Re: [ml] Audit di traffico tcp e udp

2008/12/4 Michele Orsenigo:
[...]
>> "lsof -i" sulla macchina?
>> Ciao ciao,
>>   Gippa
>
> purtroppo mi accorgo solo a posteriori (dal log di iptables) che è stata
> utilizzata una porta non usuale. Quindi mi è inutile lanciare lsof perchè la
> connessione a quel punto è già stata chiusa.
> Bisognerebbe farlo richiamare da una regola di iptables o forse da un evento
> nel momento della sua scrittura nel log .....
> Ci penso su, ma se qualcuno ha un'idea migliore è ben accetta.

Puoi provare a cambiare la policy di iptables, e anzichè fare DROP o
REJECT del pacchetto in questione, inoltrarlo con NAT all'interfaccia
di loopback. Se metti anche un --log alla regola di iptables, questo
potrebbe darti la possibilità di avere un semplice shell script che
controlla i log di iptables, e lancia lsof quando li vede
incrementare. Inoltrando il pacchetto all'interfaccia di loopback
anzichè "droppparlo" subito dovrebbe darti abbastanza tempo da
"beccare" il programma.

Spero sia utile.


Ciao
-- 
Marco Ermini
root@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"