Moin, ich habe permanenten Netzwerkverkehr auf niedrigen Niveau an meinem T-DSL-Interface. Ich wollte mit tcpdump(1) einen Blick darauf werfen, werde aber aus der Ausgabe nicht schlau. Die Manpage sagt: The general format of a tcp protocol line is: src > dst: flags data-seqno ack window urgent options Das kommt mir auch vage bekannt vor. Bei mir sieht's aber so aus: 01:15:45.378224 0:90:1a:10:14:d3 0:0:0:0:0:1 8864 60: 01:15:45.378224 0:0:0:0:0:0 0:80:ad:73:5d:2b 8864 84: 01:15:46.088224 0:90:1a:10:14:d3 0:0:0:0:0:1 8864 60: und davon jede Menge. Kann mir jemand sagen, wo ich mich über dieses Format schlau machen kann? Thorsten -- Denn ein Tyrann ist nicht, wenn die Masse nicht geduldig stillhält. - Kurt Tucholsky
On 02-Jun-02 Thorsten Haude wrote:
Moin,
ich habe permanenten Netzwerkverkehr auf niedrigen Niveau an meinem T-DSL-Interface. Ich wollte mit tcpdump(1) einen Blick darauf werfen, werde aber aus der Ausgabe nicht schlau. Die Manpage sagt:
The general format of a tcp protocol line is: src > dst: flags data-seqno ack window urgent options
Das kommt mir auch vage bekannt vor. Bei mir sieht's aber so aus: 01:15:45.378224 0:90:1a:10:14:d3 0:0:0:0:0:1 8864 60: 01:15:45.378224 0:0:0:0:0:0 0:80:ad:73:5d:2b 8864 84: 01:15:46.088224 0:90:1a:10:14:d3 0:0:0:0:0:1 8864 60: und davon jede Menge.
Kann mir jemand sagen, wo ich mich über dieses Format schlau machen kann?
Das sieht nach MAC Layer aus. Kann es sein, daß Du tcpdump nicht auf das eth-device, sondern auf das PPP-Device vom pppoed ansetzen solltest? Ansonsten probiers mal mit iptraf, das ist recht nützlich für solche Sachen und schön übesichtlich dazu. -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de No Spam replies please.
* Erhard Schwenk wrote on 03 Jun 2002:
On 02-Jun-02 Thorsten Haude wrote:
Moin,
ich habe permanenten Netzwerkverkehr auf niedrigen Niveau an meinem T-DSL-Interface. Ich wollte mit tcpdump(1) einen Blick darauf werfen, werde aber aus der Ausgabe nicht schlau. Die Manpage sagt:
The general format of a tcp protocol line is: src > dst: flags data-seqno ack window urgent options
Das kommt mir auch vage bekannt vor. Bei mir sieht's aber so aus: 01:15:45.378224 0:90:1a:10:14:d3 0:0:0:0:0:1 8864 60: 01:15:45.378224 0:0:0:0:0:0 0:80:ad:73:5d:2b 8864 84: 01:15:46.088224 0:90:1a:10:14:d3 0:0:0:0:0:1 8864 60: und davon jede Menge.
Kann mir jemand sagen, wo ich mich über dieses Format schlau machen kann?
Das sieht nach MAC Layer aus. Kann es sein, daß Du tcpdump nicht auf das eth-device, sondern auf das PPP-Device vom pppoed ansetzen solltest?
Stimmt. Einen Sniffer auf ppp0 gestartet liefert *viel*. Probier mal etherreal mit dem Protocol PPP, dann gehts. Aber wozu soll das gut sein?!?
Ansonsten probiers mal mit iptraf, das ist recht nützlich für solche Sachen und schön übesichtlich dazu.
Greetz, Tom -- Preissler Thomas
Moin, * Thomas Preissler <tomjohn@gmx.de> [02-06-03 02:02]:
On 02-Jun-02 Thorsten Haude wrote:
ich habe permanenten Netzwerkverkehr auf niedrigen Niveau an meinem T-DSL-Interface. Ich wollte mit tcpdump(1) einen Blick darauf werfen, Aber wozu soll das gut sein?!? Um herauszufinden, was den Traffic verursacht.
Thorsten -- When bad men combine, the good must associate; else they will fall one by one, an unpitied sacrifice in a contemptible struggle. - Edmund Burke
Moin, * Erhard Schwenk <eschwenk@fto.de> [02-06-03 01:35]:
On 02-Jun-02 Thorsten Haude wrote:
ich habe permanenten Netzwerkverkehr auf niedrigen Niveau an meinem T-DSL-Interface. Ich wollte mit tcpdump(1) einen Blick darauf werfen, werde aber aus der Ausgabe nicht schlau. Die Manpage sagt:
The general format of a tcp protocol line is: src > dst: flags data-seqno ack window urgent options
Das kommt mir auch vage bekannt vor. Bei mir sieht's aber so aus: 01:15:45.378224 0:90:1a:10:14:d3 0:0:0:0:0:1 8864 60: 01:15:45.378224 0:0:0:0:0:0 0:80:ad:73:5d:2b 8864 84: 01:15:46.088224 0:90:1a:10:14:d3 0:0:0:0:0:1 8864 60: und davon jede Menge.
Kann mir jemand sagen, wo ich mich über dieses Format schlau machen kann? Das sieht nach MAC Layer aus. Kann es sein, daß Du tcpdump nicht auf das eth-device, sondern auf das PPP-Device vom pppoed ansetzen solltest? Kann ganz sicher sein, warum aber stimmt das Format von tcpdump deswegen nicht? Wie heißt denn das PPP-Device von pppoed?
Ansonsten probiers mal mit iptraf, das ist recht nützlich für solche Sachen und schön übesichtlich dazu. Mache ich.
Naja, hat sich nach ca. einer Minute aufgehängt. Mal schaun, ob das typisch war. Schönen Dank! Thorsten -- The only thing necessary for the triumph of evil is for the good men to do nothing. - Edmund Burke
Moin, Thorsten Haude:
01:15:45.378224 0:90:1a:10:14:d3 0:0:0:0:0:1 8864 60: 01:15:45.378224 0:0:0:0:0:0 0:80:ad:73:5d:2b 8864 84: 01:15:46.088224 0:90:1a:10:14:d3 0:0:0:0:0:1 8864 60:
Schuß ins Blaue, weil mir das laufend passiert: tcpdump ohne explizite Angabe "bindet" sich an die erste Schnittstelle, die er findet, und nicht, wie man (naja: Ich) glauben mag, an alle. Wohlmöglich gehört das, was du hier siehst, nicht zur DSL-zuständigen Karte? Gruß, Ratti -- http://www.gesindel.de | Fontlinge | Die Schriftenverwaltung für Windows
Moin, * ratti <ratti@gesindel.de> [02-06-03 21:29]:
tcpdump ohne explizite Angabe "bindet" sich an die erste Schnittstelle, die er findet, und nicht, wie man (naja: Ich) glauben mag, an alle.
Wohlmöglich gehört das, was du hier siehst, nicht zur DSL-zuständigen Karte? Schon, aber zum DSL-Layer (pppoed?).
So einfach kann's sein: tcpdump -i ppp0 macht, was ich erwartet habe. Vielen Dank! Thorsten -- Kaufen, was einem die Kartelle vorwerfen; lesen, was einem die Zensoren erlauben; glauben, was einem die Kirche und Partei gebieten. Beinkleider werden zur Zeit mittelweit getragen. Freiheit gar nicht. - Kurt Tucholsky
participants (4)
-
Erhard Schwenk -
ratti -
Thomas Preissler -
Thorsten Haude