◎名稱 iplog - TCP/IP traffic logger. ◎描述 iplog 是一種TCP/IP的往來記錄工具。正確的說他能夠紀錄TCP 、UDP及ICMP的往來記錄。iplog 能夠偵測TCP port scan , TCP null scans, FIN scans, UDP and ICMP "smurf" attacks, 偽造的TCP flags (通常被使用來偵測作業系統),TCP SYN scans, TCP "Xmas" scans, ICMP ping floods, UDP scans, 及 IP fragment attacks. iplog也可以以雜亂的模式執行,且監控所有網路上的host。 ◎語法 iplog [options] [ -DFILNPRSTUVbcdefhkmnopqstvwxyz ] [ -a <network,network2,...> ] [ -g <group> ] [ -i <interface1,...,interfaceN> ] [ -l <logfile> ] [ --pid-file=<file> ] [ -u <user> ] [ --tcp[=argument] ] [ --udp[=argument] ] [ --icmp[=argument] ] [ --facility=syslog facility ] [ --priority=syslog priority ] ◎標記用法 由 < > 圈住的為必要的被需要的樣式 參數型的樣式,會以[ ]表示: 如 [參數] | 用來表示或者(or),舉例來說: [true|false] 表示您必須在true或false中,二者擇其一。 ◎參數 預設值以綠色表示 --tcp=true | flase 是否記錄TCP往來記錄與否。 --udp=true | flase 是否記錄UDP往來記錄與否。 --icmp=true | flase 是否記錄ICMP往來記錄。 --facility=syslog facility 定義openlog的層級。 --priority=syslog priority 定義syslog的優先值。 -D, --log-dest=true|false 是否記錄IP封包的目的地。 -F, --detect-udp-scan=true | false 是否偵測並且記錄UDP的掃瞄記錄。 --log-udp-scan 同 --detect-udp-scan 。 -I, --icmp-resolve=true | false 是否將ICMP記錄進行名稱解析。 -L, --stdout 將記錄顯示在stdout(標準輸出)。 -N, --disable-resolver 在任何記錄中,都不進行名稱解析的動作。 -P, --detect-ping-flood=true | false 是否記錄ping (ICMP echo) flood 攻擊。 --log-ping-flood 同 --detect-ping-flood 。 -R, --restart 若iplog有執行的話,重新啟動iplog。 -S, --detect-smurf=true | false 是否偵測"smurf"攻擊。 --log-smurf 同 --detect-smurf 。 -T, --tcp-resolve=true | false 是否針對TCP記錄進行名稱解析。 -U, --udp-resolve=true | false 是否針對UDP記錄進行名稱解析。 -V, --verbose=true | false 是否以冗長的(verbose)模式進行記錄。 -b, --detect-bogus=true | false 是否偵測bogus TCP flags, 某些程式會利用此flag來判別作業系統。 --log-bogus 同 --detect-bogus 。 -c, --dns-cache=true | false 是否使用DNS cache功能,可以加速名稱解析。 -d, --ignore 忽略來自/etc/resolv.conf的DNS往來紀錄。 -f, --detect-fin-scan=true|false 是否偵察TCP FIN 掃瞄。 --log-fin-scan 同 --detect-fin-scan。 -q, --detect-syn-scan=true | false 是否偵測TCP SYN 掃瞄。 --log-syn-scan 同 --detect-syn-scan。 -g, --group= 以特定的group或是GID執行iplog。 -h, --help 顯示參數的概要並且離開。 -i , --interface=<interface(s)> 只針對某特定介面進行監聽, 若不只一個可以用","分隔 -k, --kill 若iplog仍在執行的話,停止iplog紀錄。 -l <logfile>, --logfile=<logfile> 指定iplog的紀錄檔位置。 --pid-file=<file> 指定某檔案為其pid file。 -m, --scans-only=true 只記錄scans及floods,其他的則不予以記錄。 -n, --detect-null-scan=true | false 是否偵測null scans (乃一種由nmap或其他程式所使用的強烈的scan) --log-null-scan 同 --detect-null-scan。 -o, --no-fork 前景執行iplog -p, --detect-portscan=true | false 是否偵測port scans (包含連接式的掃瞄及半開放式的掃瞄)。 --log-portscan 同 --detect-portscan。 -s, --detect-syn-flood=true | false 是否在SYN flood停止前進行名稱解析。 -t, --detect-traceroute=true | false 是否偵測traceroute紀錄。 --log-traceroute 同 --detect-traceroute。 -u <user|UID>, --user=<user|UID> 以某個身份或是使用者ID執行iplog。 -v, --version 顯示版本資訊。 -x, --detect-xmas-scan=true | false 是否偵測Xmas scans (乃一種由nmap或其他程式所使用的強烈的scan)。 --log-xmas-scan 同 --detect-xmas-scan。 -y, --detect-frag=true | false 是否偵測fragment攻擊。 --log-frag 同 --detect-frag。 -z, --fool-nmap=true | false 是否嘗試去欺騙某些刺探程式(nmap或queso)。 警告: 這個參數是十分危險的可能造成network traffic storms。 ◎安裝 1.採用port安裝 別忘了更新ports tree 2.過程如下圖: ◎啟動 由 /usr/local/etc/rc.d/iplog.sh 啟動。 預設值為加上 -d -z 參數啟動。 ◎檔案 /usr/local/etc/iplog.conf iplog的設定檔 ◎作者 Ryan McCabe <odin@numb.org> ◎版本取得 主要的版本可以在此站台取得http://ojnk.sourceforge.net/ 鏡射站台: ftp://ojnk.sourceforge.net/pub/ojnk/iplog http://www.numb.org/~odin ◎參考資料 iplog(8) ◎最後更新時間: by 藍色泡泡 謹上 回首頁
标签: