LOG inceleme hakkında yardım



  • Merhaba arkadaşlar 2-3 Aydır PFsense kullanıcısıyım. Bir konuda fikirlerinize ihtiyacım var LAN IP si örnegin 192.168.1.86 IP li arkadaşımızın 14.00 - 14.30 arasındaki msn ile konuştugu kişilerin IP sini logta görebilirmiyim. inceleme yaptım States bölümünde benimle msnde görüşen kişinin IP sini görüyorum. geçmiş saatteki LOG a nasıl bakabilirim varmı fikri olan?

    Şimdiden teşekkürler arkadaşlar.



  • Merhabalar,

    MSN logları ile ilgili imspector paketi kurulmalıdır.

    Başarılar.



  • mrb mevcut yapıda syslogd son kayıtları gösterir geçmişe dönğk kayıt tutulmuyor ramdisk de tutuyor bu kaytıları siz eger fakrlı bir noktaya syslog sunucu kurup firewall settings kısmınada o makinanın ipsini yazarsan geriye dönük kayıtlarını görebilirsin



  • Selam,
    MSN Messenger oturum açmak için default olarak 1863. portu kullanıyor siz bu portu kullanan istemcilerin bağlantılarını kayıt altına alarak kimlerin msn kullandığını kısmen öğrenebilirsiniz.
    Fakat, MSN'de hedef kişinin ip adresini pfSense'de göremezsiniz, o gördüğünüz IP adresleri Microsoft MSN sunucularına aittir.

    Yerel ağda kimlerin msn kullandığını loglamak ve analiz etmek isterseniz pfSense üzerinde "tcpdump" ile bu işlemi şu şekilde gerçekleştirebilirsiniz ;

    tcpdump -nn -i eth0 tcp dst port 1863

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
    11:43:58.647717 IP 192.168.5.205.40171 > 65.54.49.72.1863: Flags [.], ack 565095885, win 344, options [nop,nop,TS val 1259848 ecr 14056734], length 0
    11:43:58.650771 IP 192.168.5.205.40171 > 65.54.49.72.1863: Flags [P.], seq 0:159, ack 1, win 344, options [nop,nop,TS val 1259849 ecr 14056734], length 159
    11:43:58.847180 IP 192.168.5.205.40171 > 65.54.49.72.1863: Flags [P.], seq 159:698, ack 8, win 344, options [nop,nop,TS val 1259898 ecr 14056737], length 539

    Kayıtları dosyaya yazdırmak isterseniz ;
    tcpdump -nn -i eth0 tcp dst port 1863 > msnkayitlari
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

    Kaydedilen  trafiği analiz ederkende ;
    Kaç bağlantı kurulmuş ?

    cat msnkayitlari | wc -l

    5

    Tekrar eden kayıtları yazdırmayıp, tekil olan kayıtları elde etmek için ;
    #cat msnkayitlari | sort | uniq
    11:49:23.408284 IP 192.168.5.205.52406 > 65.54.49.99.1863: Flags [.], ack 2461275195, win 1002, options [nop,nop,TS val 1341039 ecr 13895494], length 0
    11:49:23.787706 IP 192.168.5.203.59659 > 65.54.49.117.1863: Flags [F.], seq 1966593416, ack 4139306477, win 752, options [nop,nop,TS val 1341133 ecr 13980027], length 0
    11:49:26.820177 IP 192.168.5.202.52406 > 65.54.49.99.1863: Flags [P.], seq 0:5, ack 1, win 1002, options [nop,nop,TS val 1341892 ecr 13895494], length 5

    Bir kullanıcıya ait bağlantıları bulmak için ;
    cat msnkayitlari | grep "192.168.5.205" | sort | uniq
    11:49:23.408284 IP 192.168.5.205.52406 > 65.54.49.99.1863: Flags [.], ack 2461275195, win 1002, options [nop,nop,TS val 1341039 ecr 13895494], length 0
    11:49:23.787706 IP 192.168.5.205.59659 > 65.54.49.117.1863: Flags [F.], seq 1966593416, ack 4139306477, win 752, options [nop,nop,TS val 1341133 ecr 13980027], length 0

    MSN trafiğini daha detaylı analiz etmek için imspector yazılımını veya msnsniffer tarzı yazılımları kurup deneyebilirsiniz.
    MSN 9 için derlediğim ve sağlıklı çalışan son sürümünü http://cehturkiye.com/imspector-9.0.tar.gz adresinden temin edebilirsiniz.

    İyi Çalışmalar.



  • mrb konsoldan "tcpdump tcp 1863" komutu ile anlık olarak görebilirsin


Locked