forum.opennet.ru - "минусы tcpdump" (11)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"минусы tcpdump"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"минусы tcpdump"
Сообщение от HappyS (ok) on 28-Авг-07, 11:44
У меня трафик собранный tcpdump`ом расходится (меньше) с выставленным трафиком от верхнего провайдера - может ли быть что tcpdump не справляется с записью информации о запросах в файл и можно ли ему верить?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

минусы tcpdump, DN, 12:12 , 28-Авг-07, (1)

минусы tcpdump, HappyS, 12:21 , 28-Авг-07, (2)

минусы tcpdump, DN, 12:52 , 28-Авг-07, (3)

минусы tcpdump, newser, 14:14 , 28-Авг-07, (4)

минусы tcpdump, HappyS, 14:56 , 28-Авг-07, (5)

минусы tcpdump, PavelR, 15:11 , 28-Авг-07, (6)

минусы tcpdump, HappyS, 15:38 , 28-Авг-07, (7)

минусы tcpdump, DN, 16:57 , 28-Авг-07, (8)
минусы tcpdump, ComP, 15:54 , 29-Авг-07, (11)

минусы tcpdump, AMDmi3, 20:20 , 28-Авг-07, (9)

минусы tcpdump, L0n3R4ng3r, 20:43 , 28-Авг-07, (10)

Сообщения по теме [Сортировка по времени, UBB]

1. "минусы tcpdump"

Сообщение от DN (ok) on 28-Авг-07, 12:12

>У меня трафик собранный tcpdump`ом расходится (меньше) с выставленным трафиком от верхнего
>провайдера - может ли быть что tcpdump не справляется с записью
>информации о запросах в файл и можно ли ему верить?
Какой интерфейс у Вас провайдером?
Может ошибок много на канале связи (на первом и втором уровне).
Если вы смотрите IP (третий уровень), то эти пакеты до Вас могут и не доходить.
Все "погибло" на первом и втором уровне.
То есть, пакет отправился с интерфейса провайдера и был им посчитан, но не
дошел до Вас.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "минусы tcpdump"

Сообщение от HappyS (ok) on 28-Авг-07, 12:21

я считаю входящий трафик на внутренний LAN интерфейс маршрутизатора (tcpdump -i LAN_if > файл) на внешнем интерфейсе все ip адреса уже изменены на шлюзовый ip - считать нет смысла

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "минусы tcpdump"

Сообщение от DN (ok) on 28-Авг-07, 12:52

>я считаю входящий трафик на внутренний LAN интерфейс маршрутизатора (tcpdump -i LAN_if > файл) на внешнем интерфейсе все ip адреса уже изменены на шлюзовый ip - считать нет смысла
То есть, провайдер считает исходящий трафик от Вас ?
Сравните количество трафика tcpdump -i LAN_if > файл и tcpdump -i LAN_of > файл2 .
Попросите развернутый отчет по трафику от провайдера за нужный Вам период.
После этого, делайте выводы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "минусы tcpdump"

Сообщение от newser (ok) on 28-Авг-07, 14:14

>У меня трафик собранный tcpdump`ом расходится (меньше) с выставленным трафиком от верхнего
>провайдера - может ли быть что tcpdump не справляется с записью
>информации о запросах в файл и можно ли ему верить?
tcpdump не является инструментом для подсчета и учета трафика. Точка.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "минусы tcpdump"

Сообщение от HappyS (ok) on 28-Авг-07, 14:56

на основе tcpdump держутся многие счетчики трафика, в т.ч и лицензионные

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "минусы tcpdump"

Сообщение от PavelR (??) on 28-Авг-07, 15:11

>на основе tcpdump держутся многие счетчики трафика, в т.ч и лицензионные
И что с того ? Данный метод как принцип учета траффика использовать глупо. И не важно, что кто-то встроил его в лицензионный счетчик трафика - с инженерной точки зрения подход неверный. Как и что у нас в стране лицензируется - думаю пояснять не надо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "минусы tcpdump"

Сообщение от HappyS (ok) on 28-Авг-07, 15:38

а что же тогда использовать? когда передо мной стал этот вопрос я быстро приловчился к tcpdump и построил на его логах удобный для меня биллинг на перле. Какие есть аналоги которые могли бы не грузить систему с таким же подробным отчетом как tcpdump выдает ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "минусы tcpdump"

Сообщение от DN (ok) on 28-Авг-07, 16:57

>а что же тогда использовать? когда передо мной стал этот вопрос я
>быстро приловчился к tcpdump и построил на его логах удобный для
>меня биллинг на перле. Какие есть аналоги которые могли бы не
>грузить систему с таким же подробным отчетом как tcpdump выдает ?
>
Есть.
https://www.opennet.ru/docs/RUS/netramet/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "минусы tcpdump"

Сообщение от ComP on 29-Авг-07, 15:54

Netams http://www.netams.com/index.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "минусы tcpdump"

Сообщение от AMDmi3 (??) on 28-Авг-07, 20:20

>У меня трафик собранный tcpdump`ом расходится (меньше) с выставленным трафиком от верхнего
>провайдера - может ли быть что tcpdump не справляется с записью
>информации о запросах в файл и можно ли ему верить?
tcpdump может терять пакеты на больших нагрузках. Можно посмотреть на его статистику:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
8 packets received by filter
0 packets dropped by kernel
***
packets ``dropped by kernel'' (this is the number of packets that were dropped, due to a lack of buffer space, by the packet capture mechanism in the OS on which tcpdump is running, if the OS reports that information to applications; if not, it will be reported as 0).
***
Так что для подсчета траффика он совсем не годится, как уже сказали. Правильные решения под FreeBSD, например, ng_netflow (стандарт) или счетчики ipfw (просто чтобы знать количество). Под Linux точно не скажу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "минусы tcpdump"

Сообщение от L0n3R4ng3r (??) on 28-Авг-07, 20:43

>[оверквотинг удален]
>packets ``dropped by kernel'' (this is the number of packets that were
>dropped, due to a lack of buffer space, by the packet
>capture mechanism in the OS on which tcpdump is running, if
>the OS reports that information to applications; if not, it will
>be reported as 0).
>***
>
>Так что для подсчета траффика он совсем не годится, как уже сказали.
>Правильные решения под FreeBSD, например, ng_netflow (стандарт) или счетчики ipfw (просто
>чтобы знать количество). Под Linux точно не скажу.
под линукс iptables (table mangle) ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "минусы tcpdump"
Сообщение от DN (ok) on 28-Авг-07, 12:12
>У меня трафик собранный tcpdump`ом расходится (меньше) с выставленным трафиком от верхнего >провайдера - может ли быть что tcpdump не справляется с записью >информации о запросах в файл и можно ли ему верить? Какой интерфейс у Вас провайдером? Может ошибок много на канале связи (на первом и втором уровне). Если вы смотрите IP (третий уровень), то эти пакеты до Вас могут и не доходить. Все "погибло" на первом и втором уровне. То есть, пакет отправился с интерфейса провайдера и был им посчитан, но не дошел до Вас.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "минусы tcpdump"
	Сообщение от HappyS (ok) on 28-Авг-07, 12:21
	я считаю входящий трафик на внутренний LAN интерфейс маршрутизатора (tcpdump -i LAN_if > файл) на внешнем интерфейсе все ip адреса уже изменены на шлюзовый ip - считать нет смысла
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "минусы tcpdump"
	Сообщение от DN (ok) on 28-Авг-07, 12:52
	>я считаю входящий трафик на внутренний LAN интерфейс маршрутизатора (tcpdump -i LAN_if > файл) на внешнем интерфейсе все ip адреса уже изменены на шлюзовый ip - считать нет смысла То есть, провайдер считает исходящий трафик от Вас ? Сравните количество трафика tcpdump -i LAN_if > файл и tcpdump -i LAN_of > файл2 . Попросите развернутый отчет по трафику от провайдера за нужный Вам период. После этого, делайте выводы.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "минусы tcpdump"
Сообщение от newser (ok) on 28-Авг-07, 14:14
>У меня трафик собранный tcpdump`ом расходится (меньше) с выставленным трафиком от верхнего >провайдера - может ли быть что tcpdump не справляется с записью >информации о запросах в файл и можно ли ему верить? tcpdump не является инструментом для подсчета и учета трафика. Точка.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "минусы tcpdump"
	Сообщение от HappyS (ok) on 28-Авг-07, 14:56
	на основе tcpdump держутся многие счетчики трафика, в т.ч и лицензионные
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "минусы tcpdump"
	Сообщение от PavelR (??) on 28-Авг-07, 15:11
	>на основе tcpdump держутся многие счетчики трафика, в т.ч и лицензионные И что с того ? Данный метод как принцип учета траффика использовать глупо. И не важно, что кто-то встроил его в лицензионный счетчик трафика - с инженерной точки зрения подход неверный. Как и что у нас в стране лицензируется - думаю пояснять не надо.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "минусы tcpdump"
	Сообщение от HappyS (ok) on 28-Авг-07, 15:38
	а что же тогда использовать? когда передо мной стал этот вопрос я быстро приловчился к tcpdump и построил на его логах удобный для меня биллинг на перле. Какие есть аналоги которые могли бы не грузить систему с таким же подробным отчетом как tcpdump выдает ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "минусы tcpdump"
	Сообщение от DN (ok) on 28-Авг-07, 16:57
	>а что же тогда использовать? когда передо мной стал этот вопрос я >быстро приловчился к tcpdump и построил на его логах удобный для >меня биллинг на перле. Какие есть аналоги которые могли бы не >грузить систему с таким же подробным отчетом как tcpdump выдает ? > Есть. https://www.opennet.ru/docs/RUS/netramet/
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "минусы tcpdump"
	Сообщение от ComP on 29-Авг-07, 15:54
	Netams http://www.netams.com/index.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

9. "минусы tcpdump"
Сообщение от AMDmi3 (??) on 28-Авг-07, 20:20
>У меня трафик собранный tcpdump`ом расходится (меньше) с выставленным трафиком от верхнего >провайдера - может ли быть что tcpdump не справляется с записью >информации о запросах в файл и можно ли ему верить? tcpdump может терять пакеты на больших нагрузках. Можно посмотреть на его статистику: tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes ^C 0 packets captured 8 packets received by filter 0 packets dropped by kernel * packets ``dropped by kernel'' (this is the number of packets that were dropped, due to a lack of buffer space, by the packet capture mechanism in the OS on which tcpdump is running, if the OS reports that information to applications; if not, it will be reported as 0). * Так что для подсчета траффика он совсем не годится, как уже сказали. Правильные решения под FreeBSD, например, ng_netflow (стандарт) или счетчики ipfw (просто чтобы знать количество). Под Linux точно не скажу.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "минусы tcpdump"
	Сообщение от L0n3R4ng3r (??) on 28-Авг-07, 20:43
	>[оверквотинг удален] >packets ``dropped by kernel'' (this is the number of packets that were >dropped, due to a lack of buffer space, by the packet >capture mechanism in the OS on which tcpdump is running, if >the OS reports that information to applications; if not, it will >be reported as 0). >*** > >Так что для подсчета траффика он совсем не годится, как уже сказали. >Правильные решения под FreeBSD, например, ng_netflow (стандарт) или счетчики ipfw (просто >чтобы знать количество). Под Linux точно не скажу. под линукс iptables (table mangle) ;)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]