Dataforum

[Gjest Lilleulv]

Jeg trenger et forum der jeg kan spørre om noe ang data... det må være folk som har peil der. gjelder linux og pakkesniffingsprogrammet ethereal (hvordan man kan styre ethereal)... Noen som vet om noen forum hvor man kan få hjelp med sånt? (evt noen som kan hjelpe her?)

[Gjest Gjest]

hw.no er nok stedet. Her er det mage med virkelig peil!

[Scheherazade]

Også er de veldig flinke på Linux1.

[Gjest Lilleulv]

Takk takk, nå skal jeg nok få hjelp her

[Gjest Ethereal-bruker]

Eller du kan spørre her.

[Gjest Lilleulv]

Eller du kan spørre her.

←

Lurer på hvordan man setter ei grense for hvor mye minne og CPU Ethereal kan bruke?

Om det er noen parametere som må endres eller om man spesifiserer det når man startet programmet?

[Gjest Gjest]

For å ta minne først, så er det ikke noen måte å begrense Ethereals minneforbruk på. Det skulle egentlig heller ikke være nødvendig, da de oppfangede pakkene ikke lagres i minnet, men i en fil (Se "Capture:Start" i manualen). Opplever du at Ethereal stadig bruker mer og mer minne? Hvilken versjon kjører du, og på hvilket operativsystem?

Hvor mye CPU Ethereal bruker, kommer selvsagt an på hva den må gjøre. Du kan redusere behovet for CPU-kraft ved f.eks. å redusere "snaplength", altså hvor mye data av en gitt pakke Ethereal skal plukke opp. Parameteret for dette er "-s". Hvis du sniffer pakker på et meget travelt nettverk, men bare ønsker å undersøke pakker til og fra egen maskin, kan du muligens spare endel CPU ved å unngå å sette nettverkskortet i Promiscuous Mode med "-p".

Å angi et enkelt filterkriterie kan muligens også være positivt, da det blir mindre data å skrive til disken, noe som belaster systemet. Men det er da snakk om I/O-belastning, ikke CPU.

Det er fullt mulig å redusere Ethereals prioritet i operativsystemet (Task Manager i Windows, nice i Linux/BSD), men da treffer man umiddelbart på et problem: Ethereal fanger opp pakker. Hvis operativsystemet må nedprioritere Ethereal, er det temmelig sikkert at pakker vil gå tapt.

[Gjest Lilleulv]

Takk for svar gjesten. Men fikk liksom ikke oppklart det med minnebruk helt føler jeg...

Vi kjører jo en trafikkgenerator som sender pakker i et kjør. Ethereal kjøres for å sniffe opp disse, og etterhvert så må vi få Ethereal til å stoppe å kjøre når minnebruken blir så og så høy, hvis ikke så kjører den maskinen i senk. (den kjører på en trafikkgenerator som generer masse trafikk/pakker).

Jeg kjører suse 9.3 og den nyeste versjonen av Ethereal...

Endret 15. september 2005 av Lilleulv

[Gjest Gjest]

Dette med å sniffe pakker man selv genererer med en trafikkgenerator, høres litt sært ut. Dere har sikkert en grunn til å gjøre dette, men jeg kom til å tenke på et relativt kjent utsagn fra Usenet: "You have asked a question which has no useful answer. Please reconsider the nature of the problem you wish to solve."

Men til saken: Ethereal skal ikke bruke mer og mer minne etterhvert som pakkene ramler inn, for de skal lagres i en temporær capture-fil. Jeg prøvde nettopp å pinge Ethereal til døde (under Win32 riktignok, men kildekoden er da i alt vesentlig den samme), og over en periode på 10 minutter så jeg følgende: Minneforbruket gikk opp med 4 kb etter ca. 45 sekunder, men gikk så NED igjen med 8 kb etter 4 minutter. Slike variasjoner kom og gikk ettersom minuttene gikk, men totalt sett var det ingen økning i minneforbruk.

Jeg kan ikke helt se hvorfor Ethereal skulle trenge mer minne etterhvert som capture-filen vokser. Det eneste jeg kan komme på, er hvis datastrømmen (evt. kombinert med andre oppgaver på maskinen) er stor nok til å mette disksystemet, slik at capture-dataene ikke blir flushet til disk raskt nok.

Hvilken økning ser dere over tid? Fanger dere pakker fra et gigabit- eller 10-gigabit-kort, og har dere isåfall kompilert driverne med NAPI-støtte? Står det noe i OS-loggene?

[Gjest Lilleulv]

oki, du er i hvert fall min mann når det gjelder det her

Saken er at... Ethereal står ikke på hele tida. men noen ganger har vi glemt å skru det av etter å ha brukt det, og etter en stund så er all minnet brukt opp. så det som trengs er et program eller noe lignende som gjør at Ethereal ikke kan bruke så mye mer minne enn det gjør til vanlig. La oss si at det blir brukt 80% når trafikken kjører for fullt og Ethereal kjører. Hvis det etter en stund plutselig går over 90%, så må Ethereal avsluttes automatisk. Dette gjelder kun minnet, ikke tenk på CPU.

[Gjest Lilleulv]

Maskinen vår kræsjer jo når vi har glemt ethereal, så dette må jo være mulig da?! Rart hvis ikke...

[Gjest Gjest]

Det går selvsagt an å lage et script som f.eks. kan kjøres via cron hvert 5. minutt eller noe, som skjekker minneforbruket til Ethereal og foretar en "kill -9" hvis forbruket er for stort.

Men det er noe veldig rart her, for Ethereal skal IKKE bruke minne på den måten.

[Gjest Lilleulv]

Er du her fortsatt? jeg har funnet ut at jeg kan bruke ulimit for å begrense minnebruken. Dette gjelder bare for det shellet jeg er i da, men tror jeg kan løse det sånn. vet du hvordan man får åpnet et nytt shell(fra det shellet man står i) der man arver de begrensingene man har gitt med ulimit(i det shellet man står i) til det nye shellet?

Litt komplekst, håper du skjønte hva jeg mente

[Gjest Gjest]

Jeg regner med at du bruker bash som shell? Du kan jo prøve å sette kommandoen(e) i parenteser. Alt inne i parentesene vil bli utført i et nytt subshell:

( ulimit <tall> ; ethereal <parametre> )

[Gjest Lilleulv]

Tusen takk, det ser ut som det funker Jeg skriver (ulimit –v 102400; ethereal) og da starter den opp ethereal med de gitte parameterne på det virtuelle minne. Vet du om ethereal vil stoppe hvis det bruker for mye minne? Altså vil programmet vil stoppe opp hvis ethereal bruker over den gitte grensa...

[Gjest Lilleulv]

Et litt annet spørsmål, linux-mannen... Når jeg starter en ny capture, så har jeg huket av alle mulighetene i display options. Neste gang når jeg starter ethereal og har lyst å kjøre en capture, er det mulig å få dispaly options ferdig huket av? Altså er det mulig å lagre valgene du har gjort tidligere, slik at du slipper å huke dem av igjen?

[Gjest Lilleulv]

gjesten?