1&1 Root Server und tcpdump Protokoll

[lordbogami]

Hallo Leute,

ich hab seit einigen Tagen ca. 550 MB Traffic pro Tag.
Mein Confixx sagt mir aber das ich für den kompletten Monat
nur 350 MB habe.

Jetzt wollte ich mit tcpdump einrichten um mal zu schauen
was sich da so tut.
Meine Fragen:
1) Wie sollte tcpdump aufrufen damit es "vernünftig loggt"
Ich habe das Programm wie folgt aufgerufen -n -i eth0 -w /file.log not port 22
Das Problem: bereits nach 2 Minuten war das Logfile 3Mb groß.

2) Wenn ich mir das Log anschaue sehe ich persönlich garnix darin
bzw. ich weiß nichts damit anzufangen.
Gibt es einen Analyser dafür oder ähnliches ?

Gruß
LordBoGaMi

[tischi]

poste doch mal ein kleinen part deiner logfiles, vll. können ja hier meinige was damit anfangen!

[lordbogami]

Hier ein kleiner Aussschnitt ! ( Server geändert in p12345678 )

08:46:50.001486 IP pD9FF70FC.dip.t-dialin.net.lmsocialserver > p12345678.pureserver.info.http: S 57606144:57606144(0) win 16384
08:46:50.001495 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.lmsocialserver: S 1659352521:1659352521(0) ack 57606145 win 5840 <mss 1460>
08:46:50.007077 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.35392: S 1648525330:1648525330(0) ack 1619984385 win 5840 <mss 1460>
08:46:50.007084 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.ibm-ssd: S 1650776623:1650776623(0) ack 1325989889 win 5840 <mss 1460>
08:46:50.007092 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.54072: S 1639191026:1639191026(0) ack 1321795585 win 5840 <mss 1460>
08:46:50.007104 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.45974: S 1655086219:1655086219(0) ack 894304257 win 5840 <mss 1460>
08:46:50.007121 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.33793: S 1626112666:1626112666(0) ack 1695285249 win 5840 <mss 1460>
08:46:50.007129 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.kjtsiteserver: S 1630216801:1630216801(0) ack 1970536449 win 5840 <mss 1460>
08:46:50.007137 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.mimer: S 1647572855:1647572855(0) ack 2066874369 win 5840 <mss 1460>
08:46:50.007148 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.33111: S 1651885171:1651885171(0) ack 1532100609 win 5840 <mss 1460>
08:46:50.007159 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.saiscm: S 1636351017:1636351017(0) ack 870645761 win 5840 <mss 1460>
08:46:50.007171 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.64788: S 1633498467:1633498467(0) ack 342687745 win 5840 <mss 1460>
08:46:50.007179 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.1775: S 1640184090:1640184090(0) ack 1375731713 win 5840 <mss 1460>
08:46:50.007195 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.cera-bcm: S 1650647241:1650647241(0) ack 217645057 win 5840 <mss 1460>
08:46:50.007201 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.lofr-lm: S 1645764798:1645764798(0) ack 7340033 win 5840 <mss 1460>
08:46:50.012065 IP pD9FF70FC.dip.t-dialin.net.36989 > p12345678.pureserver.info.http: S 1685520384:1685520384(0) win 16384
08:46:50.012082 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.36989: S 1649059384:1649059384(0) ack 1685520385 win 5840 <mss 1460>
08:46:50.046509 IP pD9FF70FC.dip.t-dialin.net.43695 > p12345678.pureserver.info.http: S 1841889280:1841889280(0) win 16384
08:46:50.046518 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.43695: S 1654177410:1654177410(0) ack 1841889281 win 5840 <mss 1460>
08:46:50.142220 IP pD9FF70FC.dip.t-dialin.net.44656 > p12345678.pureserver.info.http: S 1322319872:1322319872(0) win 16384
08:46:50.142235 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.44656: S 1646098739:1646098739(0) ack 1322319873 win 5840 <mss 1460>
08:46:50.152478 IP pD9FF70FC.dip.t-dialin.net.1141 > p12345678.pureserver.info.http: S 802750464:802750464(0) win 16384
08:46:50.152487 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.1141: S 1659024988:1659024988(0) ack 802750465 win 5840 <mss 1460>
08:46:50.157921 IP pD9FF70FC.dip.t-dialin.net.isis-am > p12345678.pureserver.info.http: S 283181056:283181056(0) win 16384
08:46:50.157931 IP p12345678.pureserver.info.http > pD9FF70FC.dip.t-dialin.net.isis-am: S 1658411144:1658411144(0) ack 283181057 win 5840 <mss 1460>