Internet Connections loggen

Software besorgen und anwenden
Antworten
Nachricht
Autor
proTux

Internet Connections loggen

#1 Beitrag von proTux » 17. Mär 2006 16:50

Hi,
ich würde gerne auf meinem PC (also nicht auf einem Router, etc.) eine Software installieren, die alle Internetverbindungen mitloggt (und zwar Software, aufgerufene Domains oder IPs, Datum, eventuell weiteres), da mich mal interessieren würde, was da eigentlich alles für dubiose Software dafür sorgt, dass der Einzelverbindungsnachweiß im Tieflader geliefert wird :-) !

Danke,
Maax

klopskuchen
prolinux-forum-admin
Beiträge: 1444
Registriert: 26. Jun 2004 21:18
Kontaktdaten:

#2 Beitrag von klopskuchen » 17. Mär 2006 17:48

Mit dem Programm tcpdump. Das ist zwar "nur" ein Konsolenprogramm, hat dadurch aber den Vorteil daß es sich sehr flexibel und automatisiert verwenden läßt.
Einzelverbindungsnachweiß im Tieflader
Meinst du damit unerklärliche Einwahlen? Wenn das so ist, deaktiviere "dial on demand".


MfG, Klopskuchen
When all else fails, read the instructions .

Benutzeravatar
Janka
Beiträge: 3585
Registriert: 11. Feb 2006 19:10

Re: Internet Connections loggen

#3 Beitrag von Janka » 17. Mär 2006 19:26

proTux hat geschrieben: ich würde gerne auf meinem PC (also nicht auf einem Router, etc.) eine Software installieren, die alle Internetverbindungen mitloggt (und zwar Software, aufgerufene Domains oder IPs, Datum, eventuell weiteres)!
Du musst eine entsprechende netfilter-Regel einstellen. Such mal nach "iptables log target". Es ist im Prinzip ein Einzeiler, aber auf dem Silbertablett kriegst du den jetzt nicht. Bitte vorher unbedingt einlesen!

Falls du SuSE benutzt kannst du das Logging auch in Yast->Sicherheit->Firewall aktivieren.

Die Logmeldungen landen im syslog, also bei dir vermutlich in /var/log/messages, wo root sie sich ansehen kann.

Janka

proTux

Danke.

#4 Beitrag von proTux » 18. Mär 2006 11:22

Hi,
danke für eure schnellen Antworten.

@klopskuchen
Ich habe ein Konsolenprogramm gesucht - diese X-basierten Programme lassen sich ja eh nicht beim Hochfahren starten (und auch auf ein Konfigurationsinterface für X verzichte ich gerne).

Ob es unerklärliche Einwahlen sind weiß ich noch nicht, aber es sind schon verdammt viele - desshalb möchte ich ja mal nachsehen, was da alles passiert. Dial on Demand schätze ich sehr - wäre also froh, wenn ich es nicht deaktivieren müsste.

@Janka
Jo, werde ich machen - danke (ich nutze Debian GNU/Linux).

Vielen Dank für Eure Bemühungen,
Maax

proTux

Frage zu tcpdump

#5 Beitrag von proTux » 18. Mär 2006 13:35

Hi,
also ich habe nun

Code: Alles auswählen

tcpdump -w /var/log/tcpdump
ausgeführt und danach

Code: Alles auswählen

tcpdump -r /var/log/tcpdump
aufgerufen.

Daraufhin erhalte ich eine schon etwas sehr detailreiche Information (fast 200 Zeilen), obwohl ich nur eine Website ein mal aufgerufen habe.

Ich hätte am liebsten pro Aktion (Aufruf einer Website (http), Download einer Datei (z.B. ftp), Abruf von Emails (IMAP), ping, eine Zeile in der das Datum, die aufgerufene IP/Domain und vielleicht noch ein paar zusätzliche Infos stehen, aber nicht gleich 200 Zeilen (die ja fast nicht mehr lesbar sind).

Danke für Eure Bemühungen,
Maax

Benutzeravatar
Janka
Beiträge: 3585
Registriert: 11. Feb 2006 19:10

Re: Frage zu tcpdump

#6 Beitrag von Janka » 18. Mär 2006 22:04

proTux hat geschrieben: Ich hätte am liebsten pro Aktion (Aufruf einer Website (http), Download einer Datei (z.B. ftp), Abruf von Emails (IMAP), ping, eine Zeile in der das Datum, die aufgerufene IP/Domain und vielleicht noch ein paar zusätzliche Infos stehen, aber nicht gleich 200 Zeilen (die ja fast nicht mehr lesbar sind).
So etwas kann es auf dieser Ebene nicht mehr geben. Webseiten bestehen meist aus mehreren Dateien, Bilder müssen z.B. nachgeladen werden. Email könnte man anhand des iptables-Logs vermutlich noch nachvollziehen, ping ebenfalls.

Um die Übersicht zu behalten gibt es Programme, die solche Logs auswerten, z.B. für iptables.
http://www.l0t3k.org/security/tools/loganalysis/

Guck dir das mal an. Für tcpdump gibt es wie gesagt ethereal+ Ergänzungsmodule als grafisches Auswertewerkzeug.

Janka

klopskuchen
prolinux-forum-admin
Beiträge: 1444
Registriert: 26. Jun 2004 21:18
Kontaktdaten:

#7 Beitrag von klopskuchen » 19. Mär 2006 0:22

Um höhere Protokolle strukturiert zu loggen (was hauptsächlich http und ftp sein dürfte) sind lokale Proxys erste Wahl. Zwar verwendet alle Welt Squid. Für den Hausgebrauch sind aber wwwoffle (mit Cache für Webseiten) oder Privoxy (ohne Cache) besser geeignet.

Zum loggen und lesen können aller Verbindungen, halte dich an Jankas Vorschlag mit netfilter einem Loganalysetool.

Einwahl und Verbindungsende kannst du mit Eigenbau nachvollziehen. Einfach eine Zeile [echo "`date` dein_Kommentar" >>Logfile] in die Dateien ip-up und ip-down einfügen (wenn das Zeug nicht ohnehin schon in /var/log/messages steht).

Nuja, und tcpdump ist zum spielen zwischendurch. (Zum Beispiel um kurz zu gucken mit wieviel Scheiße und vor allem von wem, das Netz so überschwemmt wird. Große Sites dabei unbedingt mit Javascriptshit ansurfen.)


MfG, Klopskuchen
When all else fails, read the instructions .

MetanaMu

#8 Beitrag von MetanaMu » 19. Mär 2006 12:51

wenn man's ein bisschen graphischer ;) haben willst kann man auch ntop benutzen
man kann die statistiken sogar in graphform darstellen

MetanaMu

#9 Beitrag von MetanaMu » 19. Mär 2006 12:52

wenn man's ein bisschen graphischer ;) haben will kann man auch ntop benutzen
man kann die statistiken sogar in graphform darstellen

Antworten