куда надежнее помоему
tcpdump -t -i ethx tcp[13] == 2 and net x.x.x.x/yy
выдаст все запросы на соединения сети net, можно отслеживать по портам
http://www.protocols.ru/modules.php?name=News&file=print&sid=125
http://bugtraq.ru/library/security/luka/autodetect.html

Исправлено kai (15.09.08 14:02)

Укроп написал(а):

tcpdump оно конечно гуд, при интерактивном отслеживании, но каждый пакет не посчитаешь, и это правда.
гораздо проще раз в час глянуть на суммарную статистику как в посте 0 , и оценить активность каждого компа в сетке. например в пятницу , я нечаянно спалил спам вирус на компе у коллеги, при том, что антивирус посл версии работал исправно

Это не я бляяя...

Исправлено Укроп (16.09.08 00:06)

Укроп, а нах с самого начала сортировать то?)

otaku, а попробуй
cat /proc/net/ip_conntrack|sort|awk '{ print $7}'|sort|uniq -c|sort -n
? :)

8)))

Max написал(а):

он ломится на несуществующие адреса и не получает ответов

а если на существующие адреса?

kai написал(а):

Вопрос есть, тему нету смысла поднимать. Есть два интернет канала на шлезе, 1-й eth0 и 2-й eth1. 1-й основной канал, 2-й резервный. В случае падения первого канала, шлюз переключается на второй, резервный канал. Как можно проверить, есть через первый канал связь или нету, если шлеюз работает на втором канале? Пробовал через ping -I eth0, как то криво получается.

сделай маршрут до какого нибудь узла статичным на етх0 и пингуй его просто.

kai написал(а):

не получится, при смене канала маршрут по умолчанию прописывается через второй канал. А мне надо знать, есть на первом канале инет или нет?

как такое может быть туже тока маршрут по умолчанию меняешь, а не какие то однохостовые маршруты.
пропиши его в зебру и не парься.

Укроп написал(а):

еще гениальная тулза iftop

Это не я бляяя...

http://www.cs.ucla.edu/~kohler/ipsumdump/ прикольная штука

Укроп, который понравился?

если ненужны детальные логи, то
в ipcad можно capture-ports disable;
aggregate 192.168.0.0/16 strip 32; /* Don't aggregate internal range */
aggregate 0.0.0.0/0 strip 0;  /* Aggregate external networks */

если нужны, то соответственно нужно подкрутитьто, что интересно

далее в файрволе (считаем что локалка 192.168, и интерфейс в инет eth0, и ipcad каптурит группу 4)

/sbin/iptables -I FORWARD -o eth0 -s 192.168.0.0/16 -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j ULOG --ulog-nlgroup=4 --ulog-cprange 48 --ulog-qthreshold 50;
/sbin/iptables -I FORWARD -i eth0 -d 192.168.0.0/16 -p tcp --tcp-flags SYN,ACK,FIN,RST SYN,ACK -j ULOG --ulog-nlgroup=4 --ulog-cprange 48 --ulog-qthreshold 50;

вот и все
теперь 
rsh localhost clear ip accounting
rsh localhost show ip accounting checkpoint
rsh localhost clear ip accounting checkpoint

после 2-й строчки будет выведен список соединений с каждого адреса с 192.168 и список успешных ответов на эти запросы
типа
src____________dst_______packets bytes
192.168.0.10__0.0.0.0 ______150___1220
0.0.0.0_______192.168.0.10__5______20

так как в packets пападает только сины (начало соединения с сети 192.168) и синаки (подтверждение соединения из инета на 192.168), то фактически кол-во пакетов и будет кол-вом соединений
в нашем примере получается что адрес 192.168.0.10 150 раз ломанулся в инет, из этих раз на существующие сервера всего 5 раз. Видимо сканер или вирь

если нужно знаку куда ломился, то стрипать инет не нужно, тогда надо просто суммировать скриптом количество серверов куда ходил клиент из 192.168 и кол-во ответов. зато можно будет более детально увидеть причину активности

снимая статистику раз в 3-5 минут можно легко выпалить завирусевшего и автоматом отрубить прям из скрипта, который считает соединения. Нормальный процент "неуспешных" соединений - ну где-то 10%. То есть на 100 синов долно приходить хотябы 90 синаков. Конечно при условии что синов больше какого-то минимального порога (например на 2 сина в минуту не надо ожидать 2 синака, и на 10 синов тоже 9 синаков может не прийти). Можно мониторить количество соединений. Например при нормальной работе за минуту 1000 соединений в инет - нереальщина, то есть опять надо извещать админа и возможно резать автоматом. Но это уже логически можно додумать и пороги подобрать, главное идея.


Кстати, пробовал сначала эту идею по другому применить. не агрегировать инет вообще, и считать количество хостов, на которое юзер сходил в течение 1 минуты например. При обычном раскладе за минуту можно коннектиться на 20-50 хостов, не больше никак. Если больше - похоже на скан (или долбилку спам-вируса к примеру).  Облом вышел с юзерами скайпа, он при подключении долбит всех в конткт-листе, а у некоторых он огромный, получалось больше сотни соединений в минуту. И думаю сейчас, при распространении пир-ту-пир такая же фигня будет с другими программами, реализующими  ддирект-коннект сети.

kai написал(а):

вроде как

ключевое
и нагрузка совсем разная