RE: Syslog a podvržená zpráva

Milan Cizek cizek.milan at seznam.cz
Thu Nov 24 01:30:55 CET 2016


Ahoj,

omlouvám se za nepřesnosti a záměny pojmů. Konkrétně tedy...

IP adresa stroje 10.0.254.78 (žádná jiná)
# sockstat | grep syslog
root     syslogd    31087 4  dgram  /var/run/log
root     syslogd    31087 5  dgram  /var/run/logpriv
root     syslogd    31087 6  udp4   *:514                 *:*

Na jednom stroji, spuštěné 2 terminály - jeden na spouštění vykompilované binárky a druhý tcpdump -vvv port 514

# ./syslog_deluxe 1.1.1.1 2.2.2.2
01:25:35.098507 IP (tos 0x0, ttl 64, id 24745, offset 0, flags [none], proto UDP (17), length 86, bad cksum 0 (->13e9)!)
    1.1.1.1.50000 > 2.2.2.2.syslog: [no cksum] SYSLOG, length: 58
        Facility daemon (3), Severity info (6)
        Msg: telnetd[4489]: connection from fake at hell.org.universe\0x0a
        0x0000:  3c33 303e 7465 6c6e 6574 645b 3434 3839
        0x0010:  5d3a 2063 6f6e 6e65 6374 696f 6e20 6672
        0x0020:  6f6d 2066 616b 6540 6865 6c6c 2e6f 7267
        0x0030:  2e75 6e69 7665 7273 650a

# ./syslog_deluxe 1.1.1.1 10.0.254.5 (neexistující IP)
01:26:11.547736 IP (tos 0x0, ttl 64, id 25348, offset 0, flags [none], proto UDP (17), length 86, bad cksum 0 (->d8c)!)
    1.1.1.1.50000 > 10.0.254.5.syslog: [no cksum] SYSLOG, length: 58
        Facility daemon (3), Severity info (6)
        Msg: telnetd[4489]: connection from fake at hell.org.universe\0x0a
        0x0000:  3c33 303e 7465 6c6e 6574 645b 3434 3839
        0x0010:  5d3a 2063 6f6e 6e65 6374 696f 6e20 6672
        0x0020:  6f6d 2066 616b 6540 6865 6c6c 2e6f 7267
        0x0030:  2e75 6e69 7665 7273 650a

./syslog_deluxe 1.1.1.1 10.0.254.78
{tcpdump nic, v syslogu nic}

Mým cílem je dostat ten záznam do syslogu resp. konkrétního logu a demonstrovat tím, jak že to jde. :-)

Milan

> -----Original Message-----
> From: Users-l [mailto:users-l-bounces at freebsd.cz] On Behalf Of Dan Lukes
> Sent: Thursday, November 24, 2016 12:42 AM
> To: FreeBSD mailing list
> Subject: Re: Syslog a podvržená zpráva
> 
> Milan Cizek wrote:
> > Ještě si dovolím malý poznatek a otázku, třeba někoho něco napadne.
> na syslog server.
> > V tcpdumpu jej vidím, že "odchází" z fake IP na nějakou jinou IP včetně syslog
> zprávy.
> > Syslog mám nastaven aby přijímal zprávy ze všech IP 0.0.0.0/0.
> 
> Az sem se chytam.
> 
> > Nicméně když na localhostu skript spustím,
> 
> A tady uz ne. Co znamena "sputim script na localhostu" ?
> 
> >  a je jedno jestli mu jako cíl dám localhost nebo jakoukoli IP na interface (kde
> naslouchá syslog), pak se nic neodešle -
> > tcpdump nic nevidí.
> 
> tcpdump poslouchajici na jakem interface ?
> 
> > Když mu dám neexistující IP ze syslogu na interface, tak odesílá.
> 
> Co je "IP ze syslogu" ?
> 
> 
> Nechces to prostredi popsat zcela konkretne - jake IP mas na jakych
> interfacech, s jakou IP a kam co zkousis poslat, kde posloucha tcpdump ...
> 
> Bylo by to sice min blackmagicky, ale zase by bylo snazsi zkusit
> odpovedet ;-)
> 
> Dan
> 
> 
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l




More information about the Users-l mailing list