Титла: iptables логване на string от трафика Публикувано от: freedj в Feb 28, 2012, 13:34 Здравейте, Колеги
Имам един въпрос и не знам по какъв начин да го задам, дано ме разберете така: Знаете, че iptables има възможност да блокира определени стрингове имам в предвид: Код: -m string --algo bm --hex-string "|....|" въпроса ми е по какъв начин мога да логна стринг от влизащия в машината трафик. Стринга не е точно определен, не го знам и за това ми е въпроса с какво се логва. Силно се надявам да сте ме разбрали защото го обясних доста странно Титла: Re: iptables логване на string от трафика Публикувано от: dejuren в Feb 28, 2012, 19:17 Ако "да логна стринг" означава да запиша в лога, че се е получило съвпадение тогава може така в края на правилото:
-j LOG --log-level Х --log-prefix "съвпадение на стринга" Титла: Re: iptables логване на string от трафика Публикувано от: freedj в Feb 28, 2012, 19:34 Нека се опитам да го обясня още веднъж. Знаете, че всеки пакет съдържа определен стринг в себе си, чел съм статии как да блокираме Twitter точно със такъв стринг, и по-точно: http://infolookup.securegossip.com/2011/04/07/iptables-l7-filtering-tip/ . Искам да логвам точно такъв стринг на определени приложения които работят на UDP и да ги блокирам според този стринг, пробвах с ngrep, както е дадено в статията, но не се получава. Реално стринга не го знам и искам да го логна със трафика
Титла: Re: iptables логване на string от трафика Публикувано от: ddantgwyn в Feb 28, 2012, 21:21 Нека се опитам да го обясня още веднъж. Знаете, че всеки пакет съдържа определен стринг в себе си, чел съм статии как да блокираме Twitter точно със такъв стринг, и по-точно: http://infolookup.securegossip.com/2011/04/07/iptables-l7-filtering-tip/ . Искам да логвам точно такъв стринг на определени приложения които работят на UDP и да ги блокирам според този стринг, пробвах с ngrep, както е дадено в статията, но не се получава. Реално стринга не го знам и искам да го логна със трафика е как ще „логнеш“ нещо, което не знаеш? в такъв случай не трябва ли да логваш всичко? Титла: Re: iptables логване на string от трафика Публикувано от: freedj в Feb 28, 2012, 21:29 Точно за това се допитвам до вас, защото когато направя лог на самия УДП трафик не излиза стринга на приложението. Това търся и аз дали има някакъв начин да се логне, дори и да не с iptables
Титла: Re: iptables логване на string от трафика Публикувано от: ddantgwyn в Feb 28, 2012, 21:52 Точно за това се допитвам до вас, защото когато направя лог на самия УДП трафик не излиза стринга на приложението. Това търся и аз дали има някакъв начин да се логне, дори и да не с iptables все пак кое е приложението, което искаш да блокираш? първо споменаваш twitter, после говориш общо за приложения, генериращи UDP трафик. бъди по-конкретен за да може да получиш евентуално конкретен отговор, а не такива уточняващи въпроси като моя и в крайна сметка да стигнем до извода „не знам“. Титла: Re: iptables логване на string от трафика Публикувано от: freedj в Feb 28, 2012, 22:04 Няма значение кое приложение е искам просто да знам дали има такава възможност, да ли по-някакъв начин може да се логне правилния стринг.
Титла: Re: iptables логване на string от трафика Публикувано от: ddantgwyn в Feb 28, 2012, 22:10 Няма значение кое приложение е искам просто да знам дали има такава възможност, да ли по-някакъв начин може да се логне правилния стринг. Ами като гледам статията, която си споменал -- да, може. Но трябва да знаеш точния стринг. Иначе няма как да стане. Титла: Re: iptables логване на string от трафика Публикувано от: freedj в Feb 29, 2012, 07:33 Въпроса ми е от къде да го взема този точен стринг или по-точно от къде да го видя?
Титла: Re: iptables логване на string от трафика Публикувано от: ray в Feb 29, 2012, 09:14 Здравей,
Не съм зареждал връзката която даваш, но съдейки по частта 'l7-filtering'вероятно става дума за пакета "l7-filter", това е модул на ядрото за филтриране на торенти (става и за други неща ако имаш съответните сигнатури), освен този пакет има и още един (виж на страницата на проекта) където се намира база данни със сигнатурите на различните приложения (май основно торент-клиенти). Там са и стринговете за които питаш. Успех, Румен Титла: Re: iptables логване на string от трафика Публикувано от: ddantgwyn в Feb 29, 2012, 09:18 Въпроса ми е от къде да го взема този точен стринг или по-точно от къде да го видя? Всъщност, въпросът ви беше „ ... по какъв начин мога да логна стринг от влизащия в машината трафик. Стринга не е точно определен, не го знам и за това ми е въпроса с какво се логва.“ Трябваше да започнете с последния си въпрос, на който гледам вече са ви отговорили. И мога ли да попитам за какво ви трябва да логвате влизащ трафик? Титла: Re: iptables логване на string от трафика Публикувано от: freedj в Feb 29, 2012, 14:28 Точно за това казах, че не знам как по-точно да си задам въпроса. Искам да логна определени стрингове на определени програми работещи на UDP, точно приложение не мога да ви дам в момента, но искам да знам просто как става, защото четох доста по въпроса и не разбрах точно с кое мога да го направя и най-вече как.
Лек и успешен остатък от деня Титла: Re: iptables логване на string от трафика Публикувано от: ray в Feb 29, 2012, 16:35 Здравейте,
Доколкото знам може да се логват всякакви стрингове (просто не съм го правил); В настройките на ядрото и iptables трябва да са зададени съответните опции. С повече късмет ползваната дистрибуция вече ще ги има, ако ли не - custom ядро. Ето две връзки с информация: http://www.symantec.com/connect/articles/iptables-linux-firewall-packet-string-matching-support http://www.linuxquestions.org/questions/linux-security-4/iptables-string-match-113326/ Има и много други. Успех, Румен Титла: Re: iptables логване на string от трафика Публикувано от: freedj в Feb 29, 2012, 18:50 Благодаря ви колеги, намерих това което исках, ставало най-просто със tcpdump със следния синтаксис:
Код: tcpdump -i eth0 -l -nn -s 0 -x port 12553 Изкарва ми точно нова което исках да видя и да си намеря решение на проблема. Поздрави :) |