
<p><br>

On Jun 21, 2012 5:33 PM, "Mark Saad" <<a href="mailto:mark.saad@ymail.com">mark.saad@ymail.com</a>> wrote:<br>

><br>

> On Thu, Jun 21, 2012 at 5:29 PM, Mark Saad <<a href="mailto:nonesuch@longcount.org">nonesuch@longcount.org</a>> wrote:<br>

> > On Thu, Jun 21, 2012 at 4:10 PM, George Neville-Neil<br>

> > <<a href="mailto:gnn@neville-neil.com">gnn@neville-neil.com</a>> wrote:<br>

> >><br>

> >> On Jun 21, 2012, at 15:36 , Nikolai Fetissov wrote:<br>

> >><br>

> >>>> All<br>

> >>>> I was testing out some of the examples from the pcs talk last month,<br>

> >>>> and I am running into some errors. I wanted to see if anyone could<br>

> >>>> shed some light on this.<br>

> >>>><br>

> >>>> Here is what I did<br>

> >>>><br>

> >>>><br>

> >>>> root@nymirror1:/usr/local/share/examples/pcs # python ddos_analyze.py<br>

> >>>> -f /usr/local/pcap-logs/26-nybweb1.pcap -m 25 -s 255.255.255.0 -n<br>

> >>>> 10.12.13.0<br>

> >>>> Traceback (most recent call last):<br>

> >>>>  File "ddos_analyze.py", line 105, in <module><br>

> >>>>    main()<br>

> >>>>  File "ddos_analyze.py", line 87, in main<br>

> >>>>    if (ip.src & mask) != network:<br>

> >>>>  File "/usr/local/lib/python2.7/site-packages/pcs/__init__.py", line<br>

> >>>> 1061, in __getattribute__<br>

> >>>>    return object.__getattribute__(self, name)<br>

> >>>> AttributeError: 'arp' object has no attribute 'src'<br>

> >>>><br>

> >>>><br>

> >>>> I am using python 2.7.3,  I had the same results with 2.6.6,  on<br>

> >>>> FreeBSD 9-STABLE amd64 .<br>

> >>>><br>

> >>>><br>

> >>>> The pcap file was created this way<br>

> >>>><br>

> >>>> tcpdump -i igb1 -s 1500 -w /usr/local/pcap-logs/26-nybweb1.pcap<br>

> >>>><br>

> >>><br>

> >>> Restict the capture with "proto ip"?<br>

> >><br>

> >> Yup, that works, or you can do hack the code to ignore anything not ip:<br>

> >><br>

> >> if type(packet.data) != ipv4:<br>

> >>        continue<br>

> >><br>

> >> Since these are all objects you can do object type comparisons.<br>

> >><br>

> >> Best,<br>

> >> George<br>

> >><br>

> >> _______________________________________________<br>

> >> talk mailing list<br>

> >> <a href="mailto:talk@lists.nycbug.org">talk@lists.nycbug.org</a><br>

> >> <a href="http://lists.nycbug.org/mailman/listinfo/talk">http://lists.nycbug.org/mailman/listinfo/talk</a><br>

> ><br>

> > That worked  george, also it appears that the script bombs out if you<br>

> > tell it to show you the top N hosts in a pcap if there are only <N<br>

> > hosts in the pcap file.  That was part of my issue.<br>

> ><br>

> ><br>

> ><br>

> ><br>

> > --<br>

> > mark saad | <a href="mailto:nonesuch@longcount.org">nonesuch@longcount.org</a><br>

><br>

><br>

><br>

> That worked  George, also it appears that the script bombs out if you<br>

> tell it to show you the top N hosts in a pcap if there are only <N<br>

> hosts in the pcap file.  That was part of my issue.<br>

><br>

> --<br>

><br>

> Mark Saad | <a href="mailto:mark.saad@ymail.com">mark.saad@ymail.com</a><br>

><br>

> _______________________________________________<br>

> talk mailing list<br>

> <a href="mailto:talk@lists.nycbug.org">talk@lists.nycbug.org</a><br>

> <a href="http://lists.nycbug.org/mailman/listinfo/talk">http://lists.nycbug.org/mailman/listinfo/talk</a></p>

<p>Glad it worked out! Just wanted to put in my favorite snaplen option. Setting it to -s0 is my favorite both because its shorter to type and it grabs the whole frame no matter what.<br>

</p>