отчинь часта бываед, кагда правайдэр - пидар, и любые коннекты на закрытыйе парты васпринимаед каг папытку отаке и начинае зашчышчать ГОЛАКТЕКО, в обсчэм, шлйот арбузы. А так каг списаг socks праксей инагда пратухает, то важна узнаваць аб этам раньшэ пидарасаф. Чем мы собствинна и займемса.
1. пишэм дамп пакетаф с сцын флагами. делайэм эта красива, стартуем ровна в новуйу минуту и ротэйтим каждые 60 сикунт:
#!/bin/sh cd /var/log/suki/pcap TTW=$((60-$(date +%s)%60)) echo Sleeping $TTW before start sleep $TTW screen -mdS pcap tcpdump -ni enp4s0 'tcp[tcpflags] & tcp-syn==tcp-syn' -G 60 -w 'log_%d-%m_%Y__%H_%M.pcap'
2. щитаем каличиства каличных пакетаф
#!/bin/sh cd /var/log/suki/pcap FNAME=`ls *.pcap|tail -2|head -1` tcpdump -nnr $FNAME src host 198.51.100.2 and 'tcp[tcpflags] & (tcp-syn|tcp-ack) ==tcp-syn' 2>/dev/null > tmptmp for synackreply in `tcpdump -nnr $FNAME dst host 198.51.100.2 and 'tcp[tcpflags] & (tcp-syn|tcp-ack) ==tcp-syn|tcp-ack' 2>/dev/null|cut -d: -f3|awk '{print $5}'`;do sed -i "/$synackreply/d" tmptmp done cat tmptmp | wc -l
3. собствинна, аддайом заббиксу
UserParameter=suki.sack,/var/log/suki/pcap/synack