Oracle Solaris Snoop

Snoop komutu, ağ trafiğindeki arızaları (paket kayıpları,yüksek ağ gecikmesi vb.) bulma yöntemlerinde çok faydalıdır. Snoop, gerçek zamanlı ağ trafiğini görmek için kullanılabildiği gibi daha sonra incelemek için bir dosyaya kayıt da yapabilir.

Eğer sisteminiz shared-ip zone ise snoop komutunu global zone daki fiziksel ağ kartında çalıştırın.

Eğer sisteminiz exclusive-ip zone ise snoop’u non-global zone’da çalıştırın.

Eğer link aggregatıon kullanıyorsanız, snoop’u link aggregation kartında **nam-ı diğer “aggr1″** kullanın.

Eğer vlan kullanıyorsanız, vlan arayüzünde çalıştırın.

Snoop yapılacak kaynak makinenin arayüzünü bulmak için hedef ip’sine traceroute çalıştırın.

SNOOP KULLANIMI

#usr/sbin/snoop -qr -d [device] -o [filename] -s 300

-q :paket sayısını gösterme

-r : IP’yi hostname’e çevirme

-d device :snoop kullanılan ağ kartı

-o filename: yakalanan paketleri dosyaya kaydet

-s num: her paketi verilen num byte’ından sonra kırp.

ÖRNEK A:

ce0 kartındaki paketleri yakalama ve ce0_snoop dosyasına kaydetme:

# /usr/sbin/snoop -qr -d ce0 -o ce0_snoop.out -s 300

ÖRNEK B:

Dosyanın oluşturulduğunu teyit etme:

# file snoop.out
snoop.out: Snoop capture file - version 2

ÖRNEK C:

Daha önce oluşturulan dosyadan okuma:

# snoop -i [filename]

ÖRNEK D:

Sadece istenen porttan ağ trafiğini gözetleme:

mesela 8080

# /usr/sbin/snoop -qr -d ce0 -o ce0_snoop.out -s 300 port 8080

ÖRNEK E:

belirlenen IP de snoop yapma:

# /usr/sbin/snoop -qr -d ce0 -o ce0_snoop.out -s 300 192.168.1.1

IP adresleri arasında virgül(,) kullanarak çoklu IP yazılabilir.

ÖRNEK F:

İki IP arasında snoop yapma:

# snoop -i [filename] [IP-address1] [IP-address2]

ÖRNEK G:

Özel protokol için snoop yapma:

# /usr/sbin/snoop -qr -d ce0 -o ce0_snoop.out icmp,arp

ÖRNEK H:

Snoop un ne zaman alındığını kontrol edin:

9 ve 13 paketler arasını kontrol eder.

# snoop -i snoop.out -ta -p9,13
Loading name file snoop.out.names
9 18:10:54.71861 webcache -> mizue HTTP (proxy) R port=41579
10 18:10:55.03142 webcache -> mizue HTTP HTTP/1.1 200 OK
11 18:10:55.03168 mizue -> webcache HTTP (proxy) C port=41579
12 18:10:56.37426 webcache -> mizue HTTP (body)
13 18:10:56.47427 mizue -> webcache HTTP (proxy) C port=41579

ÖRNEK I:

Ftp data transferi için geçen toplam zamanı kontrol edin.

# snoop -i ftp.snoop -tr port 20 | tail -1
1393 2.47569 129.158.x.x -> 129.158.x.x FTP-DATA C port=32841

==> 2.47569 sec

ÖRNEK İ:

Paketlerin içeriğini görün:

# snoop -i snoop.out -p4 -x0

ÖRNEK J:

Jumpstart’ta sorun çözün:

MAC adres kullanılır.

# snoop -i [filename] xx:xx:xx:xx:xx:xx

ÖRNEK K:

Snoop un kayıp paketlerini inceleyin:

Genelde Gigabit ağda sorun oluşur.

# snoop -i snoop.out -D | grep TCP

ÖRNEK L:

Özel paketleri snoop dosyasından başka bir snoop dosyasına aktarın:

# snoop -i snoop.out -o snoop.telnet.out port 23

ÖRNEK M:

Protokol bilgilerini görün:

# snoop -i nfs.snoop -p23 -V

-v de aynı işi görür.

# snoop -i nfs.snoop -p23 -v/

ÖRNEK N:

Özel ping paketini inceleyin:

ID numarası ile filtreleme yapabilirsiniz.

# snoop -i snoop.out "icmp[4:2] = 16005"