Freesco, NND, CDN, EOS

Zmieniłem interfejs i wszystko ok tylko zamiast IP usera mam jego ksywke z host.Czy mozna to zmienic zeby było widoczne IP??

Zrobiłem taki skrypcik, który powinien w prosty sposób załatwić sprawę logowania pakietów 'syn' na wszystkich interfejsach lokalnych.

Instrukcja obsługi:

1) Zaloguj się jako root:

2) wydaj polecenia:

Pobrany zostanie skrypt i wrzucony od razu do crona. Co noc będzie powstawał nowy komplet plików (po jednym dla każdego interfejsu lokalnego). Przy pierwszym uruchomieniu skrypt wygeneruje błędy, które należy zignorować. U mnie przy trzech interfejsach wygląda to tak:


Od tej pory w katalogu /var/log/inwigilacja powinny pojawiać się pliki z logami. Najlepiej oglądać je po przekopiowaniu na kompa z zainstalowanym etherealem (w środowisku graficznym linuksa lub pod windowsem).

zastanow sie nad zmiana


na



Bedzie wtedy latwiej pogrupowac/poszukac dany log.
Poza tym, nie wiem dlaczego, u mnie przy wersji miesiaca w formie slownej raz wystepowalo december, a raz grudzien.


PS. Uruchamianie raz dziennie z crona nie wystarczy. Trzeba dodac jeszcze przynajmniej do rc.local

_________________
GG

przeciez tak jest

nadal widze `date +%d-%B-%Y-g%H%M`

_________________
GG

Uwzględniłem Twoje sugestie. Poprawiona wersja skryptu jest na serwerze. Nie dodawałem tylko "-%S", bo chyba nikt nie będzie ruchamiał skryptu częściej niż co minutę Już te godziny i minuty w nazwie pliku są trochę na wyrost na wypadek, gdyby ktoś chciał to sobie częściej niż raz na dobę uruchamiać.


Racja, ale tu widzę pewien problem: kompresja plików trochę trwa i umieszczenie tego w rc.local spowoduje, że system może się długo uruchamiać. Poza tym ostatnią linijką w rc.local powinno być 'stat done'. Zastanawiam się, czy można jakoś zmusić skrypt do dopisania czegoś przed ostatnią linijką zamiast na końcu? Jak nie, to każdy będzie musiał sobie sam to ręcznie dopisać dopisać.

Tak. Ktoras opcja grepa

_________________
GG

Dzięki. Czyli poprawiony "instalator", który zadba o to, żeby monitorowanie rozpoczęło się wraz ze startem systemu będzie wyglądał jak poniżej. Tylko żeby komuś nie przyszło do głowy tego przepisywać ręcznie! Kod ten należy skopiować i wkleić sobie do konsoli (np. w putty - prawym klawiszem myszy).

mam takie pytanie nie przydalo by sie szczytywac pakiety UDP
a nie tylko TCP



sprawdzilem ten tcpdump i nie podoba mi sie on nie ma godziny polaczenia tylko chyba sekundy wiec ciezko cos z niego wywnioskowac
i po zatym tylko to sa chyba poalaczenia wychodzace w mnie intersowaly by wszystkie polaczenia

_________________
CCDP CCNP CCIP

Przydałoby się, ale to nie takie proste. W przypadku tcp ograniczamy się do pakietów nawiązujących połączenie i dlatego logi mają jakąś sensowną wielkość. Natomiast udp jest protokołem bezpołączeniowym i trzebaby logować wszystkie pakiety i byłoby tego trochę dużo... Chyba, że o czymś nie wiem, to czekam na sugestie jak to można rozwiązać. Może dałoby się do tego jakoś wykorzystać "statefull inspection"? Jak ktoś wie jak, to niech rzuci jakiś pomysł.

a moze ktos wie jak zmusic iptrafa aby sie on zajmowal robieniem logow - poniewaz logi z niego sa rewelacyjne wszstkie pakiety sa zapisywane UDP i TCP z godzina itp
tylko nie wiem jak zrobic aby sie automatycznie wysztko robilo
intersuje mnie jak uruchomic go aby zapisywal do pliku itp

sprawdzam wlasnie iptrafa i powiem ze mam juz prawie 200MB wiec przez dzien bezdzie z 300MB ale po spakowaniu jest tego z 8MB a moze max 10MB wiec jest OK tylko jak go zmusic do automatyki

_________________
CCDP CCNP CCIP

Nieprawda. Trzeba tylko odpowiednio ustawić format wyświetlania czasu paketów w Ethereal. Domyślnie jest wyświetlany czas mierzony od pojawienia się pierwszego pakietu, ale można to zmienić w opcjach i wyświetli Ci dokładną datę i godznę.
Głównym celem skryptu jest śledzenie poczynań naszych użytkowników na wypadek, gdyby coś narozrabiali i przyszłoby się nam z tego tłumaczyć. Ale nic nie stoi na przeszkodzie, żeby monitorować pakiety przychodzące z zewnątrz na nasz interfejs WAN. Trzeba tylko wejść do skrypu i w zmiennej "DEVS" (24 linijka) ręcznie podać interfejsy, które chcemy monitorować.

widze ze watpliwosci moje zostaly wyjasnione

- przy okazji czy nie slyszales o skutecznosci takich logow jak rowniez czy robic je takze jak sie ma za routerem 15komputerow max
Czy wrazie czego taki logi maja jakakolwiem wartosc
siec jest blokowa zrobione za pieniasze spolnoty mieszkaniowej nikt na tym nie zarabia kazdy placi po rowno

_________________
CCDP CCNP CCIP

ja też zamiast logów mam krzaki ;p

UPDATE:

Sorry myślałem że ten temat ma tylko jedną strone po analizie dokładnej juz wszystko wiem ;p

_________________
Pentium III 500/512, 128Mb/PC133, 8,3Gb, DSL 1024/256,
11 userów

Update: 10.05.2006
Pentium III 700/256, 338Mb/PC133, 80 Gb, DSL 2Mbit/s / 256kbit/s,
16 userów

krzaki dlatego poniewaz do przegladania sluzy ether...
zainstaluj i bedzie OK jak juz wyblo wyjsnone nawet godzine dostaniesz
a wykozystalem do logowania iptrafa- dla mnie ciekawsze - tylko ze narazie nie wlaczylem na stale bo nie wiem czy warto
do takich logow to przydal by i sie porzadny filtr bo filtrowania wszystkiego

_________________
CCDP CCNP CCIP

co ty za herezje opowiadasz do odczytywania tych krzaczków służy sam tcpdump

Np. tcpdump -n -r /home/log/syn-tcp.dmp > log.txt

Zmienna -n po to aby nie zmieniał numerów IP na nazwy hostów

Bez -n czytanie pliku 5Mb trwa 2 minuty i w wyniku mamy 9 Mb plik txt a bez -n przerwałem po 10 minutach.

Nie rozumiem po co instalować zbędny soft.

_________________
Pentium III 500/512, 128Mb/PC133, 8,3Gb, DSL 1024/256,
11 userów

Update: 10.05.2006
Pentium III 700/256, 338Mb/PC133, 80 Gb, DSL 2Mbit/s / 256kbit/s,
16 userów

Nie rozumiem po co instalować zbędny soft. - poniewaz nie kazdy wie ze mozna tak zrobic jak napisales - wiec dlatego uzywa sie do tego etherlean
a pozatym to jak ktos chce zerknac na logi z windosie to i tak bez etherlean sie nie obedzie

_________________
CCDP CCNP CCIP

Nie znam konkretnych przypadków ale uważam, że warto takie logi robić choćby dla własnej informacji. Pomijając ekstremalne przypadki, gdy np. ktoś z Twojego IP popełni przestępstwo, możesz mieć i inne nieprzyjemności. Może się zdarzyć, że np. Twój IP zostanie zbanowany na popularnych serwerach, bo ktoś komuś nabluzgał, rozsyłał spam itp. Raz, drugi może się wytłumaczysz i odblokują, ale jak nie dobierzesz się komuś do d... to będzie się to powtarzać. Poza tym z tego co wiem, są jakieś przepisy wymagające od providerów archiwizowania ruchu. Zarchiwizowanie 100% ruchu jest nierealne, ale w razie kontroli lepsze same pakiety syn niż nic. A jest duża szansa, że wystarczą bo pozwalają namierzyć delikwenta.


I nie zrozumiesz, dopóki nie zainstalujesz Napisałem, że logi NAJLEPIEJ oglądać pod etherealem, bo nie znam innego programu, który potrafiłby tak przejrzyście a przy tym szczegółowo je przedstawić. Z tego co mi wiadomo wiele sniferów potrafi interpretować pliki tcpdump'a. Poza tym nie widzę potrzeby, żeby "na bieżąco" te pliki oglądać. Powinny one trafić na jakiś trwały nośnik typu CD i do archiwum. A jak już "odpowiednie służby" będą potrzebowały do nich zajrzeć, to wtedy zainstalowanie ethereala może być najmniejszym z Twoich problemów

a czy takie "odpowiednie służby" mogą mi wywalić wszystko z domu bo ktoś z mojego IP coś zkręcił, nawet jak im powiem na wstępie że mam takie logi i nie muszą mi niepotrzebnie demolowac pokoju tylko dlatego że mają nakaz

_________________
Pentium III 500/512, 128Mb/PC133, 8,3Gb, DSL 1024/256,
11 userów

Update: 10.05.2006
Pentium III 700/256, 338Mb/PC133, 80 Gb, DSL 2Mbit/s / 256kbit/s,
16 userów

PS od 00:00 do 22:00 czyli prawie cała doba.

Logi sieci 15 kompów łącze DSL 1Mb ograniczenie po 200 połączeń na łepka, log zajmuje 33 MB po 00:00 podam więcej szczegółów

_________________
Pentium III 500/512, 128Mb/PC133, 8,3Gb, DSL 1024/256,
11 userów

Update: 10.05.2006
Pentium III 700/256, 338Mb/PC133, 80 Gb, DSL 2Mbit/s / 256kbit/s,
16 userów