Trafficmonitoring nach userid

Rund um die Sicherheit des Systems und die Applikationen
smur
Posts: 167
Joined: 2003-05-26 16:00
Location: Mannheim
 

Trafficmonitoring nach userid

Post by smur »

Hallo,

hoffe mal, dass diese Frage hier reinpasst, eine passendere Kategorie habe ich mal nicht gefunden.

Ich suche nach einer Möglichkeit den Traffic statt wie üblich nach Ports nach Usern zu überwachen. Z.B. über das owner-modul von iptables. Das klappt nur für outgoing traffic, macht aber nix. Nur habe ich bis dato keine brauchbare Lösung oder wenigstens einen Ansatz finden können, wie man das lösen könnte. Es geht mir also darum, dass alle OUTGOING pakete durch iptables geloggt werden, die von $user kommen. Die source-ip sollte dabei keine Rolle spielen. Ein Skript für die Auswertung kann ich natürlich selber schreiben. Also wenn jemand eine Idee hat, immer her damit.

Danke & Gruß,
Nico
mutombo
Posts: 184
Joined: 2003-06-19 06:10
 

Re: Trafficmonitoring nach userid

Post by mutombo »

laut aussage der developer von ipac-ng soll die cvs version auch ownermatch können. da aber wie gesagt nur outgoing funzt hab ich mich nie genauer mit beschäftigt.
wenn du was findest was das logging für user sowohl incoming als auch outgoing misst, dann melde dich bitte nochmal :)
alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover
 

Re: Trafficmonitoring nach userid

Post by alexander newald »

Incoming geht ohne Kernel Patch nicht und der ist uralt. Das Problem ist, dass der Kernel den Traffic sieht bevor er weiss welches Programm (und somit welcher User) dafür verantwortlich ist.

http://ramses.smeyers.be/homepage/useripacct/
smur
Posts: 167
Joined: 2003-05-26 16:00
Location: Mannheim
 

Re: Trafficmonitoring nach userid

Post by smur »

Ich glaub die Seite is n bissl kaputt.

BTW: hallo Alexander ;-) (falls du mich erkennst)

Gruß,
Nico
alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover
 

Re: Trafficmonitoring nach userid

Post by alexander newald »

Hallo ;-) Ja !

Die Seite geht bei mir. Der letzte Eintrag ist aber eh vom 05. Juli 2001 und passend zum Kernel 2.4.6 (Und auch noch beta)
smur
Posts: 167
Joined: 2003-05-26 16:00
Location: Mannheim
 

Re: Trafficmonitoring nach userid

Post by smur »

Weder mit Mozilla, mit IE noch mit w3m geht die Seite.

Code: Select all

Error number: 403 Error expl: Forbidden
Meine IP will er wohl nich, naja ;-)

Nachtrag: T-Online IPs hat er wohl gesperrt, mit meinem Server in FFM komm ich drauf *freu*
rootmaster
Posts: 483
Joined: 2002-04-28 13:30
Location: Hannover
 

Re: Trafficmonitoring nach userid

Post by rootmaster »

naturgemäß ist diese art von traffic-counting nicht einfach, weil dazu ein low-level-mechanismus nötig ist 8)
es gibt da aber ein tool, das auf pcap aufsetzt und schon recht schöne ergebnisse erzielt (solange man nicht gerade high-traffic macht ;)), zu finden unter
http://trafcalc.sourceforge.net/

output sieht in etwa folgerndermaßen aus (plain oder html)

Code: Select all

user:                   traffic:        mb:
wwwrun                  110482          0
user1                   66438216        63
root                    162800          0

port:                   traffic:        mb:
22                      141348          0
80                      144954          0
34524                   13284600        12
34526                   13284178        12
34527                   13286048        12
34529                   13284178        12
34530                   13284600        12
PS: sowohl up- als auch downloads von der shell aus

"back to the roots"
mutombo
Posts: 184
Joined: 2003-06-19 06:10
 

Re: Trafficmonitoring nach userid

Post by mutombo »

Nico82 wrote:Weder mit Mozilla, mit IE noch mit w3m geht die Seite.

Code: Select all

Error number: 403 Error expl: Forbidden
Meine IP will er wohl nich, naja ;-)

Nachtrag: T-Online IPs hat er wohl gesperrt, mit meinem Server in FFM komm ich drauf *freu*
*andenkopfschlag*
hab mich auch schon erfolglos an der seite probiert ;)

das trafcalc werd ich mir mal reinziehen.
thx