0

ssh を使用してコマンドを Tcpdump を制御するシェル スクリプトに送信することにより、サーバー インターフェイス上のトラフィックをリモートでキャプチャしました。

#!/bin/bash
# Script to Start/Stop TCP
# Usage: ./ControlTCPdump.sh start|stop [filename]

CONSOLE_OUTPUT="tcpdump$( date +%m%d ).console"
HOST_NAME=`hostname`

#Default filename:
if [ "$2" = "" ]; then
    FILENAME="traffic.dmp"
else
    FILENAME=$2
fi

if [ "$1" = start ]; then
    echo $(date) $FILENAME >> $CONSOLE_OUTPUT
    if [ "" = "$(pidof tcpdump)" ]; then
        nohup tcpdump -s 96 -w $FILENAME -i em2 -n tcp > /dev/null &>> $CONSOLE_OUTPUT &
        echo [$HOST_NAME] TCPdump is started\!
    else
        echo [$HOST_NAME] There is runnung process. Kill All\!
        killall -q tcpdump #Quiet, don't talk
        sleep 1
        if [ "" = "$(pidof tcpdump)" ]; then
            echo [$HOST_NAME] Restarting TCPdump...
            nohup tcpdump -s 96 -w $FILENAME -i em2 -n tcp >/dev/null &>> $CONSOLE_OUTPUT &
            echo [$HOST_NAME] TCPdump is started\!
        else
            echo [$HOST_NAME] Error\! Cannot kill them\!
            exit 0
        fi
    fi
else 
    if [ "$1" = stop ]; then
        TD=`pidof tcpdump`
        if [ -n "$TD" ]; then
            kill "$TD"
        fi
        sleep 1
        if [ "" = "$(pidof tcpdump)" ]; then
            echo [$HOST_NAME] TCPdump is stopped\!
        else
            echo [$HOST_NAME] Error\! Cannot kill them\!
            exit 0
        fi        
    else
        echo [$HOST_NAME] Syntax error\!
        exit 0
    fi
fi

レポートによると、すでに数千のパケットをキャプチャしています。しかし、tcpdump cap ファイルを見ると空で、tcptrace で読み取ると問題が発生します。

...
Mon Mar 25 23:25:48 CET 2013 CapturedTraffic201303252230/Traffic30.dmp
tcpdump: listening on em2, link-type EN10MB (Ethernet), capture size
96 bytes 1403831 packets captured 1403831 packets received by filter 0
packets dropped by kernel Mon Mar 25 23:27:28 CET 2013

CapturedTraffic201303252230/Traffic31.dmp tcpdump: listening on em2,
link-type EN10MB (Ethernet), capture size 96 bytes 1378692 packets
captured 1378692 packets received by filter 0 packets dropped by
kernel
...

現象は次のようなものです(「ls -l」を使用してファイルサイズを確認します):

...
-rw-r--r--. 1 root root 105206180 Mar 25 16:37 Traffic05.dmp
-rw-r--r--. 1 root root 117855276 Mar 25 16:39 Traffic06.dmp
-rw-r--r--. 1 root root 109911288 Mar 25 16:40 Traffic07.dmp
-rw-r--r--. 1 root root 121505444 Mar 25 16:42 Traffic08.dmp
-rw-r--r--. 1 root root 110303300 Mar 25 16:43 Traffic09.dmp
-rw-r--r--. 1 root root 120444026 Mar 25 16:45 Traffic10.dmp
-rw-r--r--. 1 root root  98545664 Mar 25 16:46 Traffic11.dmp
-rw-r--r--. 1 root root         0 Mar 25 16:48 Traffic12.dmp
-rw-r--r--. 1 root root         0 Mar 25 16:50 Traffic13.dmp
-rw-r--r--. 1 root root         0 Mar 25 16:51 Traffic14.dmp
-rw-r--r--. 1 root root         0 Mar 25 16:53 Traffic15.dmp
-rw-r--r--. 1 root root         0 Mar 25 16:54 Traffic16.dmp
...

うまくいくこともあれば、うまくいかないこともありました。以前にこの種の問題に遭遇した人はいますか? 私を助けてくれてありがとう。

4

1 に答える 1

-1

私はあなたのスクリプトを試しましたが、いくつかの点があります (あなたの問題には関係ありません)。

  • あなたが割り当てHOSTNAME(ちなみに、これはデフォルトですでに設定されています)、常にHOST_NAMEを使用します。HOST_NAMEたぶん、代わりに設定したかったですか?

  • スクリプトの最後elsefi

つまり、ファイルは一定のサイズ (別名バッファー) に達するとディスクに書き込まれます。との同期を強制できますsync。例:

# ls -al
total 16
drwxr-xr-x 2 root     root  4096 Mar 26 10:51 .
drwxr-xr-x 5 elisiano users 4096 Mar 26 10:43 ..
-rwxr-xr-x 1 elisiano users 1327 Mar 26 10:49 ControlTCPdump.sh
-rw-r--r-- 1 root     root   119 Mar 26 10:51 tcpdump0326.console
-rw-r--r-- 1 root     root     0 Mar 26 10:51 traffic.dmp
[root@pc-elisiano /home/elisiano/Projects/ctcpd ]# ls -al
total 16
drwxr-xr-x 2 root     root  4096 Mar 26 10:51 .
drwxr-xr-x 5 elisiano users 4096 Mar 26 10:43 ..
-rwxr-xr-x 1 elisiano users 1327 Mar 26 10:49 ControlTCPdump.sh
-rw-r--r-- 1 root     root   119 Mar 26 10:51 tcpdump0326.console
-rw-r--r-- 1 root     root     0 Mar 26 10:51 traffic.dmp
# sync
# ls -al
total 24
drwxr-xr-x 2 root     root  4096 Mar 26 10:51 .
drwxr-xr-x 5 elisiano xbmc  4096 Mar 26 10:43 ..
-rwxr-xr-x 1 elisiano users 1327 Mar 26 10:49 ControlTCPdump.sh
-rw-r--r-- 1 root     root   119 Mar 26 10:51 tcpdump0326.console
-rw-r--r-- 1 root     root  8192 Mar 26 10:51 traffic.dmp

一度うまくいかなかったコンソール出力の出力を貼り付けていただけませんか?

また、ファイル サイズのファイル システム制限に達していますか?

これをデバッグするには、端末マルチプレクサー (screen や tmux など) で tcpdump を起動し、そこで実行させます (セッションを切り離しても)。このようにして (セッションを再接続すると)、追加の出力が表示されます。

于 2013-03-26T10:06:37.890 に答える