Date: Wed, 05 May 2004 14:06:40 +0200 From: Thomas Hjorth <none@qdk--amok.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: detektere usædvanlige trafik-mønstre
Claus Guttesen wrote:
> Hej.
>
> Har sat en OpenBSD op med pf. Denne fungerer helt
> efter bogen.
>
> Her på det sidste har der været et ønske om at kunne
> registrere trafik, som af en eller anden årsag afviger
> fra hvad en "normal" bruger kan forventes at skabe.
> Dette være sig deling af filer
> (film/programmer/billeder).
>
> Jeg tror jeg mindes at huske at temaet var diskuteret
> på bsd-dk. Men da jeg søgte (via google med
> site:bsd-dk.dk, er hurtigere end bsd-dk's egen bot) på
> firewall ip registrere fik jeg ikke noget relevant
> træf.
>
> Er der nogen som kender et eller flere programmer
> (helst sammen med pf) som kan lade det meste trafik
> passere uden at logge det, men så finde disse lidt
> mere intense, men oftest få klienter, som deler alt
> med alle?
Jeg har bikset noget perl/mysql-kode sammen, som laver accounting over
de pf-regler som jeg nu giver en bestemt label, hvis du ikke allerede
har regler for hvad folk må lave ud gennem firewall, kunne du lave
nogle, smide labels på dem (lettere at arbejde med) også parse og gemme
dataene fra pfctl -s labels.
Jeg lavede det da jeg ikke rigtig kunne finde andre måder pga. det, og
folk whinede bare en masse om at man ikke lavede accounting i pf/sin
firewall.
Dataene fra MySQL kan så altid bruges til at lave nogle fine grafer med
rrdtools el. lign.
Skulle nogen have et bedre forslag er jeg også meget interesseret i at
høre det, og skulle nogle være interesseret i mit slamhackkode, og evt.
være med til at videreudvikle det, så sig endelig til.
Mvh Thomas aka QDK
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:40 CET