|
 |
推荐文章 |
|
|
|
|
|
|
|
|
|
|
|
◎名稱
iplog - TCP/IP traffic logger.
◎描述
iplog 是一種TCP/IP的往來記錄工具。正確的說他能夠紀錄TCP
、UDP及ICMP的往來記錄。iplog 能夠偵測TCP port scan ,
TCP null scans, FIN scans, UDP and ICMP "smurf" attacks,
偽造的TCP flags (通常被使用來偵測作業系統),TCP SYN scans,
TCP "Xmas" scans, ICMP ping floods, UDP scans, 及
IP fragment attacks.
iplog也可以以雜亂的模式執行,且監控所有網路上的host。
◎語法
iplog [options]
[ -DFILNPRSTUVbcdefhkmnopqstvwxyz ]
[ -a <network,network2,...> ]
[ -g <group> ]
[ -i <interface1,...,interfaceN> ]
[ -l <logfile> ]
[ --pid-file=<file> ]
[ -u <user> ]
[ --tcp[=argument] ]
[ --udp[=argument] ]
[ --icmp[=argument] ]
[ --facility=syslog facility ]
[ --priority=syslog priority ]
◎標記用法
由 < > 圈住的為必要的被需要的樣式
參數型的樣式,會以[ ]表示: 如 [參數]
| 用來表示或者(or),舉例來說: [true|false]
表示您必須在true或false中,二者擇其一。
◎參數
預設值以綠色表示
--tcp=true | flase 是否記錄TCP往來記錄與否。
--udp=true | flase 是否記錄UDP往來記錄與否。
--icmp=true | flase 是否記錄ICMP往來記錄。
--facility=syslog facility 定義openlog的層級。
--priority=syslog priority 定義syslog的優先值。
-D, --log-dest=true|false 是否記錄IP封包的目的地。
-F, --detect-udp-scan=true | false 是否偵測並且記錄UDP的掃瞄記錄。
--log-udp-scan 同 --detect-udp-scan 。
-I, --icmp-resolve=true | false 是否將ICMP記錄進行名稱解析。
-L, --stdout 將記錄顯示在stdout(標準輸出)。
-N, --disable-resolver 在任何記錄中,都不進行名稱解析的動作。
-P, --detect-ping-flood=true | false 是否記錄ping (ICMP echo) flood 攻擊。
--log-ping-flood 同 --detect-ping-flood 。
-R, --restart 若iplog有執行的話,重新啟動iplog。
-S, --detect-smurf=true | false 是否偵測"smurf"攻擊。
--log-smurf 同 --detect-smurf 。
-T, --tcp-resolve=true | false 是否針對TCP記錄進行名稱解析。
-U, --udp-resolve=true | false 是否針對UDP記錄進行名稱解析。
-V, --verbose=true | false 是否以冗長的(verbose)模式進行記錄。
-b, --detect-bogus=true | false 是否偵測bogus TCP flags,
某些程式會利用此flag來判別作業系統。
--log-bogus 同 --detect-bogus 。
-c, --dns-cache=true | false 是否使用DNS cache功能,可以加速名稱解析。
-d, --ignore 忽略來自/etc/resolv.conf的DNS往來紀錄。
-f, --detect-fin-scan=true|false 是否偵察TCP FIN 掃瞄。
--log-fin-scan 同 --detect-fin-scan。
-q, --detect-syn-scan=true | false 是否偵測TCP SYN 掃瞄。
--log-syn-scan 同 --detect-syn-scan。
-g , --group= 以特定的group或是GID執行iplog。
-h, --help 顯示參數的概要並且離開。
-i , --interface=<interface(s)> 只針對某特定介面進行監聽,
若不只一個可以用","分隔
-k, --kill 若iplog仍在執行的話,停止iplog紀錄。
-l <logfile>, --logfile=<logfile> 指定iplog的紀錄檔位置。
--pid-file=<file> 指定某檔案為其pid file。
-m, --scans-only=true 只記錄scans及floods,其他的則不予以記錄。
-n, --detect-null-scan=true | false 是否偵測null scans
(乃一種由nmap或其他程式所使用的強烈的scan)
--log-null-scan 同 --detect-null-scan。
-o, --no-fork 前景執行iplog
-p, --detect-portscan=true | false 是否偵測port scans
(包含連接式的掃瞄及半開放式的掃瞄)。
--log-portscan 同 --detect-portscan。
-s, --detect-syn-flood=true | false 是否在SYN flood停止前進行名稱解析。
-t, --detect-traceroute=true | false 是否偵測traceroute紀錄。
--log-traceroute 同 --detect-traceroute。
-u <user|UID>, --user=<user|UID> 以某個身份或是使用者ID執行iplog。
-v, --version 顯示版本資訊。
-x, --detect-xmas-scan=true | false 是否偵測Xmas scans
(乃一種由nmap或其他程式所使用的強烈的scan)。
--log-xmas-scan 同 --detect-xmas-scan。
-y, --detect-frag=true | false 是否偵測fragment攻擊。
--log-frag 同 --detect-frag。
-z, --fool-nmap=true | false 是否嘗試去欺騙某些刺探程式(nmap或queso)。
警告:
這個參數是十分危險的可能造成network traffic storms。
◎安裝
1.採用port安裝 別忘了更新ports tree
2.過程如下圖:
◎啟動
由 /usr/local/etc/rc.d/iplog.sh 啟動。
預設值為加上 -d -z 參數啟動。
◎檔案
/usr/local/etc/iplog.conf iplog的設定檔
◎作者
Ryan McCabe <odin@numb.org>
◎版本取得
主要的版本可以在此站台取得http://ojnk.sourceforge.net/
鏡射站台:
ftp://ojnk.sourceforge.net/pub/ojnk/iplog
http://www.numb.org/~odin
◎參考資料
iplog(8)
◎最後更新時間: by 藍色泡泡 謹上 回首頁
|
|
|
|
|
|
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
|
|
|
|
|
责任编辑: 原点 |
投稿作者: 本站收集 |
|
|
信息来源: 网络 |
录入时间: 2005-3-13 |
|
|
|
| |
|
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]