Monday, 15 December 2008

Juletip 15: hvem er det der snakker

« Juletip 14: webserver test inden julen | Main | Juletip 16: vågner vågner danske helte »

Dagens tip bliver ultrakort, ingen film og meget få billeder - undskuld, men der skal laves mad til familien...

Når man har et netværk er det jo rart at vide hvad der foregår og det kan man selvfølgelig finde ud af med Tcpdump, Wireshark og tilsvarende sniffer programmer. Men der er også en anden metode - nemlig trafshow eller pftop til at vise status på nettet - lige nu.

Det startes med det netværkskort der skal overvåges, så på min firewall er det: sudo trafshow -ni vr3, som så giver følgende øjebliksbillede af netværkstrsfikken:

trafshow

Hey, det er nice - jeg kan se der er en SSH session fra min maskine til 130.225.96.226 på port 22, men fra min adresse 217.157.63.251 (DHCP tildelt fra Cybercity). Den resterende trafik er vist WoW som min søn spiller, lidt NTP trafik (port 123) og i det typiske billede er der så også en jævn strøm af SMTP med spam, og lidt almindelig e-mail.

Det er utroligt nemt at bruge trafshow og det findes som en port, men understøtter ikke IPv6 særligt godt :-(

Derfor er jeg begyndt at bruge pftop som ihvertfald findes til OpenBSD og FreeBSD som port.

Dette program er knapt så overskueligt, men der er også presset meget information ind på lidt plads:

pftop

og den understøtter som man kan se IPv6 fint :-)

Der ses en del IMAPS port 993, IRC som kommer fra 2001:16d8:ffd2::210, ... - pftop viser alle forbindelserne, ikke kun fra et interface.

Lige pt. er den sorteret på rate, hvem der bruger mest båndbredde, men den kan styres med ganske enkle kommandoer - tryk ? for at få hjælpen frem:

 pfTop Help

      c  - toggle state Cache            f  - set state Filter
      h  - Help (this page)              n  - set Number of lines
      o  - next sort Order               p  - Pause display
      r  - Reverse sort order            s  - Set update interval
      v  - next View                     q  - Quit

     0-8 - select view directly
     SPC - update immediately
     ^L  - refresh display
     ^G  - clear command entry line

     cursor keys - scroll display

   Sorting shortcuts:

      A  - Age            B  - Bytes          D  - Dest. port
      E  - Expiry         F  - From           N  - None
      P  - Packets        S  - Src. port      T  - To
      R  - Rate           K  - peaK

      press any key to continue ...

Så dagens tip går ganske simpelt ud på at starte et af ovenstående hvis der er problemer på netværket - begge virker fint og vil i de fleste tilfælde hurtigt medvirke til at forstå hvad der sker, eksempelvis hvem der trækker al båndbredden!

Håber I kan bruge det :-)

Posted by hlk at CET 16:12 15/12/2008 in Toolbox entries

Responses (1)

 

[Trackback URL for this entry]

Comment: Klavs Klavsen at Mon, 15 Dec 8:27 PM

jnettop er også et rigtig rart program til det samme :)

Your comment:

(not displayed)
 
 
 

Live Comment Preview:

 
« september »
mationtofr
  12345
6789101112
13141516171819
20212223242526
27282930