Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение		[ Отслеживать ]

"Статистика колличества активных соединений"	+/–
Сообщение от kolyaniust (??) on 19-Июл-12, 18:14
Как можно определить, у кого из пользователей больше всего tcp, udp соединений. sh ip nat translations - показывает все соединения, а возможно как то через RSH на FreeBsd, написать какой то запрос (извините не силен в этом), что бы посмотреть кто допустим сидит с включенным torrent. /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra| grep 192.168.0.1 |  wc -l покажет количество  соединений только для 192.168.0.1 Смог сделать только через grep, но так нужно перебирать все адреса. подскажите...
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Статистика колличества активных соединений"	+/–
Сообщение от VolanD (ok) on 20-Июл-12, 06:03
> Как можно определить, у кого из пользователей больше всего tcp, udp соединений. > sh ip nat translations - показывает все соединения, а возможно как то > через RSH на FreeBsd, написать какой то запрос (извините не силен > в этом), что бы посмотреть кто допустим сидит с включенным torrent. > /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra| grep 192.168.0.1 |   > wc -l > покажет количество  соединений только для 192.168.0.1 > Смог сделать только через grep, но так нужно перебирать все адреса. > подскажите... А как вы по портам поймете, что это торрент? Я бы сделал через NetFlow
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Статистика колличества активных соединений"	+/–
	Сообщение от eek on 20-Июл-12, 06:28
	> А как вы по портам поймете, что это торрент? Я бы сделал > через NetFlow фыва А как вы по netflow поймете что это торрент? Насколько я знаю, без DPI в той или иной реализации, точно это сделать не представляется возможным. Для меня это не праздный интерес, если есть метод расскажите. Ибо netflow как не крути значительно дешевле DPI на широком канале.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Статистика колличества активных соединений"	+/–
	Сообщение от VolanD (ok) on 20-Июл-12, 06:30
	>> А как вы по портам поймете, что это торрент? Я бы сделал >> через NetFlow фыва > А как вы по netflow поймете что это торрент? > Насколько я знаю, без DPI в той или иной реализации, точно это > сделать не представляется возможным. Для меня это не праздный интерес, если > есть метод расскажите. Ибо netflow как не крути значительно дешевле DPI > на широком канале. Сорри, неверно выразился. Я хотел сказать, что автору будет тяжело отловить торрент. Но то что он хочет сделать (а именно видеть куда и кто ходит)- я бы сделал через NetFlow.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Статистика колличества активных соединений"	+/–
	Сообщение от kolyaniust (??) on 20-Июл-12, 10:02
	>>> А как вы по портам поймете, что это торрент? Я бы сделал >>> через NetFlow фыва >> А как вы по netflow поймете что это торрент? >> Насколько я знаю, без DPI в той или иной реализации, точно это >> сделать не представляется возможным. Для меня это не праздный интерес, если >> есть метод расскажите. Ибо netflow как не крути значительно дешевле DPI >> на широком канале. > Сорри, неверно выразился. Я хотел сказать, что автору будет тяжело отловить торрент. > Но то что он хочет сделать (а именно видеть куда и > кто ходит)- я бы сделал через NetFlow. Согласен отловить торрент тяжело, но по статическим данным почти всегда он установлен и включен у того, у кого на данный момент огромное количество tcp соединений, если идет кач. Хотя это не факт, но практически так всегда и бывает. Задача стоит не видеть куда кто ходит, а посмотреть у кого из пользователей самое большое количество tcp сессий.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Статистика колличества активных соединений"	+/–
Сообщение от McS555 (ok) on 20-Июл-12, 10:20
> Как можно определить, у кого из пользователей больше всего tcp, udp соединений. > sh ip nat translations - показывает все соединения, а возможно как то > через RSH на FreeBsd, написать какой то запрос (извините не силен > в этом), что бы посмотреть кто допустим сидит с включенным torrent. > /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra| grep 192.168.0.1 |   > wc -l > покажет количество  соединений только для 192.168.0.1 > Смог сделать только через grep, но так нужно перебирать все адреса. > подскажите... Ну если просто в данный момент посмотреть, то можно на самой цыске отсортировать show ip nat translations | include 192.168.0.25 Можно по портам. А можно и по адресу и по порту
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Статистика колличества активных соединений"	+/–
	Сообщение от kolyaniust (??) on 20-Июл-12, 11:17
	>[оверквотинг удален] >> в этом), что бы посмотреть кто допустим сидит с включенным torrent. >> /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra| grep 192.168.0.1 | >> wc -l >> покажет количество  соединений только для 192.168.0.1 >> Смог сделать только через grep, но так нужно перебирать все адреса. >> подскажите... > Ну если просто в данный момент посмотреть, то можно на самой цыске > отсортировать > show ip nat translations | include 192.168.0.25 > Можно по портам. А можно и по адресу и по порту Так покажет все соединения по адресу 192.168.0.25 , но не количество. а так /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra| grep 192.168.0.1 | wc -l 2546  - количество
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Статистика колличества активных соединений"	+/–
	Сообщение от stereoPANDA on 20-Июл-12, 12:19
	Если сможете куда-нибудь(paste.org) скинуть весь вывод: /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra B я вам навояю скрипт. (Интерес - спортивный.)
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Статистика колличества активных соединений"	+/–
	Сообщение от kolyaniust (??) on 20-Июл-12, 13:08
	> Если сможете куда-нибудь(paste.org) скинуть весь вывод: > /usr/bin/rsh -l root 192.168.0.25 sh ip nat tra > B я вам навояю скрипт. > (Интерес - спортивный.) на paste.org, не получилось, отослал вам файлом на почту. Буду ждать результаты спортивного интереса ))) За ранее Благодарю!!!
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Статистика колличества активных соединений"	+1 +/–
	Сообщение от stereoPANDA on 20-Июл-12, 13:44
	> на paste.org, не получилось, отослал вам файлом на почту. А у меня получилось - http://paste.org/51919 Вот строчка: for IP in 192.168.0.{1..255}; do echo $IP $(cat nat | grep $IP | wc -l); done | sed '/0$/d' | awk '{if ($2 > 40) {print $0, "TORRENT" }}' 1. Создаю цикл по пулу IP адресов(пул поменяй, если у тебя не такой): for IP in 192.168.0.{1..255} 2. Вывод хочу видеть таким: "IP пробел колличество соединений": do echo $IP $(cat nat | grep $IP | wc -l); done (Тут вместо "cat nat" тебе нужно сделать "/usr/bin/rsh -l root 192.168.0.25 sh ip nat tra") 3. Вырезаю все строки, где кол. соединений = 0: sed '/0$/d' 4. Для тех строк, где кол. соединений > 40 печать этих строк и через пробел алярма (= : awk '{if ($2 > 40) {print $0, "TORRENT" }}' Ну и вывод получается таким: [root@zabbix ~]# for IP in 192.168.0.{1..255}; do echo $IP $(cat nat | grep $IP | wc -l); done | sed '/0$/d' | awk '{if ($2 > 40) {print $0, "TORRENT" }}' 192.168.0.1 41 TORRENT 192.168.0.2 45 TORRENT 192.168.0.11 41 TORRENT 192.168.0.20 45 TORRENT 192.168.0.111 41 TORRENT Занавес.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Статистика колличества активных соединений"	+/–
	Сообщение от kolyaniust (??) on 20-Июл-12, 15:36
	Огромнейшее спасибо за скрипт, он теперь у меня очень часто будет применяться. 2 торрента уже обезврежено.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Статистика колличества активных соединений"	+/–
	Сообщение от stereoPANDA on 20-Июл-12, 15:39
	Всегда пожалуйста.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Статистика колличества активных соединений"	+/–
	Сообщение от tashmen (ok) on 07-Фев-18, 13:21
	> Всегда пожалуйста. Подниму тему. Спасибо за скрипт, но лучше доработать, т.к. например если качает IP 192.168.0.153 то в выводе  появляются несуществующие 192.168.0.1 192.168.0.15 (т.е. производные от 153 1-15-153) Так же и у Вас в выводе 1-11-111 Нужно заменить "grep $IP" на "grep $IP -w"
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема