◎名稱iplog - TCP/IP traffic logger.◎描述iplog 是一種TCP/IP的往來記錄工具 。正確的說他能夠紀錄TCP、UDP及ICMP的往來記錄 。iplog 能夠偵測TCP port scan ,TCP null scans, FIN scans, UDP and ICMP "smurf" attacks,偽造的TCP flags (通常被使用來偵測作業系統),TCPSYNscans,TCP"Xmas"scans, ICMP ping floods, UDP scans, 及IP fragment attacks.iplog也可以以雜亂的模式執行,且監控所有網路上的host 。◎語法iplog [options][ -DFILNPRSTUVbcdefhkmnopqstvwxyz ][ -a ][ -g ][ -i ][ -l ][ --pid-file= ][ -u ][ --tcp[=argument] ][ --udp[=argument] ][ --icmp[=argument] ][ --facility=syslog facility ][ --priority=syslog priority ]◎標記用法 由 < > 圈住的為必要的被需要的樣式參數型的樣式,會以[ ]表示: 如 [參數]| 用來表示或者(or),舉例來說: [true|false]表示您必須在true或false中,二者擇其一 。◎參數預設值以綠色表示--tcp=true | flase是否記錄TCP往來記錄與否 。--udp=true | flase是否記錄UDP往來記錄與否 。--icmp=true | flase是否記錄ICMP往來記錄 。--facility=syslog facility定義openlog的層級 。--priority=syslog priority定義syslog的優先值 。-D, --log-dest=true|false是否記錄IP封包的目的地 。-F, --detect-udp-scan=true | false是否偵測並且記錄UDP的掃瞄記錄 。--log-udp-scan同 --detect-udp-scan。-I, --icmp-resolve=true | false是否將ICMP記錄進行名稱解析 。-L, --stdout將記錄顯示在stdout(標準輸出) 。-N, --disable-resolver在任何記錄中,都不進行名稱解析的動作 。-P, --detect-ping-flood=true | false是否記錄ping (ICMP echo) flood 攻擊 。--log-ping-flood 同 --detect-ping-flood。-R, --restart若iplog有執行的話,重新啟動iplog 。-S, --detect-smurf=true | false 是否偵測"smurf"攻擊 。--log-smurf同 --detect-smurf。-T, --tcp-resolve=true | false是否針對TCP記錄進行名稱解析 。-U, --udp-resolve=true | false是否針對UDP記錄進行名稱解析 。-V, --verbose=true | false是否以冗長的(verbose)模式進行記錄 。-b, --detect-bogus=true | false 是否偵測bogus TCP flags,某些程式會利用此flag來判別作業系統 。--log-bogus同 --detect-bogus。-c, --dns-cache=true | false是否使用DNS cache功能,可以加速名稱解析 。-d,--ignore忽略來自/etc/resolv.conf的DNS往來紀錄 。-f, --detect-fin-scan=true|false是否偵察TCP FIN 掃瞄 。--log-fin-scan同 --detect-fin-scan 。-q, --detect-syn-scan=true | false是否偵測TCP SYN 掃瞄 。--log-syn-scan同 --detect-syn-scan 。-g , --group=以特定的group或是GID執行iplog 。-h, --help顯示參數的概要並且離開 。-i, --interface=只針對某特定介面進行監聽,若不只一個可以用","分隔-k, --kill若iplog仍在執行的話,停止iplog紀錄 。-l , --logfile=指定iplog的紀錄檔位置 。--pid-file= 指定某檔案為其pid file 。-m, --scans-only=true只記錄scans及floods,其他的則不予以記錄 。-n, --detect-null-scan=true | false是否偵測null scans(乃一種由nmap或其他程式所使用的強烈的scan)--log-null-scan 同 --detect-null-scan 。-o, --no-fork前景執行iplog-p, --detect-portscan=true | false是否偵測port scans(包含連接式的掃瞄及半開放式的掃瞄) 。--log-portscan同 --detect-portscan 。-s, --detect-syn-flood=true | false是否在SYN flood停止前進行名稱解析 。-t, --detect-traceroute=true | false是否偵測traceroute紀錄 。--log-traceroute同 --detect-traceroute 。-u , --user=以某個身份或是使用者ID執行iplog 。-v, --version顯示版本資訊 。-x, --detect-xmas-scan=true | false是否偵測Xmas scans(乃一種由nmap或其他程式所使用的強烈的scan) 。--log-xmas-scan 同 --detect-xmas-scan 。-y, --detect-frag=true | false是否偵測fragment攻擊 。--log-frag同 --detect-frag 。-z, --fool-nmap=true | false是否嘗試去欺騙某些刺探程式(nmap或queso) 。警告:這個參數是十分危險的可能造成network traffic storms 。◎安裝1.採用port安裝 別忘了更新ports tree2.過程如下圖:◎啟動由 /usr/local/etc/rc.d/iplog.sh 啟動 。預設值為加上 -d -z 參數啟動 。◎檔案/usr/local/etc/iplog.confiplog的設定檔◎作者Ryan McCabe
推荐阅读
