obtenez pas de résultats fiables si vous optimiser et de capturer seulement 40 octets par paquet ("court" TCP ou UDP paquets seront signalés à la place).

    tcpdump approche

    Un simple, mais peu élégante façon est d'exécuter plusieurs tcpdump instances (à supposer bash est un shell) --

    for pp in "tcp port 88" "tcp port 389" "udp port 53"; do
    tcpdump -i any -Z root $pp -w /dev/null  2> ${pp///- }.stats &
done

    Les paquets ne sont pas écrites dans un fichier de capture (rejetés par /dev/null).
    Puis attendre que nécessaire, de tuer le tcpdump processus (par PID cotées, ou kill %1 %2 %3 si pas d'autres tâches en arrière-plan), et d'inspecter le .stats fichiers:

    grep captured *.stats
tcp-port-389.stats:0 packets captured
tcp-port-88.stats:0 packets captured
udp-port-53.stats:4 packets captured

    perl approche

    Puisque c'est stackoverflow, voici un moyen rapide et sale perl/libpcap solution (juste à ajouter la gestion des erreurs):

    #!/usr/bin/perl
use Net::Pcap;
use NetPacket::Ethernet;
use NetPacket::IP;
use NetPacket::TCP;
use strict;
use warnings;
my ($dev,$err,$address, $netmask,$pcap,$filter,$cfilter,$fd,%stats);
my $bail=0;
my ($rin,$rout)=('','');
$SIG{INT} = sub { print "quit...\n"; $bail=1; };
$filter='(tcp port 88 or tcp port 389 or udp port 53)';
$dev=Net::Pcap::lookupdev(\$err);
Net::Pcap::lookupnet($dev, \$address, \$netmask, \$err);
$pcap = Net::Pcap::open_live($dev, 60, 1, 0, \$err);
Net::Pcap::pcap_setnonblock($pcap, 1, \$err);
$fd=Net::Pcap::pcap_get_selectable_fd($pcap);
vec($rin,$fd,1)=1;
Net::Pcap::compile( $pcap, \$cfilter, $filter, 0, $netmask);
Net::Pcap::setfilter($pcap, $cfilter);
while (Net::Pcap::dispatch($pcap,0, \&handlepackets, '')>=0) { 
select($rout=$rin,undef,undef,0.250);
printf("."); $|=1;
$bail && last;
};
Net::Pcap::freecode($cfilter);
Net::Pcap::close($pcap);
sub handlepackets() {
my ($user_data, $header, $packet) = @_;
my $ether = NetPacket::Ethernet::strip($packet);
my $ip    = NetPacket::IP->decode($ether);
my $tcp   = NetPacket::TCP->decode($ip->{'data'});
if      ($tcp->{'src_port'} < 1024)  {
$stats{$tcp->{'src_port'}}++;
} elsif ($tcp->{'dest_port'} < 1024) {
$stats{$tcp->{'dest_port'}}++;
}
}
END {
if (keys %stats) {
for my $kk (sort keys %stats) {
my ($name, $aliases, $port, $prot)=getservbyport($kk,"tcp");
printf("%12s %4i\n",$name,$stats{$kk});
}
} else { printf("No stats...\n"); } 
}
    InformationsquelleAutor mr.spuratic