linux下利用tcpdump實現24小時自動抓包
技術支持服務電話:15308000360 【7x24提供運維服務,解決各類系統/軟硬件疑難技術問題】
安裝tcpdump
# yum install tcpdump
腳本里有注釋#diy的,表示下一行需自定義修改。
腳本都放在home目錄下;crontab里寫:
* */6 * * * /bin/bash /home/monitor_dump.sh
* */6 * * * /bin/bash /home/monitor_disk.sh
根據當磁盤空間的大小和流量的大小確定crontab里的時間間隔
因加了crontab要時間到才執行,為了現在執行,可執行:nohup sh /home/monitor_dump.sh &
vi常用命令
# vi /etc/crontab
insert進入編輯狀態
ESC進入命令狀態
:wq保存退出
:q退出
修改后要執行 crontab /etc/crontab
main_dump.sh (抓包的主程序)
每隔1分鐘通過死循環檢測,讓程序不斷的去抓包;考慮到抓包的結果可能太大分析工具無法打開分析,所以每個數據包大小限制約為100M;
并設定了前一個包抓完,間隔5秒,開始進行下一輪抓包;
每天的數據包放在/data下以日期命名的目錄如:/data/2010-03-08,并進行壓縮存儲,包的命令格式為:yyyy-mm-dd@hhmmss-hhmmss.pcap.gz;其中yyyy-mm-dd表示日期,第一個hhmmss表示開始抓包的時分秒,第二個hhmmss表示抓包結束的時分秒。
#!/bin/bash
#script name:/home/main_dump.sh
while :
do
STIME=`date +%F"@"%H%M%S`
DATE_DIR=`date +%F`
if [ ! -d /data/$DATE_DIR ];then
mkdir -p /data/$DATE_DIR
fi
#diy #unit:byte;100MB
MAXSIZE=100000000
#diy
DUMPPID=`ps -ef|grep "tcpdump -i eth0"|grep pcap|awk '{print $2}'`
if [ ! "$DUMPPID" ];then
#diy
/usr/sbin/tcpdump -i eth0 host 113.105.152.180 -w /data/$DATE_DIR/$STIME.pcap -s 0 &
fi
sleep 1
#diy
DUMPPID=`ps -ef|grep "tcpdump -i eth0"|grep pcap|awk '{print $2}'`
PACKSIZE=`ls -l /data/$DATE_DIR|grep "$STIME.pcap"|awk '{print $5}'`
while [ "$PACKSIZE" -lt "$MAXSIZE" ];do
PACKSIZE=`ls -l /data/$DATE_DIR|grep "$STIME.pcap"|awk '{print $5}'`
sleep 1m
done
kill -9 $DUMPPID
ETIME=`date +%H%M%S`
mv /data/$DATE_DIR/$STIME.pcap /data/$DATE_DIR/$STIME-$ETIME.pcap
gzip /data/$DATE_DIR/*.pcap
sleep 5
done
monitor_dump.sh (監控抓包腳本)
為了保證抓包主程序能健康運行,通過crontab程序來調度monitor_dump.sh;
監控抓包主程序是事正常運行,如果沒有運行,則啟動它;
#!/bin/bash #script name:/home/monitor_dump.sh DATE_DIR=`date +%F` STIME=`date +%F"@"%H%M%S` MAINDUMP=`ps -elf|grep maindump|grep -v grep` #diy DUMPPID=`ps -ef|grep "tcpdump -i eth0"|grep pcap` #check main programme status if [ ! "$MAINDUMP" ];then /bin/bash /home/maindump.sh fi if [ ! "$DUMPPID" ];then #diy /usr/sbin/tcpdump -i eth0 host 113.105.152.180 -w /data/$DATE_DIR/$STIME.pcap -s 0 & fi
monitor_disk.sh(監控硬盤空間)
監控磁盤的空閑空間,當磁盤的使用率大于等于30%時(可設置),會自動刪除最早一天抓到的所在數據包,以保證磁盤的空閑空間;
#!/bin/bash
#script name:/home/monitor_disk.sh
#diy
FREEDISK=`df -h|grep "/dev/sda3"|awk '{print $5}'|awk -F % '{print $1}'`
HEADMOST=`ls -l /data|grep ^d|awk '{print $NF}'|sort|head -n 1`
#check free disk status
#diy
if [ "$FREEDISK" -ge "30" ];then
rm -rf /data/"$HEADMOST"
fi
