/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Søges: TCP- og ICMP-logger
Fra : Klaus Alexander Seis~


Dato : 02-05-08 15:03

Hej gruppe

Pakken jail, som indeholder icmplog og tcplog, er blevet fjernet fra
de seneste versioner af Debian og Ubuntu bl.a. med begrundelsen at der
er bedre alternativer [¹]:

> Amaya asked me to request the removal of jail, as she is too busy
> and because there are better alternatives in the archive (dsniff,
> ethereal, ...)

Så vidt jeg kan se, laver dsniff noget helt andet, og ethereal er vist
heller ikke lige det jeg søger.

Programmet tcplog logger til syslog i formatet

   tcplog: smtp request from example.com

og icmplog har et tilsvarende format til ICMP-pakker.

Er der nogen her der kender et program der kan logge IP-adresse og
hostnavn på indkommende ICMP- og TCP-pakker til syslog? Hverken mere
eller mindre. Hvis programmet kan klare både IPv4 og IPv6 er det et
stort plus.

På forhånd tak.

Mvh
Klaus

PS: Jeg har allerede lavet en jail-pakke til min nuværende Ubuntu,
men det kunne være rart at høre om nogen kendte de der "bedre
alternativer".

[¹] http://bugs.debian.org/448725
--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

 
 
Christian E. Lysel (02-05-2008)
Kommentar
Fra : Christian E. Lysel


Dato : 02-05-08 15:20


On Fri, 2008-05-02 at 14:03 +0000, Klaus Alexander Seistrup wrote:
> SÃ¥ vidt jeg kan se, laver dsniff noget helt andet, og ethereal er vist
> heller ikke lige det jeg søger.

ethereal er en sniffer ... den har også en tekst consol baseret version.

> Er der nogen her der kender et program der kan logge IP-adresse og
> hostnavn på indkommende ICMP- og TCP-pakker til syslog? Hverken mere
> eller mindre. Hvis programmet kan klare både IPv4 og IPv6 er det et
> stort plus.

logger tager stdin og sender til syslog.

tcpdumps resultat skal således pipes til logger der sender det til
syslog:

sudo tcpdump -nti eth0 -q "icmp or (tcp[tcpflags] & tcp-syn != 0 and
tcp[tcpflags] & tcp-ack == 0)" | logger

Jeg gætter dog på du får mere information end du ønsker,
cut/awk/perl/... kan evt. bruges til at fjerne overflødigt information..


Adam Sjøgren (02-05-2008)
Kommentar
Fra : Adam Sjøgren


Dato : 02-05-08 15:27

On Fri, 02 May 2008 16:20:03 +0200, Christian wrote:

> logger tager stdin og sender til syslog.

> tcpdumps resultat skal således pipes til logger der sender det til
> syslog:

> sudo tcpdump -nti eth0 -q "icmp or (tcp[tcpflags] & tcp-syn != 0 and
> tcp[tcpflags] & tcp-ack == 0)" | logger

> Jeg gætter dog på du får mere information end du ønsker,
> cut/awk/perl/... kan evt. bruges til at fjerne overflødigt information.

Dit svar på spørgsmålet Hvilke er de eksisterende og bedre alternativer
til jail-pakken er altså: Reimplementér jail-pakkens funktionalitet?

Øh.


Mvh.

Adam

--
"I'm a driver, I'm a winner, things are gonna change, Adam Sjøgren
I can feel it." asjo@koldfront.dk

Klaus Alexander Seis~ (02-05-2008)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 02-05-08 15:35

Christian E. Lysel skrev:

> logger tager stdin og sender til syslog.
>
> tcpdumps resultat skal således pipes til logger der sender det
> til syslog:
>
> sudo tcpdump -nti eth0 -q "icmp or (tcp[tcpflags] & tcp-syn != 0
> and tcp[tcpflags] & tcp-ack == 0)" | logger

Tak for forslaget, men så kan jeg lissågodt køre med en hjemmestrikket
udgave af jail.

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

Christian E. Lysel (02-05-2008)
Kommentar
Fra : Christian E. Lysel


Dato : 02-05-08 21:57


On Fri, 2008-05-02 at 16:26 +0200, Adam Sjøgren wrote:
> Dit svar på spørgsmålet Hvilke er de eksisterende og bedre alternativer
> til jail-pakken er altså: Reimplementér jail-pakkens funktionalitet?

Jeg antog en jail-pakke er en chroot-jail pakke.

Var det en forkert antagelse?


Adam Sjøgren (02-05-2008)
Kommentar
Fra : Adam Sjøgren


Dato : 02-05-08 22:06

On Fri, 02 May 2008 22:56:47 +0200, Christian wrote:

> On Fri, 2008-05-02 at 16:26 +0200, Adam Sjøgren wrote:

>> Dit svar på spørgsmålet Hvilke er de eksisterende og bedre alternativer
>> til jail-pakken er altså: Reimplementér jail-pakkens funktionalitet?

> Jeg antog en jail-pakke er en chroot-jail pakke.

> Var det en forkert antagelse?

Ja - se subject.

Eller læs mere her:

<http://packages.debian.org/etch/jail>


Mvh.

Adam

--
"I'm a driver, I'm a winner, things are gonna change, Adam Sjøgren
I can feel it." asjo@koldfront.dk

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste