Autor Thema: Script gesucht  (Gelesen 1815 mal)

moucheron

  • Gast
Script gesucht
« am: 21. Januar 2008, 10:15:30 »
Hallo zusammen.

In unserem Betrieb läuft - einsam und verlassen :-)) - eine Sun Blade mit Solaris 10.

Nun tauchen gelegentlich Adressen aus dem Bereich 0.0.X.112 auf. Da mein Chef nun wissen möchte, woher diese Adressen kommen, habe ich nun ein Problem und erhoffe mir von euch ein wenig Hilfe.

Ich weiß, dass ich mit arp -a die komplette Arp-Table auslesen kann. Nun sind diese IP-Adressen nicht permanent vorhanden und somit - wenn ich schon mal nachschaue - aus der ARP-Table verschwunden. Den ARP-Timer hochsetzen kann ich nicht, da wir sonst Probleme beim Zugriff von Außerhalb des Netzes auf die SUN bekommen.

Snoop -v arp -0 /tmp/logfilename hat auch nicht den erwünschten Effekt, da scheinbar nur arp-Broadcasts geloggt werden.

Da ich nur sehr wenig mit Solaris zu tun habe, bin ich mit meinem Latein so ziemlich am Ende.

Was ich brauche, ist schlicht und ergreifend ein Script, welches den Arp-Cache periodisch durchsucht und nach bestimmten Kriterien gefiltert in ein Logfile schreibt.

Wenn mir hier jemand helfen könnte, wäre das super


Danke schon mal für die Mühe

Gruß

Markus

sonnenblen.de - Das unabhängige Sun User Forum

Script gesucht
« am: 21. Januar 2008, 10:15:30 »

Offline DukeNuke2

  • Sobl Guru
  • *****
  • Beiträge: 571
  • Soulman
    • Wo die Sonne lacht
Re: Script gesucht
« Antwort #1 am: 21. Januar 2008, 12:28:44 »
wo tauchen die ip's auf? was macht die maschine? wer greift normalerweise darauf zu?
ohne ein paar mehr infos wird die sache schwer zu erklären sein.

moucheron

  • Gast
Re: Script gesucht
« Antwort #2 am: 21. Januar 2008, 15:33:28 »
Hi.

Ich weiß zwar nicht, was diese Infos zur Erstellung des Scripts beitragen sollen, aber seis drum:

Die IP-Adressen tauchen in verschiedenen Log-Files auf (laut unserem Admin). Zugreifen auf die Maschine tun alle Mitarbeiter des Unternehmens, welche die dort laufende Applikation nutzen (welche das ist, muss ich wohl wirklich nicht hier posten).

Die Maschine ist mit dem Gigabit-IF (bge0) ans LAN verbunden. Die Konfiguration beinhaltet sog. Container (was immer das auch heißen mag ??).

Jedenfalls bekam ich vom Admin den Auftrag, mal nachzuschauen, woher diese ominösen Adressen kommen, da ich für das Netzwerk verantwortlich zeichne. Ich will also die zugehörige MAC-Adresse

Ich bin aber schon einen Schritt weiter und mit snoop -v net 0.0.0.0 -o /tmp/logfile.txt  scheinbar auf dem richtigen Weg.  Eventuell kann ich auch snoop -v ipaddr 0.1.226.119 -o /tmp/logfile.txt verwenden, um auf dedizierte IP-Adressen zu filtern. Ist es auch möglich die Zeile durch eine Oder-Verknüpfung (ipaddr 0.1.226.119 or 47.13.226.119) zu erweitern?

Jedenfalls bekomme ich einen Output, wenn ich das o.g. Netz durch eines der existenten innerhalb des LAN ersetze.

Was ich jetzt noch gerne tun würde, wäre die Begrenzung des Files durch ein Slizing (nur die ersten 100 Byte des Pakets). Wie das funktioniert, weiß ich noch nicht, aber vielleicht kann mir hier ja geholfen werden?
Ich brauche schließlich nur die Zuordnung IP <=> MAC, um nachzuvollziehen, von welcher L3-Instanz diese Adressen kommen, oder aber zu ersehen, dass diese Adressen von einer Maschine intern stammen.


Gruß

Markus