# tcptrack zeigt nichts mehr

## pieter_parker

tcptrack -i ppp0 z.b. oder eth0 zeigt nichts mehr an, obwohl da trafic ist

im syslog erscheint

```
Sep 20 18:58:55 router [1634887.914057] device ppp0 entered promiscuous mode
```

aber das wars dann auch schon, mehr tut sich nicht

woran kann das liegen ?

----------

## Max Steel

Vll irgendwo ein Kenelupdate, und vergessen eine Funktion zu reaktivieren?

----------

## pieter_parker

das letzte kernel update liegt schon einige wochen zurueck

oke, die letzte benutzung von tcptrack liegt auch schon etwas zurueck

welche optionen sollten das denn sein ? wuesste nicht das man im kernel fuer tcptrack etwas aktivieren muesste ? aber warum sollte das auch bei einem kernelupdate ausgehen ?

----------

## pieter_parker

ich hab version 1.3.0 runtergeschmissen und version 1.2.0 installiert

es hat leider keine veraenderung gebracht ....

bei bugs.gentoo war auch nichts zufinden dazu

----------

## pieter_parker

fragezeichen

----------

## manuels

Welche pcap-Version hast du denn?

----------

## pieter_parker

```
emerge --search pcap

Searching...

[ Results for search key : pcap ]

[ Applications found : 7 ]

*  dev-perl/Net-Pcap

      Latest version available: 0.16

      Latest version installed: [ Not Installed ]

      Size of files: 80 kB

      Homepage:      http://search.cpan.org/dist/Net-Pcap-0.16

      Description:   Perl Net::Pcap - Perl binding to the LBL pcap

      License:       Artistic

*  dev-perl/Net-PcapUtils

      Latest version available: 0.01

      Latest version installed: [ Not Installed ]

      Size of files: 4 kB

      Homepage:      http://search.cpan.org/~timpotter/

      Description:   Perl Net::PcapUtils - Net::Pcap library utils

      License:       || ( Artistic GPL-2 )

*  dev-python/pylibpcap

      Latest version available: 0.5.1

      Latest version installed: [ Not Installed ]

      Size of files: 24 kB

      Homepage:      http://sourceforge.net/projects/pylibpcap/

      Description:   Python interface to libpcap

      License:       BSD

*  dev-python/pypcap [ Masked ]

      Latest version available: 1.1-r1

      Latest version installed: [ Not Installed ]

      Size of files: 22 kB

      Homepage:      http://code.google.com/p/pypcap/

      Description:   Simplified object-oriented Python extension module for libpcap

      License:       BSD

*  dev-ruby/ruby-pcap [ Masked ]

      Latest version available: 0.6

      Latest version installed: [ Not Installed ]

      Size of files: 36 kB

      Homepage:      http://www.goto.info.waseda.ac.jp/%7efukusima/ruby/pcap-e.html

      Description:   Extension library to use libpcap from Ruby

      License:       GPL-2

*  net-libs/libpcap

      Latest version available: 1.0.0-r2

      Latest version installed: 1.0.0-r2

      Size of files: 511 kB

      Homepage:      http://www.tcpdump.org/

      Description:   A system-independent library for user-level network packet capture

      License:       BSD

*  net-libs/libpcapnav

      Latest version available: 0.7

      Latest version installed: [ Not Installed ]

      Size of files: 381 kB

      Homepage:      http://netdude.sourceforge.net/

      Description:   A libpcap wrapper library that allows navigation to arbitrary packets in a tcpdump trace file between reads, using timestamps or percentage offsets.

      License:       BSD
```

wie kann ich mir anzeigen lassen welche version von pcacp das tcptrack benutzt ?

----------

## manuels

Müsste diese sein: net-libs/libpcap-1.0.0-r2

----------

## pieter_parker

liegt es an dieser libpcap das tcptrack nichts mehr anzeigt ?

----------

## manuels

Denke nicht, aber du kannst ja mal gucken, ob es mit tcpdump oder wireshark funktioniert.

Wenn nicht, liegt es wohl an libpcap

----------

## pieter_parker

wenn ich in der console wireshark aufrufe und dann z.b. eth0 anclicke sehe ich das sich da was tut, es wird was angezeigt - funktioniert

nur wieso das tcptrack nicht !?

 *Max Steel wrote:*   

> Vll irgendwo ein Kenelupdate, und vergessen eine Funktion zu reaktivieren?

 

welche kernel option sollte das sein ?

was koennte ich probieren damit das programm wieder etwas anzeigt ?

----------

## manuels

haste mal ne andere Version von tcptrack ausprobiert?

----------

## pieter_parker

ja, mit version 1.2.0 ist es genauso - es wird nichts angezeigt

welchen anderen programme gibt es die gleiches tun ?

oder wie kriege ich tcptrack wieder zum laufen ?

 *Max Steel wrote:*   

> Vll irgendwo ein Kenelupdate, und vergessen eine Funktion zu reaktivieren?

 

welche kernel option sollte das sein ?

auf welche pakete und libs greift tcptrack ueberall zu ? wie kann ich das anzeigen lassen ? bringt es etwas diese pakete und libs neuzubauen ?

was koennte ich probieren damit das programm wieder etwas anzeigt ?

----------

## AmonAmarth

 *pieter_parker wrote:*   

> ja, mit version 1.2.0 ist es genauso - es wird nichts angezeigt
> 
> welchen anderen programme gibt es die gleiches tun ?

 

evtl net-analyzer/jnettop?

 *pieter_parker wrote:*   

> oder wie kriege ich tcptrack wieder zum laufen ?

 

hat tcptrack eine verbose/debug option?

 *pieter_parker wrote:*   

> auf welche pakete und libs greift tcptrack ueberall zu ? wie kann ich das anzeigen lassen ? bringt es etwas diese pakete und libs neuzubauen ?

 

das geht mit 

```
ldd /path/to/$binary
```

----------

## pieter_parker

danke fuer den guten tip mit jnettop, das zeigt etwas an

```
ldd /usr/bin/tcptrack

        linux-gate.so.1 =>  (0xb80bb000)

        librt.so.1 => /lib/librt.so.1 (0xb8094000)

        libpthread.so.0 => /lib/libpthread.so.0 (0xb807c000)

        libpcap.so.1 => /usr/lib/libpcap.so.1 (0xb804b000)

        libncurses.so.5 => /lib/libncurses.so.5 (0xb8003000)

        libnsl.so.1 => /lib/libnsl.so.1 (0xb7fec000)

        libstdc++.so.6 => /usr/lib/gcc/i686-pc-linux-gnu/4.3.4/libstdc++.so.6 (0xb7f00000)

        libm.so.6 => /lib/libm.so.6 (0xb7ed9000)

        libgcc_s.so.1 => /usr/lib/gcc/i686-pc-linux-gnu/4.3.4/libgcc_s.so.1 (0xb7ecb000)

        libc.so.6 => /lib/libc.so.6 (0xb7d88000)

        /lib/ld-linux.so.2 (0xb80bc000)

        libdl.so.2 => /lib/libdl.so.2 (0xb7d84000
```

hilft es etwas all diese pakete nun neubauen zulassen ?

welche kernel option sollte das sein die etwas mit tcptrack zutun haben koennte ?

----------

## manuels

strace könntest du auch mal auf tcptrack loslassen.

Vielleicht soll irgendein Device geöffnet werden, was nicht klappt und tcptrack gibt keine Fehlermeldung aus.

----------

## pieter_parker

hab strace installiert

kannst du mir hilfe geben wie ich das mit dem strace machen soll um mit tcptrack weiterzukommen ?

----------

## pieter_parker

was muss ich mit strace tun ?

----------

## Max Steel

Den Befehl "strace tcptrack" eingeben. und die Ausgabe in eine Datei umleiten. Oder bei gnopaster oder etwas ähnlichem hochladen: strace tcptrack | gnopaster

----------

## pieter_parker

```
strace tcptrack       

execve("/usr/bin/tcptrack", ["tcptrack"], [/* 60 vars */]) = 0

brk(0)                                  = 0x96b9000           

access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)

open("/etc/ld.so.cache", O_RDONLY)      = 3                                    

fstat64(3, {st_mode=S_IFREG|0644, st_size=132050, ...}) = 0                    

mmap2(NULL, 132050, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb7fe1000                 

close(3)                                = 0                                    

open("/lib/librt.so.1", O_RDONLY)       = 3                                    

read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0`\31\0\0004\0\0\0\200"..., 512) = 512

fstat64(3, {st_mode=S_IFREG|0755, st_size=30552, ...}) = 0                                   

mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7fe0000       

mmap2(NULL, 33392, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7fd7000        

mmap2(0xb7fde000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x6) = 0xb7fde000

close(3)                                = 0                                                            

open("/lib/libpthread.so.0", O_RDONLY)  = 3                                                            

read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0@H\0\0004\0\0\0X"..., 512) = 512               

fstat64(3, {st_mode=S_IFREG|0755, st_size=118981, ...}) = 0                                            

mmap2(NULL, 94688, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7fbf000                  

mmap2(0xb7fd3000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x13) = 0xb7fd3000

mmap2(0xb7fd5000, 4576, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xb7fd5000  

close(3)                                = 0                                                             

open("/usr/lib/libpcap.so.1", O_RDONLY) = 3                                                             

read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\220T\0\0004\0\0\0\20"..., 512) = 512           

fstat64(3, {st_mode=S_IFREG|0755, st_size=203000, ...}) = 0                                             

mmap2(NULL, 208032, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7f8c000                  

mmap2(0xb7fbd000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x30) = 0xb7fbd000

close(3)                                = 0                                                             

open("/lib/libncurses.so.5", O_RDONLY)  = 3                                                             

read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\220\7\1\0004\0\0\0\260"..., 512) = 512         

fstat64(3, {st_mode=S_IFREG|0755, st_size=286616, ...}) = 0                                             

mmap2(NULL, 291780, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7f44000                  

mmap2(0xb7f82000, 36864, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x3d) = 0xb7f82000

mmap2(0xb7f8b000, 964, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xb7f8b000    

close(3)                                = 0                                                              

open("/lib/libnsl.so.1", O_RDONLY)      = 3                                                              

read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0p1\0\0004\0\0\0|"..., 512) = 512                 

fstat64(3, {st_mode=S_IFREG|0755, st_size=79540, ...}) = 0                                               

mmap2(NULL, 92136, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7f2d000                    

mmap2(0xb7f40000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x12) = 0xb7f40000 

mmap2(0xb7f42000, 6120, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xb7f42000   

close(3)                                = 0                                                              

open("/usr/lib/gcc/i686-pc-linux-gnu/4.3.4/libstdc++.so.6", O_RDONLY) = 3                                

read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\340A\4\0004\0\0\0\300"..., 512) = 512           

fstat64(3, {st_mode=S_IFREG|0755, st_size=942152, ...}) = 0                                              

mmap2(NULL, 964844, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7e41000                   

mmap2(0xb7f22000, 20480, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0xe1) = 0xb7f22000

mmap2(0xb7f27000, 22764, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xb7f27000  

close(3)                                = 0                                                              

open("/lib/libm.so.6", O_RDONLY)        = 3                                                              

read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0@4\0\0004\0\0\0000"..., 512) = 512               

mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7e40000                   

fstat64(3, {st_mode=S_IFREG|0755, st_size=149256, ...}) = 0                                              

mmap2(NULL, 151680, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7e1a000                   

mmap2(0xb7e3e000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x23) = 0xb7e3e000 

close(3)                                = 0                                                              

open("/usr/lib/gcc/i686-pc-linux-gnu/4.3.4/libgcc_s.so.1", O_RDONLY) = 3                                 

read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\240\34\0\0004\0\0\0t"..., 512) = 512            

fstat64(3, {st_mode=S_IFREG|0644, st_size=50564, ...}) = 0                                               

mmap2(NULL, 53768, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7e0c000                    

mmap2(0xb7e18000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0xb) = 0xb7e18000  

close(3)                                = 0                                                              

open("/lib/libc.so.6", O_RDONLY)        = 3                                                              

read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\200h\1\0004\0\0\0\244"..., 512) = 512           

fstat64(3, {st_mode=S_IFREG|0755, st_size=1311004, ...}) = 0                                             

mmap2(NULL, 1316464, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7cca000                  

mmap2(0xb7e06000, 12288, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x13c) = 0xb7e06000

mmap2(0xb7e09000, 9840, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xb7e09000    

close(3)                                = 0                                                               

open("/lib/libdl.so.2", O_RDONLY)       = 3                                                               

read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0000\n\0\0004\0\0\0$"..., 512) = 512               

fstat64(3, {st_mode=S_IFREG|0755, st_size=9604, ...}) = 0                                                 

mmap2(NULL, 12408, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7cc6000                     

mmap2(0xb7cc8000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1) = 0xb7cc8000

close(3)                                = 0

mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7cc5000

mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7cc4000

set_thread_area({entry_number:-1 -> 6, base_addr:0xb7cc46d0, limit:1048575, seg_32bit:1, contents:0, read_exec_only:0, limit_in_pages:1, seg_not_present:0, useable:1}) = 0

mprotect(0xb7cc8000, 4096, PROT_READ)   = 0

mprotect(0xb7e06000, 8192, PROT_READ)   = 0

mprotect(0xb7e18000, 4096, PROT_READ)   = 0

mprotect(0xb7e3e000, 4096, PROT_READ)   = 0

mprotect(0xb7f22000, 16384, PROT_READ)  = 0

mprotect(0xb7f40000, 4096, PROT_READ)   = 0

mprotect(0xb7f82000, 32768, PROT_READ)  = 0

mprotect(0xb7fbd000, 4096, PROT_READ)   = 0

mprotect(0xb7fd3000, 4096, PROT_READ)   = 0

mprotect(0xb7fde000, 4096, PROT_READ)   = 0

mprotect(0x8057000, 4096, PROT_READ)    = 0

mprotect(0xb801f000, 4096, PROT_READ)   = 0

munmap(0xb7fe1000, 132050)              = 0

set_tid_address(0xb7cc4718)             = 14090

set_robust_list(0xb7cc4720, 0xc)        = 0

futex(0xbfe3ec40, FUTEX_WAKE_PRIVATE, 1) = 0

rt_sigaction(SIGRTMIN, {0xb7fc3300, [], SA_SIGINFO}, NULL, 8) = 0

rt_sigaction(SIGRT_1, {0xb7fc3730, [], SA_RESTART|SA_SIGINFO}, NULL, 8) = 0

rt_sigprocmask(SIG_UNBLOCK, [RTMIN RT_1], NULL, 8) = 0

getrlimit(RLIMIT_STACK, {rlim_cur=8192*1024, rlim_max=RLIM_INFINITY}) = 0

uname({sys="Linux", node="server", ...}) = 0

futex(0xb7f2773c, FUTEX_WAKE_PRIVATE, 2147483647) = 0

rt_sigaction(SIGINT, {0x8049fc0, [INT], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0

brk(0)                                  = 0x96b9000

brk(0x96da000)                          = 0x96da000

fstat64(1, {st_mode=S_IFCHR|0600, st_rdev=makedev(136, 4), ...}) = 0

mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb8001000

write(1, "Usage: tcptrack [-dfhvp] [-r <sec"..., 77Usage: tcptrack [-dfhvp] [-r <seconds>] -i <interface> [<filter expression>]

) = 77

exit_group(1)                           = ?
```

ok, du meinst so ?

----------

## pieter_parker

wie hilft mir strace endlich wieder tcptrack zum laufen zubekommen ?

----------

## pieter_parker

fragezeichen

----------

## pieter_parker

was muss ich tun damit ich tcptrack wieder nutzen kann ?

----------

## papahuhn

IP und rootpasswort rausgeben.

----------

## pieter_parker

74.125.67.100

f0F!$E1g3!b1r7V$9!E$

----------

## papahuhn

Jop, läuft jetzt.   :Rolling Eyes: 

----------

## pieter_parker

was muss ich machen damit tcptrack funktioniert !?

----------

## Max Steel

Also dazu fällt mir jetzt nichts mehr ein >.<

Du hast ganz genau 2 Möglichkeiten

1. Möglichkeit:

Du änderat jetzt innerhalb der nächsten millionstel Sekunde dein Root-passwort und prüfst ob nicht irgendwo ein versteckter neuer User existiert oder ein anderer plötzlich Shell-Rechte hat und sudo Rechte hat.

oder

2. Möglichkeit:

Dein System ist nicht mehr dein System.

PS: Ich machs zwar nicht, aber es gibt genug Hacker die sowas brauchen.

----------

## pieter_parker

das tcptrack nicht laeuft liegt nicht an irgendwelchen kleinen gruenen maennchen, das muss einen anderen grund haben, nur finde ich ihn alleine nicht

----------

## pieter_parker

kann es sein das bei tcptrack irgendwas im (__o__) ist ?

auf 2 echten und 2 vmware pcs jeweils das selbe, tcptrack zeigt nichts an

----------

## pieter_parker

auf allen neu installierten systemen laeuft tcptrack nicht, es zeigt nirgendwo etwas an

kann es sein das tcptrack kaput ist ?

----------

## papahuhn

Also bei mir läufts.

----------

## pieter_parker

wie koennen wir die dateien und einstellungen die tcptrack zugreift abgleichen um rauszufinden was bei mir anders ist als bei dir ?

irgendwo ran muss es ja liegen das es bei mir nicht laeuft und bei dir laeuft

----------

## bbgermany

Hi,

ich habe mal ein bissle getestet. Folgende Kombinationen der Paketversionen laufen bei mir:

net-libs/libpcap-0.9.8-r2 + net-analyzer/tcptrack-1.2.0

net-libs/libpcap-0.9.8-r2 + net-analyzer/tcptrack-1.3.0

alle anderen Kombinationen haben auch bei mir nichts angezeigt.

MfG. Stefan

----------

## pieter_parker

ai caramba

danke man !

es funktioniert mit der net-libs/libpcap-0.9.8-r2

..was aber ist an der aktuellen libpcap soviel anders das tcptrack damit nicht laeuft

und welche nachteile hat es fuer das gesammte system die alte net-libs/libpcap-0.9.8-r2 zubenuetzen ?

kann ich beide libpcap im system haben ? und es so machen das nur tcptrack die alte net-libs/libpcap-0.9.8-r2 benutzt ?

----------

## bbgermany

Hi,

vielleicht nutzt die aktuelle libpcap Version andere API Aufrufe, die in tcptrack noch nicht implementiert sind. Das Changelog von libpcap sollte das vielleicht offenbaren http://www.tcpdump.org/libpcap-changes.txt

MfG. Stefan

----------

## papahuhn

Bei mir läufts aber mit libpcap 1.0.0-r2 und tcptrack 1.3.0.

Welche linux-headers Version habt ihr? Hier 2.6.30-r1.

----------

## pieter_parker

benutze die gleichen wie du

```
emerge --search linux-headers

*  sys-kernel/linux-headers

      Latest version installed: 2.6.30-r1
```

----------

## bbgermany

```

apollo walther # eix linux-header

[I] sys-kernel/linux-headers

     Available versions:  *2.4.33.3!b!s ~*2.4.36!b!s 2.6.23-r3!b!s 2.6.27-r2!b!s (~)2.6.28-r1!b!s (~)2.6.29!b!s 2.6.30-r1!b!s (~)2.6.32!b!s (~)2.6.33!b!s

     Installed versions:  2.6.33!b!s(21:31:18 15.03.2010)

     Homepage:            http://www.kernel.org/ http://www.gentoo.org/

     Description:         Linux system headers

apollo walther # 

```

Also recht aktuell. 

MfG. Stefan

EDIT: Zum Test waren es noch die 2.6.32

----------

