|
忙しい時に限って、逃避行してみたくなるもんです。そして、なんかの弾みでメモとか書いたりしてしまいます。そうするとネタができるからサイト更新したくなったりしますが、コンテンツになるほど中身の濃いメモでもなかったりして。 ま、そんなカンジのメモでも、Tipsとして公開すれば何かの役に立つんですかね。 |
|
iplog を使った怪しいトラフィックの記録 iplog は -a オプションを与えることにより、インターフェースをプロミスキャスモードにして動作します。 これにより、DUMBハブで共有されているネットワークの範囲内で、他のコンピュータ上で発生しているトラフィックを記録することが可能となります。 例.iplog -a 192.168.0.0/24 -i eth1 もちろん、単純に -a オプションだけあたえると、非常に大量のトラフィックを記録してしまいますので、適当に /etc/iplog.conf ファイルを記述すると良いでしょう。 また、インターフェースに正しいIPアドレスを与えておかないと、うまくキャプチャしてくれないのでお気をつけ下さい 未確認ですが、pcapにフィルタパラメータ渡してるような気がします。snortと一緒に動かして大丈夫かな?そのうち確認します。 * この機能を利用して、いったい何を記録するのかは、各自で考えてください。ヽ(;´Д`)ノ ignore ルールの例 192.168.0.0/24 からのトラフィックを全て無視する場合 # ignore tcp from 192.168.0.0/24 ignore udp from 192.168.0.0/24 ignore icmp from 192.168.0.0/24 172.16.0.0/16 から 192.168.0.10 へのトラフィックのみを無視したい場合 # ignore tcp from 172.16.0.0/16 to 192.168.0.10 ignore udp from 172.16.0.0/16 to 192.168.0.10 ignore icmp from 172.16.0.0/16 to 192.168.0.10 192.168.0.0/24 以外からのトラフィックで、1023/tcp 以下の宛先ポートへのトラフィックを無視する # ignore tcp from !192.168.0.0/24 dport :1023 log ルールの例 192.168.0.10へのトラフィックのみを記録する # log tcp to 192.168.0.10 log udp to 192.168.0.10 log icmp to 192.168.0.10 172.16.0.120 から 192.168.0.10へのトラフィックのみを記録する # log tcp from 172.16.0.120 to 192.168.0.10 log udp from 172.16.0.120 to 192.168.0.10 log icmp from 172.16.0.120 to 192.168.0.10 192.168.0.10 の 1928/tcp ポートへの接続のみを記録する # log tcp to 192.168.0.10 dport 1928 とこういった感じで、こまかく制御してゆくと、意外と面白い記録が取れるようになります。 楽しんでみてください。この他にも楽しい使い方とかアイディアがありましたら、教えていただけると嬉しいです。 |