iplog 2.2.1 by Ryan McCabe [odin@numb.org]
iplog はTCP/IPのトラフィックロガーです。現時点では、TCP、UDP、ICMPのトラフィックを記録する機能を持ちます。他のプロトコルのサポートを追加することは比較的簡単でしょう。
iplog2.xはbeheによってiplog1.xから完全に書きなおされました。iplog1.x自身がサポートしていた、DNScache機能、ポートスキャン・NULLスキャン・FINスキャン、smurfアタック、またオペレーティングシステムを認識するために使われる偽のTCPフラグの検知機能を備えています。さらにiplog2.xではXmasスキャン、ICMP pingフルード、UDPスキャン、IPフラグメント攻撃の検知機能も備えます。
iplog2.2では設定ファイルを利用する機能を加えました。iplog.conf(5)マニュアルページと設定ファイルの詳しい使い方を記述した"example-iplog.conf"をご覧ください。
すべてのコマンドラインオプションを参照するためには'iplog --help'とタイプしてください。iplog(3)マニュアルページでは、これらすべてのオプションのそれぞれの詳細について説明しています。
iplog2.xはネットワークからデータを読み込むために、Linux上のみで動作したiplog1.xよりもポータブルにするために、libpcapを使用します。
iplogは現時点で以下の環境で動作します。
・FreeBSD(3.xと4.0で確認済み)
・OpenBSD(Version2.6以上でのみ正しく動作します)
・BSDI(4.0と4.01で確認済み)
・Solaris(SparcSolaris7とSparcSolaris2.5.1で確認済み)
iplogはlibpcapが機能し、pthreadsをサポートするいづれのシステム上へ移植することが可能です。
iplog2.1はプロミスカスモードで動作することが可能で、ネットワーク上のすべてのホストのトラフィックをモニターすることが可能です。この機能は、開発途上でありテストを必要とします。
GETTING IPLOG
iplogの主要な配布サイトはhttp://ojnk.sourceforge.netです。
Mirrors:
ミラーサイト
USA: ftp://ojnk.sourceforge.net/pub/ojnk/iplog
USA: http://www.numb.org/~odin
OTHER
iplogはBSD makeでは構築できないので注意してください。GNU makeを使用しなければなりません。これは何処のGNUミラーサイトからでも手に入ります。あなたがGNU makeを使っていないのであれば、BSD上でiplogが構築できないことに関してのメールを私に送らないでください。
libpcapは http://www.tcpdump.org から入手可能です。
もしあなたがlibpcapを自分自身でコンパイルしたのなら、"mkdir /usr/local/include/net ; make install-incl"と入力することを覚えておいてください。"make install"だけではpcapのヘッダーファイルがインストールされません。
Linux libc5用のlinuxthreadsライブラリは以下で見つかります。
ftp://ftp.inria.fr/INRIA/Projects/cristal/Xavier.Leroy/linuxthreads.tar.gz
GNU makeは ftp.gnu.org:/pub/gnu/make で見つかります。
いかなる寄付(テスト、コメント、バグレポート、移植、機能追加等)も大いに歓迎します。
/------------------------------------------------------------------------------
- iplog
- Section: Maintenance Commands (8)
- Updated: 29 June 2000
- Index
- NAME
- iplog - TCP/IP traffic logger.
- SYNOPSIS
- iplog [options]
- [-DFILNPRSTUVbcdefhkmnopstvwxyz]
- [-a [network,network2,...]]
- [-g [group]]
- [-i [interface1,...,interfaceN]]
- [-l [logfile]]
- [-u [user]]
- [--tcp[=argument]]
- [--udp[=argument]]
- [--icmp[=argument]]
- [--facility=syslog facility]
- [--priority=syslog priority]
- DESCRIPTION
- iplogはTCP/IPトラフィックロガーです。現時点でTCP、UDP、ICMPのトラフィックをロギングするのに有用です。iplog2.xはiplog1.xを完全に書き換え、結果としてすばらしい移植性とよりよいパフォーマンスを得ました。
- iplog2.xはiplog1.xの機能をすべて備えます。主要な特徴としては、パケットフィルターと以前より多くのスキャンと攻撃の検知機能があります。また現在ではLinux、FreeBSD、OpenBSD、BSDI、Solaris上で動作します。
- すべての寄付と同様に、他のシステムへの移植も歓迎します。
- NOTATION
- このドキュメント内では、必要なパラメータは <こんなカンジ> にカッコによって括られたパラメータとしてあらわされます。
- オプションのパラメータは [こんなカンジ] にカッコによって括られて示されます。
- '|'はorをあらわします。たとえば example [true|false] は'true'または'false'のどちらかを意味します。決して両方ではありません。
- OPTIONS
- --tcp=true
- (デフォルト) TCPトラフィックを記録する。
- --tcp=false
- TCPトラフィックを記録しない。
- --udp=true
- (デフォルト) UDPトラフィックを記録する。
- --udp=false
- UDPトラフィックを記録しない。
- --icmp=true
- (デフォルト) ICMPトラフィックを記録する。
- --icmp=false
- ICMPトラフィックを記録しない。
- --facility=syslog
- facility openlog(3)に対するfacilityを指定する。
- --priority=syslog
- priority syslog(3)に対するpriorityを指定する。
- -D, --log-dest=true
- あて先アドレスをログファイルに記録する。
- --log-dest=false (デフォルト)
- あて先アドレスをログファイルに記録しない。
- -F, --detect-udp-scan=true (デフォルト)
- UDPスキャンの検知と記録をおこなう。
- --detect-udp-scan=false
- UDPスキャンの検知も記録もおこなわない。
- --log-udp-scan
- --detect-udp-scanとおなじ。
- -I, --icmp-resolve=true (デフォルト)
- icmpトラフィックに対するホストネームの逆引きをおこなう。
- -L, --stdout
- stdoutにログを出力する。
- --icmp-resolve=false
- icmpトラフィックに対するホストネームの逆引きを行わない。
- -N, --disable-resolver
- すべてのトラフィックに対するホストネームの逆引きを行わない。
- -P, --detect-ping-flood=true (デフォルト)
- ping flood(ICMP echo flood)を検知する。
- --detect-ping-flood=false
- ping flood 攻撃を検知しない。
- --log-ping-flood
- --detect-ping-flood とおなじ。
- -R, --restart
- iplogが動作中の場合、iplogを再起動する。
- -S, --detect-smurf=true (デフォルト)
- smurf攻撃を検知する。
- --detect-smurf=false
- smurf攻撃を検知しない。
- --log-smurf
- --detect-smurf とおなじ。
- -T, --tcp-resolve=true (デフォルト)
- TCPトラフィックに対するホストネームの逆引きを行う。
- --tcp-resolve=false
- TCPトラフィックに対するホストネームの逆引きを行わない。
- -U, --udp-resolve=true (デフォルト)
- UDPトラフィックに対するホストネームの逆引きを行う。
- --udp-resolve=false
- UDPトラフィックに対するホストネームの逆引きを行わない。
- -V, --verbose=true
- 詳細な記録を行う。Bad Checksum や Short Header Lengthなどを記録する。
- --verbose=false (デフォルト)
- 詳細な記録を行わない。
- -a , --promisc=
- すべてのインターフェースをプロミスカスモードにして、指定されたネットワークのすべてのホストのトラフィックを記録する。
- -b, --detect-bogus=true (デフォルト)
- 偽のTCPフラグを検出する。nmapやquesoなどのプログラムは、OS検出を試みる場合にこれらのフラグをセットする。
- --detect-bogus=false
- 偽のTCPフラグを検出しない。
- --log-bogus
- --detect-bogus とおなじ。
- -c, --dns-cache=true (デフォルト)
- ビルトインのDNSキャッシュ機能を使用する。(ホストルックアップが速くなる)
- --dns-cache=false
- ビルトインのDNSキャッシュ機能を使用しない。
- -d, --ignore
- /etc/resolv.confに記述されたホストのDNSトラフィックを無視する。
- -e, --get-ident=true
- リスニングされているポートに接続してきたホストを、identを使用して問い合わせる。Linux上でのみ有効。
- --get-ident=false (デフォルト)
- identの問い合わせを行わない。
- -f, --detect-fin-scan=true (デフォルト)
- FINスキャンを検知する。(nmapやその他のスキャナが使用するステルススキャン)
- --detect-fin-scan=false
- FINスキャンを検知しない。
- --log-fin-scan
- --detect-fin-scan とおなじ。
- -g , --group=
- 指定したgroupかGIDで実行する。
- -h, --help
- 有効なオプションを表示して終了する。
- -i , --interface=
- 指定されたインターフェースのみをリスンする。このオプションはコンマで区切られたインターフェースを認識する。デフォルトでiplogはloopbackを除くup状態のインターフェースをリスンする。
- -k, --kill
- iplogが起動状態の場合、iplogを終了する。
- -l , --logfile=
- syslog(3)のかわりに、指定したファイルにログを記録する。
- -m, --scans-only=true
- スキャンとfloodsのみ記録する。他のトラフィックは記録しない。
- -n, --detect-null-scan=true (デフォルト)
- nullスキャンを検知する。(nmapやその他のスキャナが使用するステルススキャン)
- --detect-null-scan=false
- nullスキャンを検知しない。
- --log-null-scan
- --detect-null-scan とおなじ。
- -o, --no-fork
- フォアグラウンドで動作させる。
- -p, --detect-portscan=true (default)
- connectスキャンとSYN(HarfOpen)スキャンを検知する。
- --detect-portscan=false
- ポートスキャンを検知しない。
- --log-portscan
- --detect-portscan とおなじ。
- -s, --detect-syn-flood=true (デフォルト)
- SYN floodが検知時に、攻撃が終了するまでホストネームの逆引きを行わない。
- --detect-syn-flood=false
- SYN floodの検知時でも、ホストネームの逆引きを行う。
- -t, --detect-traceroute=true (デフォルト)
- tracerouteの検知と記録を行う。
- --detect-traceroute=false
- tracerouteを検知しない。
- --log-traceroute
- --detect-traceroute とおなじ。
- -u , --user=
- 指定されたuserかUIDで動作する。
- -v, --version
- ヴァージョン情報を表示して終了する。
- -w, --log-ip
- IPアドレスとホストネームを記録する。
- -x, --detect-xmas-scan=true (デフォルト)
- Xmasスキャンを検知する。(nmapやその他のスキャナが使用するステルススキャン)
- --detect-xmas-scan=false
- Xmasスキャンを検知しない。
- --log-xmas-scan
- --detect-xmas-scan とおなじ。
- -y, --detect-frag=true
- フラグメント攻撃を検知する。
- --detect-frag=false
- フラグメント攻撃を検知しない。
- --log-frag
- --detect-frag とおなじ。
- -z, --fool-nmap=true
- nmapやquesoなどのリモートからOS判定を行うプログラムをだまそうと試みる。副次効果として殆どのnmapステルススキャンを失敗させる。
- 注意
このオプションはネットワークにパケットストームを発生させる可能性があり危険である。
- --fool-nmap=false (デフォルト)
- nmap OS判定を欺こうと試みない。
- FILES
- /etc/iplog.conf
- iplogの設定ファイル。
- BUGS
- バグは odin@numb.org へレポートしてください。
- AUTHOR
- Ryan McCabe
- AVAILABILITY
- iplogの主な配布サイトは http://ojnk.sourceforge.net です。
- MIRROR LIST
- ftp://ojnk.sourceforge.net/pub/ojnk/iplog
- http://www.numb.org/~odin
- SEE ALSO
- iplog.conf(5) tcpdump(1) syslog(3) openlog(3) pcap(3) nmap(8)
- Index
- NAME
- SYNOPSIS
- DESCRIPTION
- NOTATION
- OPTIONS
- FILES
- BUGS
- AUTHOR
- AVAILABILITY
- MIRROR LIST
- SEE ALSO