Ch. Sniffer pour 2K/NT (genre Kerio, fenetre "log window")

Le
Docteur Tabuse
bonjour,
comme vous le savez, le LOG de Kerio (2.5.1 free) n'est pas enregistré dans
un fichier, n'est pas éditable, c'est dommage pour logger les trucx.

Je cherche un _petit_ programme (Win2000/NT) pour pallier à ce manque, qui
mettrait à l'écran et dans un fichier tous les accès filtrés ou non:

- IP in et out (tcp, udp, icmp, etc, avec dns-resolving auto?)
- date, heure,
- type de packet, type de communication, etc.

Pas besoin du contenu du packet.

J'ai cherché des heures sans résultat dans les archives de freeware.


En ce moment et depuis plusieurs jours le newsserver de mon provider me
polle plusieures dizaines de fois par heure, il scrute un port apres
l'autre jours apres jours (de 1000+ il en est dans les +3000 en ce moment),
que peut-il chercher à me dire ? Dois-je lui répondre quelque chose ?

Merci bcps.
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
FrekoDing
Le #563446
Le 16/04/2004 16:04, Docteur Tabuse écrivait ceci :

bonjour,


Bonjour.

comme vous le savez, le LOG de Kerio (2.5.1 free) n'est pas enregistré dans
un fichier, n'est pas éditable, c'est dommage pour logger les trucx.


c'est vrai.

Je cherche un _petit_ programme (Win2000/NT) pour pallier à ce manque, qui
mettrait à l'écran et dans un fichier tous les accès filtrés ou non:

- IP in et out (tcp, udp, icmp, etc, avec dns-resolving auto?)
- date, heure,
- type de packet, type de communication, etc.

Pas besoin du contenu du packet.


TinyLogger...

J'ai cherché des heures sans résultat dans les archives de freeware.


mal cherché... ;-)
en tapant log et kerio dans google, puis tinylogger, j'ai trouvé ce lien :
http://hem.passagen.se/pluppis/dator_egnaprogram.html

En ce moment et depuis plusieurs jours le newsserver de mon provider me
polle plusieures dizaines de fois par heure, il scrute un port apres
l'autre jours apres jours (de 1000+ il en est dans les +3000 en ce moment),
que peut-il chercher à me dire ? Dois-je lui répondre quelque chose ?


bizarre...
quel port ?

Merci bcps.


de rien.
@+

Arnaud A.
Le #563447
"Docteur Tabuse" news:1jy0ja1jhkqrd$
bonjour,
comme vous le savez, le LOG de Kerio (2.5.1 free) n'est pas enregistré
dans

un fichier, n'est pas éditable, c'est dommage pour logger les trucx.


Euh... et le filter.log qui se trouve dans le répertoire de kerio ?
C'est pas ce que tu veux ? ;-)

Arnaud

Eric
Le #563443
Le 16 avril 2004 à 16:04, Docteur Tabuse nous disait :

comme vous le savez, le LOG de Kerio (2.5.1 free) n'est pas enregistré dans
un fichier, n'est pas éditable, c'est dommage pour logger les trucx.


Mais si ! Dans la fenêtre d'administration, bouton Advanced, onglet
Miscellaneous, cocher Log into File.

Je cherche un _petit_ programme (Win2000/NT) pour pallier à ce manque, qui
mettrait à l'écran et dans un fichier tous les accès filtrés ou non:


Il existe TinyLogger :
http://hem.passagen.se/pluppis/dator_egnaprogram.html
qui présente le log de Kerio sous une forme très compréhensible.

--
Cordialement

Docteur Tabuse
Le #563441

Pardon! mais le fichier .log est bien là, j'étais sur que le log ne
fonctionnait pas dans la version gratuite. Tout est là, parfait.

en tapant log et kerio dans google, puis tinylogger, j'ai trouvé ce lien :
http://hem.passagen.se/pluppis/dator_egnaprogram.html


Merci je ne l'avais pas, c'est bien pratique.

bizarre...
quel port ?


Il polle un peu partout dans les moins de 10.000. D'une facon qui pourrait
paraître séquentielle inversée mais en même temps (d'heure en heure ou de j
en j) dislexique frisant l'érratique (ca s'explique). Chez eux c'est
toujours le 119 qui appelle.

Ca s'explique parce-que AMA c'est un bot qui scanne tous les connectés
nntp.skynet: le premier appel nntp déclanche le bot, qui scanne chez chacun
des abonnés ainsi connus une série (quelques) de ports et passe à un autre
abonné puis y retourne, jusqu'à changement d'ip. Il boucle.

Ca explique la régularité (50 à l'heure ?), l'ordre inverse (arbitraire ou
il y a une raison techn.) et les trous entre les séries, et les trous dans
les séries de séries lors d'off-line.

Ca s'explique sans doute par les "tests" en cours chez belgacom, voir le
récent
Un mouchard sur le réseau ADSL de Belgacom
http://www.dhnet.be/dhinfos/article.phtml?id˜178

Ils pourraient ralentir la cadence ou trouver autre chose, moi ca m'em**
vraiment, je n'ai ni ram ni cpu à consacrer à leurs nouveau virus légal.
En plus si je logge ca va me manger l'espace disk ;)) -(

Je ne vois pas en quoi cela peut leur servir, que peut-on pirater chez le
client par nntp ? Ouvrir des trap au vol ? Ou trouver les relations entre
le contenu du flux nntp, et le ftp et http etc, il suffit d'y penser, c'est
le but avoué du virus légal en préparation.

Je ferme mes connections nntp, je dois donc repoller le serveur nntp pour
reprendre des mesg. Le bot n'a pas besoin de sniffer ma présence si seul
nntp l'intéresse, ce serait du travail inutile.

Je laisse tomber, je logge, je jette, j'imprime et je leur envoie en carte
postale ;)

Pour info mes regles sont basés sur le "tutorial fr en 19 regles",
legerement pimmenté bien sur, je crois qu'il n'y a pas grand chose à faire.

je n'ai pas regardé de pres le contenu des packets, ca me gonfle ;) comme
les pub pour enlargo.com dans les boites de dialogue, celui-là s'il me lit
il peut essayer autres chose, je logge, je logge, puis je jouerai avec les
logs ;)


Merci bcps.


de rien.
@+



Publicité
Poster une réponse
Anonyme