Re: [ml] Audit di traffico tcp e udp

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2008 ml@sikurezza.org
Soggetto: Re: [ml] Audit di traffico tcp e udp
Mittente: Panagiotis Atmatzidis
Data: Thu,  4 Dec 2008 07:53:00 +0100 (CET)


On 03 ÎÎÎ 2008, at 1:13 ÎÎ, Michele Orsenigo wrote:

Su una postazione desktop, con Debian sid e kernel custom 2.6.26, qualche programma, ogni tanto, mi apre connessioni tcp e/o udp non usuali, come rivelato dai log del firewall che presiede l'accesso internet.

Ora, tramite iptables, riesco tranquillamente a tracciare il traffico, compreso uid e gid con il quale gira il processo, ma dato che l'utente Ã sempre il medesimo (escluso root che perÃ fa girare solo i demoni di sistema), non riesco a risalire al programma.

C'Ã qualcosa, di non eccessivamente pesante per tracciare anche il pid ? O devo proprio lanciare ogni singolo programma con un'utenza tutta sua ?
Grazie
Michele Orsenigo
gira08@xxxxxxxx
----------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List


Ciao,

Puoi provare lsof oppure netstat. Per esempio, sul mio iMac "lsof -i":

Last login: Wed Dec 3 18:31:24 on console lsAngel:~ atma$ lsof -i COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME SystemUIS 177 atma 10u IPv4 0x6bda5f8 0t0 UDP *:* GrowlHelp 205 atma 4u IPv4 0x95f0270 0t0 TCP 192.168.0.100:49375->216.64.142.80:http (CLOSE_WAIT) Adium 251 atma 8u IPv4 0x78a066c 0t0 TCP 192.168.0.100:50149->duck.adiumx.com:http (CLOSE_WAIT) Adium 251 atma 11u IPv4 0x6bd9f38 0t0 UDP *:49163 Adium 251 atma 12u IPv4 0x7749e64 0t0 TCP 192.168.0.100:53446- >by2msg2104615.gateway.edge.messenger.live.com:msnp (ESTABLISHED) Adium 251 atma 19u IPv4 0xdf68270 0t0 TCP 192.168.0.100:53448->65.54.170.18:https (CLOSED) Skype 569 atma 6u IPv4 0x6bda448 0t0 UDP localhost:49332

Si vede chiaramente l'applicazione, la conessione ed il protocollo usato.


Panagiotis (atma) Atmatzidis

email: atma@xxxxxxxxxxxxxx URL: http://www.convalesco.org -- The wise man said: "Never argue with an idiot. They bring you down to their level and beat you with experience."

In risposta a:
- [ml] Audit di traffico tcp e udp, Michele Orsenigo

Data:
- precedente: Re: [ml] Audit di traffico tcp e udp, Salvatore \"drosophila\" Fresta
- successivo: Re: [ml] Audit di traffico tcp e udp, Dario Lombardo
- indice

Argomento:
- precedente: Re: [ml] Audit di traffico tcp e udp, Salvatore \"drosophila\" Fresta
- successivo: Re: [ml] Audit di traffico tcp e udp, Dario Lombardo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005