Léa-Linux : « détection de gros consommateurs de bande passante »

Conversation precedente ou suivante

Les sections > Les forums de cette section > Les messages de ce forum > Ce thread >

Aller à la page: 1 2 Page suivante

Page: 1 sur 2

détection de gros consommateurs de bande passante

Envoyé par: Romy

Bonjous les amis
Je dois administrer un réseau local connecté à internet par une passerelle, j'ai besoin de mettre au point un script me permettant de détecter les gros consommateurs de bande passante et d'internet.

Sur la passerelle, j'ai tapé la commande :
tcpdump -n -i eth0
pour avoir la capture pendant à peu près 10 minutes, le temps de voir tout le trafic.

j'ai redirriger cette capture vers un fichier que j'ai nommé capture1

C'est cette capture que je dois analyser par un script shell

pour afficher un résumé qui doit me donner le résultat suivant (avec des colonnes et lignes):

adresse IP nbre d'octets émis débits %

un petit programme en C me sera aussi nécessaire pour calculer le débit et le pourcentage :
le débit : nombre de paquets émis / nombre de paquets capturer
% : taille totale émise / temps de capture

J'ai besoin de votre aide.

Poste le Saturday 29 April 2006 20:22:13

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Sve@r

Citation
Romy
Bonjous les amis
Je dois administrer un réseau local connecté à
internet par une passerelle, j'ai besoin de mettre
au point un script me permettant de détecter les
gros consommateurs de bande passante et
d'internet.

Sur la passerelle, j'ai tapé la commande :
tcpdump -n -i eth0
pour avoir la capture pendant à peu près 10
minutes, le temps de voir tout le trafic.

j'ai redirriger cette capture vers un fichier que
j'ai nommé capture1

C'est cette capture que je dois analyser par un
script shell

pour afficher un résumé qui doit me donner le
résultat suivant (avec des colonnes et lignes):

adresse IP nbre d'octets émis
débits %

un petit programme en C me sera aussi nécessaire
pour calculer le débit et le pourcentage :
le débit : nombre de paquets émis / nombre de
paquets capturer
% : taille totale émise / temps de capture

J'ai besoin de votre aide.

Le C peut être utile mais n'est pas nécessaire. En utilisant "expr" et/ou "bc -l" dans ton script, tu peux arriver à faire des calculs.

Bon, je connais pas l'allure de ce que te donne "tcpdump" (ça m'aiderait si tu me la donnais)... mais je pense qu'en mixtant judicieusement du sort avec du awk, tu dois pouvoir arriver à t'en sortir non ???

L'homme qui murmurait à l'oreille des pingouins
[fr.lang.free.fr]

Poste le Sunday 30 April 2006 20:20:16

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Romy

Le tcpdump me donne l'allure du trafic sur le réseau à travers la passerelle
(exp.: un utilisateur qui communique avec un autre en lui envoyant des paquets, et l'autre qui les reçois à travers des ports différents).
Mais c'est l'émission qui m'interesse.

Effectivement je suis n train d'essayer certaines commandes comme : sort, cut, cat, let, tr mais je m'en sors pas.

Poste le Sunday 30 April 2006 21:26:01

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: phenix

Au fait, pourquoi as tu besoin de te creer un programme au lieu d'utiliser ntop par exemple ?

$ uptime
19:28:06 up 12 days, 20:46,  2 users,  load average: 213.96, 212.37, 208.44

Poste le Monday 1 May 2006 10:42:00

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Sve@r

Citation
Romy
Le tcpdump me donne l'allure du trafic sur le
réseau à travers la passerelle

vivi, je sasi à quoi sert tcpdump. Ce dont j'ai besoin pour t'aider, c'est d'avoir la structure exacte de la sortie (colonnes, séparateur, etc...)... ou alors t'attends demain. Là, je suis pas au bureau et je n'ai pas de Linux pour regarder tcpdump...

L'homme qui murmurait à l'oreille des pingouins
[fr.lang.free.fr]

Poste le Monday 1 May 2006 11:41:42

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Romy

Poste le Tuesday 2 May 2006 11:44:52

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Romy

Je vous envoie la structure presqu'exacte du trafic telle que je l'ai prise dans la passerelle. J'ai du la racourcir pour éviter de très long message.
En principe cette capture doit s'exécute disons pendant 10 minutes et je dois, après éxécution (à la 10ème minute),
- l'analyser grace au script.
- afficher le résumé (adresse IP nbre de paquets émis débit %)
- enregistrer le resultat dans un fichier texte

Je dois faire exécuter ce programme doit s'exécuter de manière séquentielle.

17:19:18.218502 IP (tos 0x0, ttl 128, id 27339, offset 0, flags [DF], length: 48) 192.168.1.84.1868 > 192.168.1.1.8080: S [tcp sum ok] 3374677847:3374677847(0) win 65535 <mss 1460,nop,nop,sackOK>
17:19:18.218533 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], length: 48) 192.168.1.1.8080 > 192.168.1.84.1868: S [tcp sum ok] 1009969847:1009969847(0) ack 3374677848 win 5840 <mss 1460,nop,nop,sackOK>
17:19:18.219041 IP (tos 0x0, ttl 128, id 27340, offset 0, flags [DF], length: 40) 192.168.1.84.1868 > 192.168.1.1.8080: . [tcp sum ok] ack 1 win 65535
17:19:18.323962 arp who-has 10.80.9.250 tell 10.80.10.235
17:19:18.324070 arp who-has 10.80.9.254 tell 10.80.10.235
17:19:18.433431 IP (tos 0x0, ttl 128, id 50781, offset 0, flags [none], length: 65) 192.168.1.254.1034 > 192.168.1.1.53: [udp sum ok] 205+ A? update.symantec.com. (37)
17:19:18.452578 IP (tos 0x0, ttl 64, id 34124, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:18.488506 IP (tos 0x0, ttl 64, id 45863, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.162.1114: P 993761741:993763189(1448) ack 3477099951 win 7504
17:19:18.546434 IP (tos 0x0, ttl 64, id 34126, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:18.562417 IP (tos 0x0, ttl 64, id 34128, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:18.562560 IP (tos 0x0, ttl 64, id 34130, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:18.567854 IP (tos 0x0, ttl 128, id 2932, offset 0, flags [DF], length: 40) 192.168.1.162.1114 > 192.168.1.1.8080: . [tcp sum ok] ack 1448 win 17520
17:19:18.577663 IP (tos 0x0, ttl 64, id 34132, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:18.596658 IP (tos 0x0, ttl 64, id 34134, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:18.624867 IP (tos 0x0, ttl 64, id 34136, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:18.625041 IP (tos 0x0, ttl 64, id 34138, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:18.656731 IP (tos 0x0, ttl 64, id 34140, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:18.671740 IP (tos 0x0, ttl 64, id 34142, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:18.821236 802.1d config 8001.00:0b:fd:d0:b6:c0.8004 root 8001.00:0b:fd:d0:b6:c0 pathcost 0 age 0 max 20 hello 2 fdelay 15
17:19:19.017962 IP (tos 0x0, ttl 64, id 32044, offset 0, flags [DF], length: 1500) 192.168.1.1.8080 > 192.168.1.162.1115: . 989151976:989153436(1460) ack 3477316370 win 7728
17:19:19.017975 IP (tos 0x0, ttl 64, id 32046, offset 0, flags [DF], length: 107) 192.168.1.1.8080 > 192.168.1.162.1115: P 1460:1527(67) ack 1 win 7728
17:19:19.024478 IP (tos 0x0, ttl 128, id 2933, offset 0, flags [DF], length: 40) 192.168.1.162.1115 > 192.168.1.1.8080: . [tcp sum ok] ack 1527 win 17520
17:19:19.065017 IP (tos 0x0, ttl 64, id 38745, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.91.1435: P 28686478:28687926(1448) ack 4276235889 win 7830
17:19:19.093056 IP (tos 0x0, ttl 64, id 34146, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.121374 IP (tos 0x0, ttl 128, id 4467, offset 0, flags [DF], length: 48) 192.168.1.212.4575 > 192.168.1.1.8080: S [tcp sum ok] 1450892858:1450892858(0) win 64240 <mss 1460,nop,nop,sackOK>
17:19:19.121399 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], length: 48) 192.168.1.1.8080 > 192.168.1.212.4575: S [tcp sum ok] 1012728083:1012728083(0) ack 1450892859 win 5840 <mss 1460,nop,nop,sackOK>
17:19:19.121545 IP (tos 0x0, ttl 128, id 4468, offset 0, flags [DF], length: 40) 192.168.1.212.4575 > 192.168.1.1.8080: . [tcp sum ok] ack 1 win 64240
17:19:19.121709 IP (tos 0x0, ttl 128, id 4469, offset 0, flags [DF], length: 242) 192.168.1.212.4575 > 192.168.1.1.8080: P 1:203(202) ack 1 win 64240
17:19:19.121725 IP (tos 0x0, ttl 64, id 29454, offset 0, flags [DF], length: 40) 192.168.1.1.8080 > 192.168.1.212.4575: . [tcp sum ok] ack 203 win 6432
17:19:19.202340 IP (tos 0x0, ttl 64, id 34149, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.296125 IP (tos 0x0, ttl 64, id 34152, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.311809 IP (tos 0x0, ttl 64, id 34154, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.311940 IP (tos 0x0, ttl 64, id 34156, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.327417 IP (tos 0x0, ttl 64, id 34158, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.342957 IP (tos 0x0, ttl 64, id 34160, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.375170 IP (tos 0x0, ttl 64, id 34162, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.375318 IP (tos 0x0, ttl 64, id 34164, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.405599 IP (tos 0x0, ttl 64, id 34166, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.418191 arp who-has 10.80.9.250 tell 10.80.10.235
17:19:19.418297 arp who-has 10.80.9.254 tell 10.80.10.235
17:19:19.421212 IP (tos 0x0, ttl 64, id 34168, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.431631 IP (tos 0x0, ttl 128, id 50782, offset 0, flags [none], length: 65) 192.168.1.254.1034 > 192.168.1.1.53: [udp sum ok] 205+ A? update.symantec.com. (37)
17:19:19.436665 IP (tos 0x0, ttl 64, id 61486, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 1448:2896(1448) ack 1 win 6723
17:19:19.486135 IP (tos 0x0, ttl 64, id 61488, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 2896:4344(1448) ack 1 win 6723
17:19:19.489200 IP (tos 0x0, ttl 128, id 27350, offset 0, flags [DF], length: 52) 192.168.1.84.1858 > 192.168.1.1.8080: . [tcp sum ok] ack 1448 win 65535 <nop,nop,sack sack 1 {2896:4344} >
17:19:19.533533 IP (tos 0x0, ttl 64, id 61490, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 4344:5792(1448) ack 1 win 6723
17:19:19.545804 IP (tos 0x0, ttl 128, id 44983, offset 0, flags [DF], length: 67) 192.168.1.104.1582 > 192.168.1.1.8080: P [tcp sum ok] 1:28(27) ack 70 win 16088
17:19:19.545813 IP (tos 0x0, ttl 64, id 28233, offset 0, flags [DF], length: 40) 192.168.1.1.8080 > 192.168.1.104.1582: . [tcp sum ok] ack 28 win 26280
17:19:19.605711 arp who-has 10.80.9.254 tell 10.80.10.152
17:19:19.683861 arp who-has 10.80.10.176 tell 10.80.10.235
17:19:19.683968 arp who-has 10.80.10.243 tell 10.80.10.235
17:19:19.741672 IP (tos 0x0, ttl 64, id 43092, offset 0, flags [DF], length: 1500) 192.168.1.1.8080 > 192.168.1.78.1189: . 1003733339:1003734799(1460) ack 2301992096 win 9368
17:19:19.741683 IP (tos 0x0, ttl 64, id 43094, offset 0, flags [DF], length: 107) 192.168.1.1.8080 > 192.168.1.78.1189: P 1460:1527(67) ack 1 win 9368
17:19:19.748736 IP (tos 0x0, ttl 128, id 2393, offset 0, flags [DF], length: 40) 192.168.1.78.1189 > 192.168.1.1.8080: . [tcp sum ok] ack 1527 win 17520
17:19:19.772305 IP (tos 0x0, ttl 64, id 55669, offset 0, flags [DF], length: 90) 192.168.1.1.4663 > 192.168.1.180.2523: P 32:70(38) ack 1 win 1448 <nop,nop,timestamp 621769892 30263662>
17:19:19.772866 IP (tos 0x0, ttl 63, id 48772, offset 0, flags [DF], length: 52) 192.168.1.180.2523 > 192.168.1.1.4663: . [tcp sum ok] ack 70 win 32741 <nop,nop,timestamp 30263662 621769892>
17:19:19.788973 IP (tos 0x0, ttl 64, id 43096, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.78.1189: P 1527:2975(1448) ack 1 win 9368
17:19:19.836460 IP (tos 0x0, ttl 64, id 43098, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.78.1189: P 2975:4423(1448) ack 1 win 9368
17:19:19.843241 IP (tos 0x0, ttl 64, id 34172, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.843386 IP (tos 0x0, ttl 128, id 2394, offset 0, flags [DF], length: 40) 192.168.1.78.1189 > 192.168.1.1.8080: . [tcp sum ok] ack 4423 win 17520
17:19:19.843579 IP (tos 0x0, ttl 64, id 61492, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 1448:2896(1448) ack 1 win 6723
17:19:19.846637 IP (tos 0x0, ttl 128, id 27351, offset 0, flags [DF], length: 40) 192.168.1.84.1858 > 192.168.1.1.8080: . [tcp sum ok] ack 4344 win 65535
17:19:19.846655 IP (tos 0x0, ttl 64, id 61494, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 4344:5792(1448) ack 1 win 6723
17:19:19.897917 IP (tos 0x0, ttl 64, id 45865, offset 0, flags [DF], length: 257) 192.168.1.1.8080 > 192.168.1.162.1114: P 1448:1665(217) ack 1 win 7504
17:19:19.952716 IP (tos 0x0, ttl 64, id 34174, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:19.973759 IP (tos 0x0, ttl 128, id 46874, offset 0, flags [none], length: 78) 10.80.10.219.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.020349 IP (tos 0x0, ttl 128, id 27362, offset 0, flags [DF], length: 40) 192.168.1.84.1858 > 192.168.1.1.8080: . [tcp sum ok] ack 5792 win 64087
17:19:20.046529 IP (tos 0x0, ttl 64, id 34176, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.062366 IP (tos 0x0, ttl 64, id 34180, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.073562 IP (tos 0x0, ttl 128, id 2935, offset 0, flags [DF], length: 40) 192.168.1.162.1114 > 192.168.1.1.8080: . [tcp sum ok] ack 1665 win 17303
17:19:20.077742 IP (tos 0x0, ttl 64, id 34182, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.093439 IP (tos 0x0, ttl 64, id 34184, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.124747 IP (tos 0x0, ttl 64, id 34186, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.124875 IP (tos 0x0, ttl 64, id 34188, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.155964 IP (tos 0x0, ttl 64, id 34190, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.169418 IP (tos 0x0, ttl 64, id 24543, offset 0, flags [DF], length: 1500) 192.168.1.1.8080 > 192.168.1.78.1190: . 997209841:997211301(1460) ack 2302050153 win 7056
17:19:20.169430 IP (tos 0x0, ttl 64, id 24545, offset 0, flags [DF], length: 107) 192.168.1.1.8080 > 192.168.1.78.1190: P 1460:1527(67) ack 1 win 7056
17:19:20.176496 IP (tos 0x0, ttl 128, id 2395, offset 0, flags [DF], length: 40) 192.168.1.78.1190 > 192.168.1.1.8080: . [tcp sum ok] ack 1527 win 17520
17:19:20.216427 IP (tos 0x0, ttl 64, id 24547, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.78.1190: P 1527:2975(1448) ack 1 win 7056
17:19:20.263643 IP (tos 0x0, ttl 64, id 24549, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.78.1190: P 2975:4423(1448) ack 1 win 7056
17:19:20.270550 IP (tos 0x0, ttl 128, id 2396, offset 0, flags [DF], length: 40) 192.168.1.78.1190 > 192.168.1.1.8080: . [tcp sum ok] ack 4423 win 17520
17:19:20.433548 IP (tos 0x0, ttl 128, id 50783, offset 0, flags [none], length: 65) 192.168.1.254.1034 > 192.168.1.1.53: [udp sum ok] 205+ A? update.symantec.com. (37)
17:19:20.494327 IP (tos 0x0, ttl 64, id 19599, offset 0, flags [DF], length: 493) 192.168.1.1.8080 > 192.168.1.78.1191: P 998254085:998254538(453) ack 2302166292 win 7744
17:19:20.495416 IP (tos 0x0, ttl 64, id 19601, offset 0, flags [DF], length: 40) 192.168.1.1.8080 > 192.168.1.78.1191: F [tcp sum ok] 453:453(0) ack 1 win 7744
17:19:20.497205 IP (tos 0x0, ttl 128, id 2397, offset 0, flags [DF], length: 40) 192.168.1.78.1191 > 192.168.1.1.8080: . [tcp sum ok] ack 454 win 17067
17:19:20.498774 IP (tos 0x0, ttl 128, id 2398, offset 0, flags [DF], length: 40) 192.168.1.78.1191 > 192.168.1.1.8080: F [tcp sum ok] 1:1(0) ack 454 win 17067
17:19:20.544808 IP (tos 0x0, ttl 64, id 32048, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.162.1115: P 1527:2975(1448) ack 1 win 7728
17:19:20.592693 IP (tos 0x0, ttl 64, id 32050, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.162.1115: P 2975:4423(1448) ack 1 win 7728
17:19:20.595514 IP (tos 0x0, ttl 64, id 34194, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.599103 IP (tos 0x0, ttl 128, id 2937, offset 0, flags [DF], length: 40) 192.168.1.162.1115 > 192.168.1.1.8080: . [tcp sum ok] ack 4423 win 17520
17:19:20.704705 IP (tos 0x0, ttl 64, id 34196, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.724105 IP (tos 0x0, ttl 128, id 46904, offset 0, flags [none], length: 78) 10.80.10.219.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.734898 IP (tos 0x0, ttl 64, id 38747, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.91.1435: P 1448:2896(1448) ack 1 win 7830
17:19:20.798371 IP (tos 0x0, ttl 64, id 34198, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.815311 IP (tos 0x0, ttl 64, id 34200, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.815808 IP (tos 0x0, ttl 64, id 34202, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.828749 IP (tos 0x0, ttl 64, id 34204, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.839196 IP (tos 0x0, ttl 64, id 12162, offset 0, flags [DF], length: 318) 192.168.1.1.8080 > 192.168.1.84.1862: P 999572863:999573141(278) ack 884661159 win 6432
17:19:20.840611 IP (tos 0x0, ttl 64, id 12164, offset 0, flags [DF], length: 40) 192.168.1.1.8080 > 192.168.1.84.1862: F [tcp sum ok] 278:278(0) ack 1 win 6432
17:19:20.844363 IP (tos 0x0, ttl 64, id 34206, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.876058 IP (tos 0x0, ttl 64, id 34208, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.876200 IP (tos 0x0, ttl 64, id 34210, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:20.907746 IP (tos 0x0, ttl 64, id 34212, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:21.137842 IP (tos 0x0, ttl 64, id 61496, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 5792:7240(1448) ack 1 win 6723
17:19:21.200240 arp who-has 10.80.9.250 tell 10.80.10.235
17:19:21.200347 arp who-has 10.80.9.254 tell 10.80.10.235
17:19:21.232789 IP (tos 0x0, ttl 64, id 61498, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 7240:8688(1448) ack 1 win 6723
17:19:21.282309 IP (tos 0x0, ttl 64, id 20793, offset 0, flags [DF], length: 1500) 192.168.1.1.8080 > 192.168.1.84.1866: . 995245471:995246931(1460) ack 1165406511 win 6432
17:19:21.329315 IP (tos 0x0, ttl 128, id 27366, offset 0, flags [DF], length: 40) 192.168.1.84.1858 > 192.168.1.1.8080: . [tcp sum ok] ack 7240 win 65535
17:19:21.344733 IP (tos 0x0, ttl 64, id 34218, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:21.381328 IP (tos 0x0, ttl 64, id 61500, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 8688:10136(1448) ack 1 win 6723
17:19:21.384354 IP (tos 0x0, ttl 128, id 27368, offset 0, flags [DF], length: 52) 192.168.1.84.1858 > 192.168.1.1.8080: . [tcp sum ok] ack 7240 win 65535 <nop,nop,sack sack 1 {8688:10136} >
17:19:21.430638 IP (tos 0x0, ttl 64, id 61502, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 10136:11584(1448) ack 1 win 6723
17:19:21.433697 IP (tos 0x0, ttl 128, id 27369, offset 0, flags [DF], length: 52) 192.168.1.84.1858 > 192.168.1.1.8080: . [tcp sum ok] ack 7240 win 65535 <nop,nop,sack sack 1 {8688:11584} >
17:19:21.544057 arp who-has 10.80.10.174 tell 10.80.10.235
17:19:21.594117 IP (tos 0x0, ttl 64, id 34230, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:21.610297 IP (tos 0x0, ttl 64, id 43100, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.78.1189: P 4423:5871(1448) ack 1 win 9368
17:19:21.625463 IP (tos 0x0, ttl 64, id 34232, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:21.625587 IP (tos 0x0, ttl 64, id 34234, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:21.656559 IP (tos 0x0, ttl 64, id 34236, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:21.657768 IP (tos 0x0, ttl 64, id 43102, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.78.1189: P 5871:7319(1448) ack 1 win 9368
17:19:21.664673 IP (tos 0x0, ttl 128, id 2399, offset 0, flags [DF], length: 40) 192.168.1.78.1189 > 192.168.1.1.8080: . [tcp sum ok] ack 7319 win 17520
17:19:21.673068 IP (tos 0x0, ttl 64, id 34238, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:21.737216 IP (tos 0x0, ttl 64, id 61504, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 7240:8688(1448) ack 1 win 6723
17:19:21.740318 IP (tos 0x0, ttl 128, id 27370, offset 0, flags [DF], length: 40) 192.168.1.84.1858 > 192.168.1.1.8080: . [tcp sum ok] ack 11584 win 65535
17:19:21.914219 IP (tos 0x0, ttl 64, id 33838, offset 0, flags [DF], length: 843) 192.168.1.1.8080 > 192.168.1.84.1868: P 1:804(803) ack 494 win 6432
17:19:21.914367 IP (tos 0x0, ttl 64, id 33840, offset 0, flags [DF], length: 40) 192.168.1.1.8080 > 192.168.1.84.1868: F [tcp sum ok] 804:804(0) ack 494 win 6432
17:19:21.916194 IP (tos 0x0, ttl 128, id 27378, offset 0, flags [DF], length: 40) 192.168.1.84.1868 > 192.168.1.1.8080: . [tcp sum ok] ack 805 win 64732
17:19:21.963590 IP (tos 0x0, ttl 128, id 27385, offset 0, flags [DF], length: 40) 192.168.1.84.1868 > 192.168.1.1.8080: F [tcp sum ok] 494:494(0) ack 805 win 64732
17:19:21.965240 IP (tos 0x0, ttl 64, id 24551, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.78.1190: P 4423:5871(1448) ack 1 win 7056
17:19:21.978161 IP (tos 0x0, ttl 64, id 27655, offset 0, flags [DF], length: 412) 192.168.1.1.53 > 192.168.1.254.1034: 205 6/7/7 update.symantec.com. CNAME[|domain]
17:19:21.978918 IP (tos 0x0, ttl 64, id 27656, offset 0, flags [DF], length: 412) 192.168.1.1.53 > 192.168.1.254.1034: 205 6/7/7 update.symantec.com. CNAME[|domain]
17:19:21.979146 IP (tos 0x0, ttl 64, id 27657, offset 0, flags [DF], length: 412) 192.168.1.1.53 > 192.168.1.254.1034: 205 6/7/7 update.symantec.com. CNAME[|domain]
17:19:21.990813 IP (tos 0x0, ttl 128, id 27391, offset 0, flags [DF], length: 40) 192.168.1.84.1870 > 192.168.1.1.8080: . [tcp sum ok] ack 1 win 65535
17:19:21.992610 IP (tos 0x0, ttl 128, id 27394, offset 0, flags [DF], length: 574) 192.168.1.84.1870 > 192.168.1.1.8080: P 1:535(534) ack 1 win 65535
17:19:23.017814 arp who-has 10.80.9.254 tell 10.80.8.250
17:19:23.050764 IP (tos 0x0, ttl 64, id 34272, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.064451 IP (tos 0x0, ttl 64, id 34274, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.064624 IP (tos 0x0, ttl 64, id 34276, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.079840 IP (tos 0x0, ttl 64, id 34278, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.096399 IP (tos 0x0, ttl 64, id 61512, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 15928:17376(1448) ack 1 win 6723
17:19:23.097896 IP (tos 0x0, ttl 64, id 34280, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.099443 IP (tos 0x0, ttl 128, id 27402, offset 0, flags [DF], length: 52) 192.168.1.84.1858 > 192.168.1.1.8080: . [tcp sum ok] ack 13032 win 64087 <nop,nop,sack sack 1 {14480:17376} >
17:19:23.127016 IP (tos 0x0, ttl 64, id 34282, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.127192 IP (tos 0x0, ttl 64, id 34284, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.143699 IP (tos 0x0, ttl 64, id 61514, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 17376:18824(1448) ack 1 win 6723
17:19:23.146759 IP (tos 0x0, ttl 128, id 27403, offset 0, flags [DF], length: 52) 192.168.1.84.1858 > 192.168.1.1.8080: . [tcp sum ok] ack 13032 win 64087 <nop,nop,sack sack 1 {14480:18824} >
17:19:23.146783 IP (tos 0x0, ttl 64, id 61516, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.84.1858: P 13032:14480(1448) ack 1 win 6723
17:19:23.149807 IP (tos 0x0, ttl 128, id 27404, offset 0, flags [DF], length: 40) 192.168.1.84.1858 > 192.168.1.1.8080: . [tcp sum ok] ack 18824 win 65535
17:19:23.158820 IP (tos 0x0, ttl 64, id 34286, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.173644 IP (tos 0x0, ttl 64, id 34288, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.185381 arp who-has 10.80.10.170 tell 10.80.10.235
17:19:23.276903 IP (tos 0x0, ttl 128, id 2404, offset 0, flags [DF], length: 48) 192.168.1.78.1192 > 192.168.1.1.8080: S [tcp sum ok] 2303612766:2303612766(0) win 16384 <mss 1460,nop,nop,sackOK>
17:19:23.276932 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], length: 48) 192.168.1.1.8080 > 192.168.1.78.1192: S [tcp sum ok] 1011047291:1011047291(0) ack 2303612767 win 5840 <mss 1460,nop,nop,sackOK>
17:19:23.277978 IP (tos 0x0, ttl 128, id 2406, offset 0, flags [DF], length: 40) 192.168.1.78.1192 > 192.168.1.1.8080: . [tcp sum ok] ack 1 win 17520
17:19:23.282805 IP (tos 0x0, ttl 128, id 2407, offset 0, flags [DF], length: 1132) 192.168.1.78.1192 > 192.168.1.1.8080: P 1:1093(1092) ack 1 win 17520
17:19:23.282831 IP (tos 0x0, ttl 64, id 55593, offset 0, flags [DF], length: 40) 192.168.1.1.8080 > 192.168.1.78.1192: . [tcp sum ok] ack 1093 win 7644
17:19:23.419984 arp who-has 10.80.9.250 tell 10.80.10.235
17:19:23.420092 arp who-has 10.80.9.254 tell 10.80.10.235
17:19:23.486088 IP (tos 0x0, ttl 128, id 23002, offset 0, flags [none], length: 265) 192.168.1.17.138 > 192.168.1.255.138: NBT UDP PACKET(138)
17:19:23.595144 IP (tos 0x0, ttl 64, id 34292, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.704493 IP (tos 0x0, ttl 64, id 34296, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.798301 IP (tos 0x0, ttl 64, id 34298, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.813979 IP (tos 0x0, ttl 64, id 34300, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.814106 IP (tos 0x0, ttl 64, id 34302, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.829452 IP (tos 0x0, ttl 64, id 34304, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.839928 IP (tos 0x0, ttl 64, id 12166, offset 0, flags [DF], length: 318) 192.168.1.1.8080 > 192.168.1.84.1862: FP 0:278(278) ack 1 win 6432
17:19:23.845162 IP (tos 0x0, ttl 64, id 34306, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.858367 IP (tos 0x0, ttl 128, id 7413, offset 0, flags [DF], length: 48) 192.168.1.76.1548 > 65.169.170.139.80: S [tcp sum ok] 1725934625:1725934625(0) win 16384 <mss 1460,nop,nop,sackOK>
17:19:23.876449 IP (tos 0x0, ttl 64, id 34308, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.876578 IP (tos 0x0, ttl 64, id 34310, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.907689 IP (tos 0x0, ttl 64, id 34312, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.923276 IP (tos 0x0, ttl 64, id 34314, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:23.965023 IP (tos 0x0, ttl 64, id 55671, offset 0, flags [DF], length: 84) 192.168.1.1.4663 > 192.168.1.180.2523: P 70:102(32) ack 1 win 1448 <nop,nop,timestamp 621774084 30263662>
17:19:23.965683 IP (tos 0x0, ttl 63, id 48774, offset 0, flags [DF], length: 52) 192.168.1.180.2523 > 192.168.1.1.4663: . [tcp sum ok] ack 102 win 32733 <nop,nop,timestamp 30264709 621774084>
17:19:23.965701 IP (tos 0x0, ttl 64, id 55673, offset 0, flags [DF], length: 90) 192.168.1.1.4663 > 192.168.1.180.2523: P 102:140(38) ack 1 win 1448 <nop,nop,timestamp 621774084 30264709>
17:19:23.966265 IP (tos 0x0, ttl 63, id 48776, offset 0, flags [DF], length: 52) 192.168.1.180.2523 > 192.168.1.1.4663: . [tcp sum ok] ack 140 win 32723 <nop,nop,timestamp 30264709 621774084>
17:19:24.250469 IP (tos 0x0, ttl 128, id 44985, offset 0, flags [DF], length: 138) 192.168.1.104.1582 > 192.168.1.1.8080: P 28:126(98) ack 70 win 16088
17:19:24.250495 IP (tos 0x0, ttl 64, id 28235, offset 0, flags [DF], length: 40) 192.168.1.1.8080 > 192.168.1.104.1582: . [tcp sum ok] ack 126 win 26280
17:19:24.283079 IP (tos 0x0, ttl 64, id 20799, offset 0, flags [DF], length: 1500) 192.168.1.1.8080 > 192.168.1.84.1866: . 0:1460(1460) ack 1 win 6432
17:19:24.314010 IP (tos 0x0, ttl 128, id 23345, offset 0, flags [none], length: 78) 192.168.1.29.137 > 192.168.1.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:24.345426 IP (tos 0x0, ttl 64, id 34316, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:24.347692 IP (tos 0x0, ttl 128, id 27415, offset 0, flags [DF], length: 40) 192.168.1.84.1868 > 192.168.1.1.8080: F [tcp sum ok] 494:494(0) ack 805 win 64732
17:19:24.419055 IP (tos 0x0, ttl 64, id 53818, offset 0, flags [DF], length: 430) 192.168.1.1.8080 > 192.168.1.205.1143: P 988475251:988475641(390) ack 387448983 win 6504
17:19:24.419161 IP (tos 0x0, ttl 64, id 53820, offset 0, flags [DF], length: 40) 192.168.1.1.8080 > 192.168.1.205.1143: F [tcp sum ok] 390:390(0) ack 1 win 6504
17:19:24.419721 IP (tos 0x0, ttl 128, id 1077, offset 0, flags [DF], length: 40) 192.168.1.205.1143 > 192.168.1.1.8080: . [tcp sum ok] ack 391 win 17130
17:19:24.419937 IP (tos 0x0, ttl 128, id 1078, offset 0, flags [DF], length: 40) 192.168.1.205.1143 > 192.168.1.1.8080: F [tcp sum ok] 1:1(0) ack 391 win 17130
17:19:24.449060 IP (tos 0x0, ttl 128, id 27417, offset 0, flags [DF], length: 40) 192.168.1.84.1866 > 192.168.1.1.8080: . [tcp sum ok] ack 2897 win 64099
17:19:24.454772 IP (tos 0x0, ttl 64, id 34318, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:24.548700 IP (tos 0x0, ttl 64, id 34320, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:24.564403 IP (tos 0x0, ttl 64, id 34324, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:24.579788 IP (tos 0x0, ttl 64, id 34326, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:24.595427 IP (tos 0x0, ttl 64, id 34328, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:24.627620 IP (tos 0x0, ttl 64, id 34330, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:24.627754 IP (tos 0x0, ttl 64, id 34332, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:24.658013 IP (tos 0x0, ttl 64, id 34334, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:24.673693 IP (tos 0x0, ttl 64, id 34338, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:24.824044 802.1d config 8001.00:0b:fd:d0:b6:c0.8004 root 8001.00:0b:fd:d0:b6:c0 pathcost 0 age 0 max 20 hello 2 fdelay 15
17:19:24.916075 IP (tos 0x0, ttl 128, id 20491, offset 0, flags [DF], length: 1246) 192.168.1.108.1833 > 192.168.1.1.8080: P 935144545:935145751(1206) ack 984823381 win 63798
17:19:24.916099 IP (tos 0x0, ttl 64, id 12052, offset 0, flags [DF], length: 40) 192.168.1.1.8080 > 192.168.1.108.1833: . [tcp sum ok] ack 1206 win 12060
17:19:24.936246 arp who-has 10.80.10.175 tell 10.80.10.235
17:19:24.991959 IP (tos 0x0, ttl 128, id 2941, offset 0, flags [DF], length: 40) 192.168.1.162.1112 > 192.168.1.1.8080: . [tcp sum ok] ack 479 win 17041
17:19:25.018504 IP (tos 0x0, ttl 64, id 43104, offset 0, flags [DF], length: 1488) 192.168.1.1.8080 > 192.168.1.78.1189: P 7319:8767(1448) ack 1 win 9368
17:19:25.056786 IP (tos 0x0, ttl 128, id 23346, offset 0, flags [none], length: 78) 192.168.1.29.137 > 192.168.1.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:25.077137 arp who-has 10.80.9.254 tell 10.80.10.152
17:19:25.096370 IP (tos 0x0, ttl 64, id 34430, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:25.155119 arp who-has 10.80.10.173 tell 10.80.10.235
17:19:25.206524 IP (tos 0x0, ttl 64, id 34473, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:25.232881 IP (tos 0x0, ttl 128, id 2410, offset 0, flags [DF], length: 40) 192.168.1.78.1189 > 192.168.1.1.8080: . [tcp sum ok] ack 8767 win 16072
17:19:25.305389 IP (tos 0x0, ttl 64, id 34782, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:25.321679 IP (tos 0x0, ttl 64, id 34853, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:25.321810 IP (tos 0x0, ttl 64, id 34855, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:25.331167 IP (tos 0x0, ttl 64, id 34926, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:25.352080 IP (tos 0x0, ttl 64, id 35020, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:19:25.376439 IP (tos 0x0, ttl 64, id 32056, offset 0, flags [DF], length: 1500) 192.168.1.1.8080 > 192.168.1.162.1115: . 7331:8791(1460) ack 1 win 7728
17:19:25.376446 IP (tos 0x0, ttl 64, id 32058, offset 0, flags [DF], length: 1216) 192.168.1.1.8080 > 192.168.1.162.1115: P 8791:9967(1176) ack 1 win 7728
17:19:25.385627 IP (tos 0x0, ttl 128, id 2942, offset 0, flags [DF], length: 40) 192.168.1.162.1115 > 192.168.1.1.8080: . [tcp sum ok] ack 9967 win 17520
17:19:25.385644 IP (tos 0x0, ttl 64, id 32060, offset 0, flags [DF], length: 1500) 192.168.1.1.8080 > 192.168.1.162.1115: . 9967:11427(1460) ack 1 win 7728
17:19:25.385650 IP (tos 0x0, ttl 64, id 32062, offset 0, flags [DF], length: 1500) 192.168.1.1.8080 > 192.168.1.162.1115: . 11427:12887(1460) ack 1 win 7728
17:19:25.393532 IP (tos 0x0, ttl 128, id 2943, offset 0, flags [DF], length: 40) 192.168.1.162.1115 > 192.168.1.1.8080: . [tcp sum ok] ack 13111 win 17520
17:19:25.410161 IP (tos 0x0, ttl 64, id 35088, offset 0, flags [none], length: 78) 10.80.10.234.137 > 10.80.255.255.137: [udp sum ok] NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

Poste le Tuesday 2 May 2006 11:45:28

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Sve@r

Citation
Romy
Je vous envoie la structure presqu'exacte du
trafic telle que je l'ai prise dans la passerelle.
J'ai du la racourcir pour éviter de très long
message.

J'arrive pas trop à bien interpréter tout ce dump. Je vois bien qu'il y a, pour chaque ligne, 2 IP en communications mais je sais pas trop où trouver la quantité d'infos échangée.

Bon, ne voulant pas non plus paraître trop nul, j'ai développé un premier script permettant de compter le nb d'IP différentes

#!/bin/sh

# Déclaration des variables de travail
dir_tmp="$HOME/tmp"
name_tmp="`basename $0 .sh`_$$"

file_ip="$dir_tmp/$name_tmp.ip"

# Lecture du fichier passé en argument ligne par ligne
exec 3<$1
while read ligne 0<&3
do
....# Balayage de chaque mot
....for mot in $ligne
....do
........# Recherche adresse IP
........if test -z "`echo $mot |sed -e "s/[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,\}//"`"
........then
............# Affichage adresse IP
............echo $mot

............# Inutile de traiter le reste de la ligne
............break
........fi
....done
done |sort >"$file_ip"

# Nb d'IP (nb de lignes)
nbIP=`wc -l "$file_ip" |cut -f1 -d' '`
echo nbIP: $nbIP

# Rajout terminaison fichier
echo "EOF" >>"$file_ip"

# Lecture du fichier de travail ip par ip
exec 3<"$file_ip"
while read ip 0<&3
do
....# Si nouvelle IP (ou si flag EOF)
....if test "$ip" != "$memIP"
....then
........# On affiche le résultat de l'IP précédente (si elle existe)
........if test -n "$memIP"
........then
............echo "IP: $memIP - nbPaquet=$nbPaquet/$nbIP"
........fi

........# Initialisation compteurs pour nouvelle IP
........memIP=$ip
........nbPaquet=0
....fi

....# Incrément compteur paquets
....nbPaquet=`expr $nbPaquet + 1`
done

# Effacement fichier de travail
rm -f "$file_ip"

Bon, comment fonctionne ce script
1) j'écris dans un fichier de travail chaque première IP récupérée de la ligne (le fichier de travail porte un nom contenant le n° de processus ce qui permet de lancer ce script plusieurs fois en parallèle sans qu'il y ait interférence)
2) je trie ce fichier => toutes les IP identiques seront ensemble
3) je boucle sur chaque IP. Dès que l'IP lue est différente de la précédente (nouveau groupe), j'affiche les compteurs du groupe précédent et je les réinitialise pour le nouveau groupe => nécessité de rajouter dans le fichier un flag "EOF" final pour pouvoir afficher les compteurs du dernier groupe d'IP (le flag sert à faire une boucle de plus)

Le plus gros pb a été de trouver, sur la ligne, l'IP (elle n'est pas toujours à la même place). J'ai essayé avec un case mais je ne m'en sortais pas. C'est grace à Brugmans que j'ai trouvé la solution.
- j'utilise "sed" pour rechercher, avec les expressions régulières, ce qui peut être une IP (x.x.x.x) et remplacer cette IP par "rien" (Brugmans utilise souvent cette idée assez ingénieuse)
- si le remplacement se fait (et que je n'ai plus rien), c'est que j'avais une IP en main donc je la stocke dans le fichier de travail que je trierai à la fin
Petit détail: sur la ligne, l'IP est suivie d'un nombre. Je présume qu'il s'agit du n° de port mais je suis obligé de le prendre en compte dans ma recherche

Bon, c'est pas encore le top du top, mais il y a là déjà une sèrieuse piste pour travailler non ?

L'homme qui murmurait à l'oreille des pingouins
[fr.lang.free.fr]

Poste le Tuesday 2 May 2006 15:49:10

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Romy

Merci, je vais essayer de voir ce que ça va me donner. C'est déjà un grand pas. Le resultat recherché ne sera pas loin de ça, sauf qu'il faudra ajouter un paramètre à la colonne (taille du paquet).
Essayer la commande : tcpdump -i -n eth1 ou eth0 si vous avez une passerelle. Ca vous donnera la structure ci-dessus.
Je vais essayer d'analyser la structure par ce script et voir si j'aurai le resultat rechercher, c'est-à-dire :
- afficher :

adresse IP nbre de paquets émis taille débit %
......... ............... ...... ..... ...

- enregistré le resultat dans un fichier texte
- envoyer le resultat par email à l'administrateur

le débit : c'est la taille totale divisé par le temps de capture
le pourcentage : c'est la nbre de paquet émis divisé par le nbre de paquet capturé

Je vous donnerai la suite.

Poste le Wednesday 3 May 2006 12:05:37

Répondre Citer

détection de gros consommateurs de bande passante

Envoyé par: Romy

Finalement j'ai essayé le script et ilmarche bien (j'ai réduit l'affichage pour raccourcir le message). C'est en partie ce qu'il me fallait.

Le nombre de fois qu'une adresse s'affiche correspond au nombre de paquets émis, par exemple :
192.168.1.1 a émis 8 paquets, et 192.168.1.162 en a émis 4.

Ce qu'il me faut, c'est d'afficher 192.168.1.1 une seule fois et son nombre de paquets émis.

Egalement la taille total (length), le débit (la taille totale émise/par le temps de la cature) et le pourcentage (le nombre de paquet emis/par le nombre de paquet capturé) sur une même ligne.

Exemple :

192.168.1.1 : 8 : length : débit : %
192.168.1.162 : 4 : length : débit : %
etc...

Voici le resultat du script :
10.80.10.219.137
10.80.10.234.137
10.80.10.234.137
192.168.1.1.4663
192.168.1.1.4663
192.168.1.1.4663
192.168.1.1.53
192.168.1.1.53
192.168.1.1.8080
192.168.1.1.8080
192.168.1.1.8080
192.168.1.104.1582
192.168.1.108.1833
192.168.1.108.1833
192.168.1.162.1112
192.168.1.162.1114
192.168.1.162.1115
192.168.1.162.1115
192.168.1.17.138
192.168.1.180.2523
192.168.1.180.2523
192.168.1.180.2523
192.168.1.205.1143
192.168.1.205.1143
192.168.1.205.1145
192.168.1.205.1145
192.168.1.212.4575
192.168.1.212.4575
192.168.1.212.4575
192.168.1.24.137
192.168.1.24.137
192.168.1.24.137
192.168.1.254.1034
192.168.1.254.1034
192.168.1.254.1034
192.168.1.29.137
192.168.1.29.137
192.168.1.76.1548
192.168.1.78.1189
192.168.1.78.1192
192.168.1.78.1192
192.168.1.78.1192
192.168.1.81.3344
192.168.1.84.1858
192.168.1.84.1858
192.168.1.84.1868
192.168.1.84.1870
192.168.1.91.1435
192.168.1.91.1435

dans le resultat final, on pourra ignorer le port

Poste le Monday 8 May 2006 14:15:59

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Romy

J'ai d'abord fait des essaies sur le fichiser capture, maintenant j'essaie en temps réel et ça tourne bien.

Poste le Tuesday 9 May 2006 11:58:54

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Sve@r

Citation
Romy
J'ai d'abord fait des essaies sur le fichiser
capture, maintenant j'essaie en temps réel et ça
tourne bien.

Oui. Mais pour récupérer le temps de capture...

L'homme qui murmurait à l'oreille des pingouins
[fr.lang.free.fr]

Poste le Tuesday 9 May 2006 18:21:14

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Romy

Je pense que je n'aurai pas besoin du temps de capture, je vais directement déterminer le nombre de paquet à analyser à chaque fois.

Je prend la date de début de capture que je sauvegarde dans une variable, ensuite je fait la capture. La différence entre la date de début et de fin de capture me donnera le temps qui me permettra de calculer le débit.

j'ai fait la commande suivante pour illustrer tout ceci. (j'ai pris par exemple 75 paquets).:
# pour avoir la date début de la capture

date "+%s" ; tcpdump -nc 75 >> /file_ip; date "+%s

# Pour faire la différence entre la date de début et la date de fin de capture

début=`date "+%s"`;tcpdump -nc 75 >> /file_ip ; fin=`date "+%s"`;
echo `expr $fin - $début

C'est le temps que j'aurai qui me permettra de calculer le débit.

Ce dont j'ai besoin c'est de pouvoir compléter le script de manière à faire une analyse complète et afficher le resultat complet en l'enregistrant dans le même fichier.

Le nombre de fois qu'une adresse s'affiche correspond au nombre de paquets émis, par exemple :
192.168.1.1 a émis 8 paquets, et 192.168.1.162 en a émis 4.

Ce qu'il me faut, c'est d'afficher 192.168.1.1 une seule fois et son nombre de paquets émis.

Egalement la taille (le nombre d'octets), le débit (la taille totale émise/par le temps de la capture) et le pourcentage (le nombre de paquet emis/par le nombre de paquet capturé) sur une même ligne.

Exemple :

192.168.1.1 : 8 : length : débit : %
192.168.1.162 : 4 : length : débit : %
etc...

Poste le Wednesday 10 May 2006 14:07:35

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Romy

Vous allez m'excuser de mon insistance, mais j'ai vraiment besoin du script complet qui me permettra de résoudre ce problème. Le premier est très excellent.

Je pense que je n'aurai pas besoin du temps de capture, je vais directement déterminer le nombre de paquet à analyser à chaque fois.

Je prend la date de début de capture que je sauvegarde dans une variable, ensuite je fait la capture. La différence entre la date de début et de fin de capture me donnera le temps qui me permettra de calculer le débit.

j'ai fait la commande suivante pour illustrer tout ceci. (j'ai pris par exemple 75 paquets).:
# pour avoir la date de début de la capture

date "+%s" ; tcpdump -nc 75 >> /Capture1; date "+%s

# Pour faire la différence entre la date de début et la date de fin de capture

début=`date "+%s"`;tcpdump -nc 75 >> /Capture1 ; fin=`date "+%s"`;
echo `expr $fin - $début

(je me suis trompé sur le nom du fichier, au lieu de file_ip, j'ai mis par exemple Capture1)

C'est le temps que j'aurai qui me permettra de calculer le débit.

Ce dont j'ai besoin c'est de pouvoir compléter le script de manière à faire une analyse complète et afficher le resultat complet en l'enregistrant par exemple dans le même fichier.

Le nombre de fois qu'une adresse s'affiche correspond au nombre de paquets émis, par exemple :
192.168.1.1 a émis 8 paquets, et 192.168.1.162 en a émis 4.

Ce qu'il me faut, c'est d'afficher 192.168.1.1 une seule fois et son nombre de paquets émis.

Egalement la taille (le nombre d'octets), le débit (la taille totale émise/par le temps de la capture) et le pourcentage (le nombre de paquet emis/par le nombre de paquet capturé) sur une même ligne.

Exemple :

192.168.1.1 : 8 : length : débit : %
192.168.1.162 : 4 : length : débit : %
etc...

Poste le Thursday 11 May 2006 13:07:49

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Sve@r

Citation
Romy
Vous allez m'excuser de mon insistance, mais j'ai
vraiment besoin du script complet qui me permettra
de résoudre ce problème. Le premier est très
excellent.

Je pense que je n'aurai pas besoin du temps de
capture, je vais directement déterminer le nombre
de paquet à analyser à chaque fois.

Je prend la date de début de capture que je
sauvegarde dans une variable, ensuite je fait la
capture. La différence entre la date de début et
de fin de capture me donnera le temps qui me
permettra de calculer le débit.

j'ai fait la commande suivante pour illustrer tout
ceci. (j'ai pris par exemple 75 paquets).:
# pour avoir la date de début de la capture

date "+%s" ; tcpdump -nc 75 >> /Capture1;
date "+%s

# Pour faire la différence entre la date de début
et la date de fin de capture

début=`date "+%s"`;tcpdump -nc 75 >>
/Capture1 ; fin=`date "+%s"`;
echo `expr $fin - $début

(je me suis trompé sur le nom du fichier, au lieu
de file_ip, j'ai mis par exemple Capture1)

C'est le temps que j'aurai qui me permettra de
calculer le débit.

Ce dont j'ai besoin c'est de pouvoir compléter le
script de manière à faire une analyse complète et
afficher le resultat complet en l'enregistrant par
exemple dans le même fichier.

Le nombre de fois qu'une adresse s'affiche
correspond au nombre de paquets émis, par exemple
:
192.168.1.1 a émis 8 paquets, et 192.168.1.162 en
a émis 4.

Ce qu'il me faut, c'est d'afficher 192.168.1.1 une
seule fois et son nombre de paquets émis.

Egalement la taille (le nombre d'octets), le débit
(la taille totale émise/par le temps de la
capture) et le pourcentage (le nombre de paquet
emis/par le nombre de paquet capturé) sur une même
ligne.

Exemple :

192.168.1.1 : 8 : length : débit : %
192.168.1.162 : 4 : length : débit : %
etc...

Ben tu as en entrée une liste d'IP (j'ai pas bien suivi comment tu as cette liste) mais l'important c'est qu'elle soit triée.
Tu commences par y rajouter, en fin de liste, un flag quelconque, par exemple la chaîne "EOF" ensuite tu écrits le script selon l'algo suivant

pour chaque ip entrante
faire
....si ip entrante différente ip mémorisée
....alors
.........# Nouveau groupe d'IP
.........si on a une ip mémorisée
.........alors
..............# On n'est pas au premier groupe
..............faire les opérations finales du groupe précédent (moyenne, etc)
..............afficher moyennes
.........fin si
.........mettre les compteurs à 0
.........mémoriser ip
....fin si
....incrémenter compteur
fin faire

Grace au flag "EOF", tu rentreras dans la boucle une dernière fois ce qui te permettra d'afficher les moyennes du dernier groupe d'IP
Comme je l'ai dit, le principal est d'avoir en entrée tes IP triées. Ensuite, le reste est trivial...

L'homme qui murmurait à l'oreille des pingouins
[fr.lang.free.fr]

Poste le Friday 12 May 2006 18:34:05

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Romy

La liste d'IP en entrée est le resultat du 1er script que vous m'avez envoyé, j'ai réduit cette liste pour ne pas surcharger le message.
Etant donné que j'ai la liste d'IP à travers le 1er script, est-ce que je peux insérer le 2nd script à la fin du 1er, pour avoir le resultat.
Ou à défaut modifier directement le 1er script en insérant le 2nd script selon l'algo, pour arriver au but recherché.

Si vous pouviez m'aidez encore une fois en me proposant un 2nd script ou en modifiant le 1er pour que je puisse afficher, sur une même ligne:

- l'adresse IP (afficher une même adresse une seule fois, au lieu de 8 fois par exple),

- le nombre de paquets émis (correspond au nombre de fois qu'on a eu une même adresse IP),

- la taille total (le nombre d'octets (length) de chaque de paquets),

- le débit (la taille totale / par le temps de la capture),

- le pourcentage (le nombre de paquets émis / par le nombre de paquets capturé).

Exemple d'affichage finale :

192.168.1.1 : 8 (le nb de paquets) : 140 (la taille totale) : 2 (débit) : 5%
192.168.1.162 : 4 : 78 : 8 : 9%
............
.........
.........
.....
.....
........
...
10.80.10.219 : 50 : 150 : 9 : 15%

Le total du pourcentage devra être de 100%.

Je vous remercie une fois encore.

- afficher la taille (le nombre d'octets)
qui va regrouper
S si ca me donnera
Merci encore.

Poste le Monday 15 May 2006 14:27:50

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Sve@r

Citation
Romy
La liste d'IP en entrée est le resultat du 1er
script que vous m'avez envoyé

Ca ce n'est pas possible. Mon premier script filtrait déjà les IP pour n'en donner qu'une seule pour chaque groupe d'IP identiques. Dans ton exemple, il y a déjà des IP identiques qui se suivent...

Citation
Romy
, j'ai réduit cette
liste pour ne pas surcharger le message.
Etant donné que j'ai la liste d'IP à travers le
1er script, est-ce que je peux insérer le 2nd
script à la fin du 1er, pour avoir le resultat.
Ou à défaut modifier directement le 1er script en
insérant le 2nd script selon l'algo, pour arriver
au but recherché.

Tout à fait. En fait, le premier n'est pas très loin du but recherché puisqu'il ne reste qu'à compter le temps de capture et à diviser...

Citation
Romy
Si vous pouviez m'aidez encore une fois en me
proposant un 2nd script ou en modifiant le 1er
pour que je puisse afficher, sur une même ligne:

- l'adresse IP (afficher une même adresse une
seule fois, au lieu de 8 fois par exple),

Mon script le faisait déjà...

Citation
Romy
- le nombre de paquets émis (correspond au nombre
de fois qu'on a eu une même adresse IP),

Un compteur de paquets pour chaque IP identique remis à 0 à chaque changement

Citation
Romy
- la taille total (le nombre d'octets (length) de
chaque de paquets),

Ca, je sais pas où on peut le choper...

Citation
Romy
- le débit (la taille totale / par le temps de la
capture),

nb paquets / temps

Citation
Romy
- le pourcentage (le nombre de paquets émis / par
le nombre de paquets capturé).

Pas possible. La commance est prévue pour en capturer "n", elle en capturera "n" mais comme elle ne connait pas le nb de paquets émis, on risque d'avoir en final %=n/n=100%...

Bon, je vais essayer en fonction de ce que je connais

#!/bin/sh 

# Déclaration des variables de travail 
dir_tmp="$HOME/tmp" 
name_tmp="`basename $0 .sh`_$$" 

file_ip="$dir_tmp/$name_tmp.ip"

# Mémorisation heure départ
timeDep=`date '+%S'`

# Analyse de "tcpdump"
tcpdump -nc75 -toutes_les_autres_options_qui_vont_bien |while read ligne
do 
....# Balayage de chaque mot 
....for mot in $ligne 
....do 
........# Recherche adresse IP 
........if test -z "`echo $mot |sed -e "s/[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,\}//"`" 
........then 
............# Affichage adresse IP 
............echo $mot 

............# Inutile de traiter le reste de la ligne 
............break 
........fi 
....done 
done |sort >"$file_ip"

# Mémorisation heure fin
timeFin=`date '+%S'`

# Calcul chrono
time=`expr $timeFin - $timeDep`

# Nb d'IP (nb de lignes qui devrait normallement être égal au nb de paquets) 
nbIP=`wc -l "$file_ip" |cut -f1 -d' '` 
echo nbIP: $nbIP 

# Rajout terminaison fichier 
echo "EOF" >>"$file_ip" 

# Lecture du fichier de travail ip par ip 
exec 3<"$file_ip" 
while read ip 0<&3 
do 
....# Si nouvelle IP (ou si flag EOF) 
....if test "$ip" != "$memIP" 
....then 
........# On affiche le résultat de l'IP précédente (si elle existe) 
........if test -n "$memIP" 
........then 
............echo "IP: $memIP"
............echo "nbpaquet: $nbPaquet"
............echo "Débit: `echo $nbPaquet / $time |bc -l`"
........fi 

........# Initialisation compteurs pour nouvelle IP 
........memIP=$ip 
........nbPaquet=0
....fi 

....# Incrément nb paquets pour l'ip en cours
....nbPaquet=`expr $nbPaquet + 1` 
done 

# Effacement fichier de travail 
rm -f "$file_ip"

Comme tu vois, le script est à peine différent du premier (j'ai juste rajouté une division du nb de paquets par le temps de capture). Le mieux serait quand-même que t'arrives à comprendre comment il marche (qui reprend l'algo précédent) pour que tu l'adaptes en fonction des éléments que tu veux y rajouter...

L'homme qui murmurait à l'oreille des pingouins
[fr.lang.free.fr]

Poste le Wednesday 17 May 2006 21:57:29

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Romy

Merci beaucoup
Je vois que cette fois ci je vais m'ensortir, apparemment ça n'avait l'air de rien mais je me rend compte que ce nest pas facile de faire tous ces scripts.
je vous donnerai la suite
Merci encore

Poste le Saturday 20 May 2006 15:03:19

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Romy

J'ai eu des erreurs sur l'exécution du script, j'ai du apporter des petites modifications sur :

# Lecture de fichier ip par ip
exec 3<"$file_ip"
memIP"*"
while read ip 0<&3
do

# Si nouvelle IP (ou si flag EOF)
echo $IP
echo $memIP
if test $ip -ne $memIP
then

Pour le moment ca ne marche pas encore très bien, je suis encore en train de travailler dessus.
Merci

Poste le Tuesday 30 May 2006 12:35:38

Répondre Citer

Re: détection de gros consommateurs de bande passante

Envoyé par: Sve@r

Citation
Romy
memIP"*"

Je comprends pas ce que tu fais là.

La variable "memIP" sert en fait à détecter que tu as changé d'IP. Ton fichier contient une suite d'IP que tu lis ligne par ligne. Donc tant que t'es sur la même IP, tu continues à incrémenter tes compteurs. Dès que tu changes d'IP
1) tu vérifies que "memIP" n'est pas vide sinon ça veut dire que t'es sur la toute première IP du fichier donc que t'as aucun compteur
2) tu affiches et réinitialise tous tes compteurs
3) tu mémorises la nouvelle IP pour pouvoir ensuite cumuler les valeurs des lignes suivantes

Le mot "EOF" mis dans le fichier sert juste à avoir une ligne de plus qui sera forcément différente de "memIP" donc qui te permettra d'afficher les compteurs du dernier groupe d'IP identiques...

L'homme qui murmurait à l'oreille des pingouins
[fr.lang.free.fr]

Poste le Tuesday 30 May 2006 20:04:04

Répondre Citer

Aller à la page: 1 2 Page suivante

Page: 1 sur 2

Veuillez vous authentifier auparavant pour commenter.

Moi !

Se connecter !

General

Liste des forums
Rechercher

Ce forum !

détection de gros consommateurs de bande passante

Pour poser vos questions sur les scripts shell, le Perl, le C, etc... Attention : nous ne sommes pas des spécialistes du dev, ce forum est juste pour de petites aides ponctuelles concernant le développement et les outils de développement.

Nouveau sujet sur ce forum

Léa-Linux

Équipe du site
Mentions légales
Faire un don

Documentation

Découvrir Linux
Trucs & Astuces
Léannuaire
Logithèque
Pilothèque

Rubriques

Installation
Logiciels
Admin système
Réseau
Sécurité et vie privée
Matériel
Développement
Environnements graphique

La communauté

Forums
IRC

Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons