Ecki schrieb: > Ich experimentiere momentan mit ipgrab und tcpdump herum. So weit > geht das auch alles, ich lerne so den Netzwerk-Verkehr besser kennen.
Dann nimm' noch ethereal dazu. Ich sehe die Unterschiede so: tcpdump ist gängiger (in allen Distributionen) und ist gut geignet einen Überblick über den Protokollablauf zu bekommen. ipgrab ist praktischer, wenn man eine ausführliche Ausgabe zum drucken braucht. ethereal ist am komfortabelsten und übersichtlichsten, allerdings braucht man dann eine X-Oberfläche. Daher wird man oft erst mit "tcpdump -w datei.raw -s 0" alles in eine Datei aufzeichnen, um es sich später (auf einem anderen System) mit ethereal anzuschauen. > Allerdings würden mich zwei Sachen noch interessieren: zum einen, > gibt es ein Programm, mit dem ich a la ipgrab den Netzwerk-Verkehr > eines bestimmten Programms überwachen kann? Ein bestimmtes Programm verursacht in der Regel auch einen spezifischen Netzwerkverkehr (Ziel-, Sourceport, etc.), auf den man es einschränken kann. Für das Abgreifen nach User, Prozess-ID oder ähnlichem würde mir nur Owner-Match im Paketfilter einfallen. > Zum anderen, ich möchte gerne, daß ich eine Aufstellung herhalte, > wieviel Mb aus meinem lokalen Netzwerk ins internet hinaus und auch > hinein gehen, allerdimngs möchte ich das nach Ports im Internet und Das geht mit Accounting. Die simpelste Variante ist, mit iptables zusätzliche Regeln an den entsprechenden Stellen einzubauen, die kein Target enthalten. Damit werden dann nur die Pakete und Bytes gezählt. Allerdings gehen die Daten beim Neustart, wie auch bei Änderungen schnell verloren. Daher lässt man alle paar Minuten ein Skript die Ausgabe von iptables -vnL auswerten und speichert die Messwerte zur späteren Analyse. Mit dem Paket ipac-ng ist eine komplette Lösung dieser Art im Debian-Archiv verfügbar. -- [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)