PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : traffic überprüfen



Inge
25.08.06, 14:04
hallo,
ich habe laut visas bei meinem root derzeit ca. 20GB traffic, laut strato sind es 200. nun wollt ich mal wissen, ob es eine möglichkeit gibt herauszufinden, welcher prozess/port den ganzen traffic verursacht. ich habe eigentlich nur die standartsachen laufen, also http, pop3, ftp...
visas zeigt mir ja nur den http-traffic an....

sm0ker
25.08.06, 14:48
ich denke mal das ist genau was du suchst http://www.ntop.org/ ! hoffe es hilft! :o

sysop
25.08.06, 14:50
http://www.ntop.org/
liefert dir zumindest protokoll und client und vieles mehr.

autsch, to late :D:D

Tomek
25.08.06, 14:58
vnstat (http://humdi.net/vnstat/) ist klein und sollte genau das liefern, was du benötigst.

sm0ker
25.08.06, 15:03
@tomek
er will sehen welches protokoll wieviel traffic macht, jedenfalls habe ich es so verstanden. vnstat liefert aber nur den gesamt traffic ohne die protokolle zu unterscheiden...

Inge
25.08.06, 15:05
beim installieren trat folgender fehler auf:


h961723:~ # rpm -i ntop-3.0-4.x86_64.rpm
error: Failed dependencies:
libX11.so.6()(64bit) is needed by ntop-3.0-4
libXpm.so.4()(64bit) is needed by ntop-3.0-4
libc.so.6()(64bit) is needed by ntop-3.0-4
libc.so.6(GLIBC_2.2.5)(64bit) is needed by ntop-3.0-4
libc.so.6(GLIBC_2.3)(64bit) is needed by ntop-3.0-4
libc.so.6(GLIBC_2.3.2)(64bit) is needed by ntop-3.0-4
libcrypt.so.1()(64bit) is needed by ntop-3.0-4
libcrypt.so.1(GLIBC_2.2.5)(64bit) is needed by ntop-3.0-4
libcrypto.so.0.9.7()(64bit) is needed by ntop-3.0-4
libfreetype.so.6()(64bit) is needed by ntop-3.0-4
libgd.so.2()(64bit) is needed by ntop-3.0-4
libgdbm.so.3()(64bit) is needed by ntop-3.0-4
libjpeg.so.62()(64bit) is needed by ntop-3.0-4
libm.so.6()(64bit) is needed by ntop-3.0-4
libnsl.so.1()(64bit) is needed by ntop-3.0-4
libpcap.so.0()(64bit) is needed by ntop-3.0-4
libpng.so.3()(64bit) is needed by ntop-3.0-4
libpng12.so.0()(64bit) is needed by ntop-3.0-4
libpthread.so.0()(64bit) is needed by ntop-3.0-4
libpthread.so.0(GLIBC_2.2.5)(64bit) is needed by ntop-3.0-4
libpthread.so.0(GLIBC_2.3.2)(64bit) is needed by ntop-3.0-4
libresolv.so.2()(64bit) is needed by ntop-3.0-4
libssl.so.0.9.7()(64bit) is needed by ntop-3.0-4
libz.so.1()(64bit) is needed by ntop-3.0-4

Inge
25.08.06, 15:08
@tomek
er will sehen welches protokoll wieviel traffic macht, jedenfalls habe ich es so verstanden. vnstat liefert aber nur den gesamt traffic ohne die protokolle zu unterscheiden...

oh, jetzt erst gesehen...
ja ganz richtig, ich will wissen was genau den traffic verursacht.

Tomek
25.08.06, 15:08
Hast du ein 32-Bit-Linux installiert oder 64-Bit? Ist ntop nicht bei Suse dabei? Würde mich wundern...

sm0ker
25.08.06, 15:09
sorry ich habe hier kein rpm basiertes system rumstehe. alles vom source...
wenn du suse nimmst kannst du ja die abhaengigkeiten per yast mit installieren lassen..

Inge
25.08.06, 15:21
so, mit yast hat es geklappt, habe es nun einfach mal mit ntop gestartet:

h961226:~ # ntop
Fri Aug 25 15:22:03 2006 Initializing gdbm databases
Fri Aug 25 15:22:04 2006 ntop will be started as user nobody
Fri Aug 25 15:22:04 2006 ntop v.3.1 MT (SSL)
Fri Aug 25 15:22:04 2006 Configured on Mar 22 2005 18:29:43, built on Mar 22 2005 18:30:49.
Fri Aug 25 15:22:04 2006 Copyright 1998-2004 by Luca Deri <deri@ntop.org>
Fri Aug 25 15:22:04 2006 Get the freshest ntop from http://www.ntop.org/
Fri Aug 25 15:22:04 2006 Initializing ntop
Fri Aug 25 15:22:04 2006 No default device configured. Using eth0
Fri Aug 25 15:22:04 2006 Checking eth0 for additional devices
Fri Aug 25 15:22:04 2006 Resetting traffic statistics for device eth0
Fri Aug 25 15:22:04 2006 DLT: Device 0 [eth0] is 1, mtu 1514, header 14
Fri Aug 25 15:22:04 2006 Initializing gdbm databases
Fri Aug 25 15:22:04 2006 VENDOR: Loading MAC address table.
Fri Aug 25 15:22:04 2006 VENDOR: Checking for MAC address table file
Fri Aug 25 15:22:04 2006 VENDOR: Loading newer file '/etc/ntop/specialMAC.txt.gz'
Fri Aug 25 15:22:04 2006 VENDOR: ...found 61 lines
Fri Aug 25 15:22:04 2006 VENDOR: ...loaded 59 records
Fri Aug 25 15:22:04 2006 VENDOR: Checking for MAC address table file
Fri Aug 25 15:22:04 2006 VENDOR: Loading newer file '/etc/ntop/oui.txt.gz'
Fri Aug 25 15:22:04 2006 VENDOR: ...found 48541 lines
Fri Aug 25 15:22:04 2006 VENDOR: ...loaded 7853 records
Fri Aug 25 15:22:04 2006 Fingeprint: Loading signature file.
Fri Aug 25 15:22:04 2006 Fingeprint: ...loaded 1697 records
Fri Aug 25 15:22:04 2006 ASN: Checking for Autonomous System Number table file
Fri Aug 25 15:22:04 2006 ASN: Loading file '/etc/ntop/AS-list.txt.gz'
Fri Aug 25 15:22:05 2006 ASN: ...found 111435 lines
Fri Aug 25 15:22:05 2006 ASN: ....Used 3780 KB of memory (12 per entry)
Fr 25 Aug 2006 15:22:05 CEST I18N: Default language (from ntop host) is 'de_DE'
Fr 25 Aug 2006 15:22:05 CEST I18N: This instance of ntop supports 0 additional language(s)
Fr 25 Aug 2006 15:22:05 CEST IP2CC: Checking for IP address <-> Country Code mapping file
Fr 25 Aug 2006 15:22:05 CEST IP2CC: Loading file '/etc/ntop/p2c.opt.table.gz'
Fr 25 Aug 2006 15:22:05 CEST IP2CC: ...found 52395 lines
Fr 25 Aug 2006 15:22:05 CEST GDVERCHK: Guessing at libgd version
Fr 25 Aug 2006 15:22:05 CEST **WARNING** GDVERCHK: Unable to load gd, message is 'libgd.so: Kann die Shared-Object-Datei nicht öffnen: Datei oder Verzeichnis nicht gefunden'
Fr 25 Aug 2006 15:22:05 CEST GDVERCHK: ... as 2.x
Fr 25 Aug 2006 15:22:05 CEST Initializing external applications
Fr 25 Aug 2006 15:22:05 CEST THREADMGMT: Started thread (1102711728) for network packet analyser
Fr 25 Aug 2006 15:22:05 CEST THREADMGMT: Started thread (1104812976) for fingerprinting
Fr 25 Aug 2006 15:22:05 CEST THREADMGMT: Started thread (1106914224) for idle hosts detection
Fr 25 Aug 2006 15:22:05 CEST THREADMGMT: Started thread (1109015472) for DNS address resolution
Fr 25 Aug 2006 15:22:05 CEST Calling plugin start functions (if any)
Fr 25 Aug 2006 15:22:05 CEST SSL is present but https is disabled: use -W <https port> for enabling it
Fr 25 Aug 2006 15:22:05 CEST INITWEB: Initializing web server

Please enter the password for the admin user: Fr 25 Aug 2006 15:22:05 CEST THREADMGMT: Packet processor thread running...
Fr 25 Aug 2006 15:22:05 CEST THREADMGMT: Fingerprint scan thread running...
Fr 25 Aug 2006 15:22:05 CEST THREADMGMT: Idle host scan thread running...
Fr 25 Aug 2006 15:22:05 CEST THREADMGMT: Address resolution thread running...
Fr 25 Aug 2006 15:22:05 CEST CHKVER: **********************PRIVACY**NOTICE************* *********
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * ntop instances may record individually identifiable *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * information on a remote system as part of the version *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * check. *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * You may request - via the --skip-version-check option *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * that this check be skipped and that no individually *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * identifiable information be recorded. *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * In general, we ask you to permit this check because it *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * benefits both the users and developers of ntop. *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * Review the man ntop page for more information. *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: * *
Fr 25 Aug 2006 15:22:05 CEST CHKVER: **********************PRIVACY**NOTICE************* *********
Fr 25 Aug 2006 15:22:05 CEST CHKVER: Checking current ntop version at version.ntop.org/version.xml
Fr 25 Aug 2006 15:22:07 CEST CHKVER: Version file is from 'version.ntop.org'
Fr 25 Aug 2006 15:22:07 CEST CHKVER: as of date is '2005-10-22T09:43:00'
Fr 25 Aug 2006 15:22:07 CEST CHKVER: This version of ntop is a minimally supported but OLDER version - please upgrade

Please enter the password for the admin user:
Please enter the password again:
Fr 25 Aug 2006 15:23:08 CEST Admin user password has been set
Fr 25 Aug 2006 15:23:08 CEST INITWEB: Initializing tcp/ip socket connections for web server
Fr 25 Aug 2006 15:23:08 CEST INITWEB: Initialized socket, port 3000, address (any)
Fr 25 Aug 2006 15:23:08 CEST INITWEB: Waiting for HTTP connections on port 3000
Fr 25 Aug 2006 15:23:08 CEST INITWEB: Starting web server
Fr 25 Aug 2006 15:23:08 CEST THREADMGMT: Started thread (1113217968) for web server
Fr 25 Aug 2006 15:23:08 CEST Listening on [eth0]
Fr 25 Aug 2006 15:23:08 CEST Loading Plugins
Fr 25 Aug 2006 15:23:08 CEST Searching for plugins in /usr/lib/ntop/plugins
Fr 25 Aug 2006 15:23:08 CEST LASTSEEN: Welcome to LastSeenWatchPlugin. (C) 1999 by Andrea Marangoni
Fr 25 Aug 2006 15:23:08 CEST THREADMGMT: web connections thread (17527) started...
Fr 25 Aug 2006 15:23:08 CEST Note: SIGPIPE handler set (ignore)
Fr 25 Aug 2006 15:23:08 CEST WEB: ntop's web server is now processing requests
Fr 25 Aug 2006 15:23:08 CEST ICMP: Welcome to icmpWatchPlugin. (C) 1999-2004 by Luca Deri
Fr 25 Aug 2006 15:23:08 CEST NETFLOW: Welcome to NetFlow.(C) 2002-04 by Luca Deri
Fr 25 Aug 2006 15:23:08 CEST PDA: Welcome to PDAPlugin. (C) 2001-2004 by L.Deri and W.Brock
Fr 25 Aug 2006 15:23:08 CEST RRD: Welcome to rrdPlugin. (C) 2002-04 by Luca Deri.
Fr 25 Aug 2006 15:23:08 CEST SFLOW: Welcome to sFlow.(C) 2002-04 by Luca Deri
Fr 25 Aug 2006 15:23:08 CEST SNMP: Welcome to snmpPlugin. (C) 2004 by F.Fusco and G.Giardina
Fr 25 Aug 2006 15:23:08 CEST XML: Welcome to xmldump plugin. (C) 2003-2004 by Burton Strauss
Fr 25 Aug 2006 15:23:08 CEST Calling plugin start functions (if any)
Fr 25 Aug 2006 15:23:08 CEST RRD: Welcome to the RRD plugin
Fr 25 Aug 2006 15:23:08 CEST RRD: Mask for new directories is 0700
Fr 25 Aug 2006 15:23:08 CEST RRD: Mask for new files is 0066
Fr 25 Aug 2006 15:23:08 CEST RRD: Started thread (1115593648) for data collection.
Fr 25 Aug 2006 15:23:08 CEST Now running as requested user 'nobody' (65534:65533)
Fr 25 Aug 2006 15:23:08 CEST **WARNING** INIT: Unable to create pid file (/var/lib/ntop/ntop.pid)
Fr 25 Aug 2006 15:23:08 CEST Note: Reporting device initally set to 0 [eth0] (merged)
Fr 25 Aug 2006 15:23:08 CEST THREADMGMT: Started thread (1117694896) for network packet sniffing on eth0
Fr 25 Aug 2006 15:23:08 CEST THREADMGMT: rrd thread (1115593648) started
Fr 25 Aug 2006 15:23:08 CEST THREADMGMT: pcapDispatch(eth0) thread running...
Fr 25 Aug 2006 15:23:18 CEST **ERROR** RRD: Disabled - unable to create base directory (err 13, /var/lib/ntop/rrd)

aus der fehlermeldung werd ich allerdings nicht schlau....

d4n1el
25.08.06, 15:26
Fr 25 Aug 2006 15:23:18 CEST **ERROR** RRD: Disabled - unable to create base directory (err 13, /var/lib/ntop/rrd)

erstell mal das verzeichnis rdd
oder gibt mal chmod 775 auf sein verzeichnis.


r 25 Aug 2006 15:23:08 CEST **WARNING** INIT: Unable to create pid file (/var/lib/ntop/ntop.pid)

das gleiche versuchs mal mit chmod 775 -R pfad

Inge
25.08.06, 15:34
Fr 25 Aug 2006 15:23:18 CEST **ERROR** RRD: Disabled - unable to create base directory (err 13, /var/lib/ntop/rrd)

erstell mal das verzeichnis rdd
oder gibt mal chmod 775 auf sein verzeichnis.


r 25 Aug 2006 15:23:08 CEST **WARNING** INIT: Unable to create pid file (/var/lib/ntop/ntop.pid)

das gleiche versuchs mal mit chmod 775 -R pfad



# ntop
Fri Aug 25 15:37:56 2006 Initializing gdbm databases
Fri Aug 25 15:37:56 2006 **FATAL_ERROR** ....open of /var/lib/ntop/prefsCache.db failed: Can't be writer
Fri Aug 25 15:37:56 2006 Possible solution: please use '-P <directory>'

d4n1el
25.08.06, 15:40
ich persöhnlich kennd as programm nicht.
authed sich das programm als ein bestimmten user?

Tomek
25.08.06, 15:44
Bitte die Dokumentation in /usr/share/doc/packages/ntop/ lesen oder die auf der Website:

http://www.ntop.org/documentation.html

Inge
25.08.06, 20:30
also, die installation hat jetzt geklappt, es lief schon, musste nur noch das webinterface aufrufen...
allerdings werd ich immernoch nicht so richtig schlau draus, da sind 2 hosts, welche beide jeweils 3GB traffic hatten, wärend der rest nur so bei ein paar mb und weniger liegt, allerdings habe ich laut strato schon wieder 100 weitere GB verbraucht. ich würde mich sehr freuen, wenn ich mal jemandem den link für mein ntop schicken kann, weil öffentlich darf ich ja die ips/hosts nicht zugänglich machen....

sm0ker
25.08.06, 20:40
ja dann schick halt mal ne pm...