LOG inceleme hakkında yardım

CaBBR

Merhaba arkadaşlar 2-3 Aydır PFsense kullanıcısıyım. Bir konuda fikirlerinize ihtiyacım var LAN IP si örnegin 192.168.1.86 IP li arkadaşımızın 14.00 - 14.30 arasındaki msn ile konuştugu kişilerin IP sini logta görebilirmiyim. inceleme yaptım States bölümünde benimle msnde görüşen kişinin IP sini görüyorum. geçmiş saatteki LOG a nasıl bakabilirim varmı fikri olan?

Şimdiden teşekkürler arkadaşlar.

macikyol

Merhabalar,

MSN logları ile ilgili imspector paketi kurulmalıdır.

Başarılar.

efabilism

mrb mevcut yapıda syslogd son kayıtları gösterir geçmişe dönğk kayıt tutulmuyor ramdisk de tutuyor bu kaytıları siz eger fakrlı bir noktaya syslog sunucu kurup firewall settings kısmınada o makinanın ipsini yazarsan geriye dönük kayıtlarını görebilirsin

ozanus

Selam,
MSN Messenger oturum açmak için default olarak 1863. portu kullanıyor siz bu portu kullanan istemcilerin bağlantılarını kayıt altına alarak kimlerin msn kullandığını kısmen öğrenebilirsiniz.
Fakat, MSN'de hedef kişinin ip adresini pfSense'de göremezsiniz, o gördüğünüz IP adresleri Microsoft MSN sunucularına aittir.

Yerel ağda kimlerin msn kullandığını loglamak ve analiz etmek isterseniz pfSense üzerinde "tcpdump" ile bu işlemi şu şekilde gerçekleştirebilirsiniz ;

tcpdump -nn -i eth0 tcp dst port 1863

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:43:58.647717 IP 192.168.5.205.40171 > 65.54.49.72.1863: Flags [.], ack 565095885, win 344, options [nop,nop,TS val 1259848 ecr 14056734], length 0
11:43:58.650771 IP 192.168.5.205.40171 > 65.54.49.72.1863: Flags [P.], seq 0:159, ack 1, win 344, options [nop,nop,TS val 1259849 ecr 14056734], length 159
11:43:58.847180 IP 192.168.5.205.40171 > 65.54.49.72.1863: Flags [P.], seq 159:698, ack 8, win 344, options [nop,nop,TS val 1259898 ecr 14056737], length 539

Kayıtları dosyaya yazdırmak isterseniz ;
tcpdump -nn -i eth0 tcp dst port 1863 > msnkayitlari
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

Kaydedilen  trafiği analiz ederkende ;
Kaç bağlantı kurulmuş ?

cat msnkayitlari | wc -l

5

Tekrar eden kayıtları yazdırmayıp, tekil olan kayıtları elde etmek için ;
#cat msnkayitlari | sort | uniq
11:49:23.408284 IP 192.168.5.205.52406 > 65.54.49.99.1863: Flags [.], ack 2461275195, win 1002, options [nop,nop,TS val 1341039 ecr 13895494], length 0
11:49:23.787706 IP 192.168.5.203.59659 > 65.54.49.117.1863: Flags [F.], seq 1966593416, ack 4139306477, win 752, options [nop,nop,TS val 1341133 ecr 13980027], length 0
11:49:26.820177 IP 192.168.5.202.52406 > 65.54.49.99.1863: Flags [P.], seq 0:5, ack 1, win 1002, options [nop,nop,TS val 1341892 ecr 13895494], length 5

Bir kullanıcıya ait bağlantıları bulmak için ;
cat msnkayitlari | grep "192.168.5.205" | sort | uniq
11:49:23.408284 IP 192.168.5.205.52406 > 65.54.49.99.1863: Flags [.], ack 2461275195, win 1002, options [nop,nop,TS val 1341039 ecr 13895494], length 0
11:49:23.787706 IP 192.168.5.205.59659 > 65.54.49.117.1863: Flags [F.], seq 1966593416, ack 4139306477, win 752, options [nop,nop,TS val 1341133 ecr 13980027], length 0

MSN trafiğini daha detaylı analiz etmek için imspector yazılımını veya msnsniffer tarzı yazılımları kurup deneyebilirsiniz.
MSN 9 için derlediğim ve sağlıklı çalışan son sürümünü http://cehturkiye.com/imspector-9.0.tar.gz adresinden temin edebilirsiniz.

İyi Çalışmalar.

efabilism

mrb konsoldan "tcpdump tcp 1863" komutu ile anlık olarak görebilirsin