工作中的问题，IPTABLE旁路监听数据包

ljcai123

多谢回复
一、不在防火墙上做是因为领导不许动防火墙，此防火墙是某商业版防火墙，但无协议分析，只有IP与端口，所以这也是无奈之举（说来也穷，俺这里连多余网卡也没有，否就把该电脑串在防火墙前面搞个透明墙了）。再有就是这事也是自己有兴趣在搞，领导只要求不出事就行了。
二、这个墙放在防火墙外是因为我写的外网实际是下属单位，真正的外网不在这里，下属单位在10.16.0.0/16段上
三、做这个事的目的是因为我要监控下属单位（目前不是办法的办法），实际这些包已在防火墙上封了（防火墙上只许过80、25、110等有限几个端口），但原来我可以通过发包的源或目的端口知道网中是否有病毒或木马了，好及时通知他们，现在网中BT包多了以后判断不准，所以把l7-filter中很多协议都搞到IPTABLE配置中去了，但帖子中只列了两种，说白了就是想分析目前人们都在网络上干什么(l7-filter是七层防火墙插件）
四、网卡已进入Promisc模式了，我通过Syslog看到了（商业版防火墙是个透明墙，IPTABLE配置中OUTPUT链中我给10.16.0.89开了个口子，规则是$IPTABLES -A OUTPUT -d ! 10.16.0.89 -j DROP但为简便，稍改了一下）
这是刚重新启动脚本后抓的日志：所用命令：
tac /var/log/syslog|more

Dec 29 00:40:57 l7 kernel: nbns PACKET IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2a:0b:51:08:00 SRC=10.16.0.54 DST=10.16.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=57361 PROTO=UDP SPT=137 DPT=137 LEN=58
Dec 29 00:40:56 l7 last message repeated 203 times
Dec 29 00:40:56 l7 kernel: layer7: This is some protocol I can't handle.
Dec 29 00:40:56 l7 kernel: finger PACKET IN=eth0 OUT= MAC=00:50:ba:29:dc:b8:00:50:ba:29:80:6b:08:00 SRC=10.16.0.89 DST=10.16.0.90 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=58505 DF PROTO=TCP SPT=2976 DPT=22 WINDOW=32767 RES=0x00 ACK URGP=0
Dec 29 00:40:56 l7 kernel: nbns PACKET IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2a:0b:51:08:00 SRC=10.16.0.54 DST=10.16.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=57359 PROTO=UDP SPT=137 DPT=137 LEN=58
Dec 29 00:40:55 l7 kernel: nbns PACKET IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2a:0b:51:08:00 SRC=10.16.0.54 DST=10.16.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=57357 PROTO=UDP SPT=137 DPT=137 LEN=58
Dec 29 00:40:54 l7 kernel: nbns PACKET IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2a:0b:51:08:00 SRC=10.16.0.54 DST=10.16.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=57352 PROTO=UDP SPT=137 DPT=137 LEN=58
Dec 29 00:40:52 l7 kernel: eth0: Promiscuous mode enabled.

五、单位中还有另一个IPTABLE，用在另一个边界处做访问控制，在线式的，日志中包括了所有的事件

[ 本帖最后由 ljcai123 于 2005-12-29 01:16 编辑 ]

platinum

用 tcpdump 抓包时，网卡会自动进入混杂模式，但停止抓包后网卡会自动退出混杂模式

ljcai123

上面的日志是重新执行IPTABLES脚本后产生的，不是执行tcpdump产生的。

platinum

强行把网卡设置成混杂模式试试，现在是这样做的吗？
iptables 的不能自动切到混杂模式去

独孤九贱

原帖由 platinum 于 2005-12-29 07:35 发表
强行把网卡设置成混杂模式试试，现在是这样做的吗？
iptables 的不能自动切到混杂模式去

如果真的要做，用ifconfig把网卡设为混杂模式，开启LOG或ULOG target，好像我见过一个老外的iptables日志分析插件，不过现在找不着了。

不过我觉得工作中，最重要的还是效率，直接装一台Win2000，再装个Sniffer pro，又直接，又简单，又直观，专门的事情，就应该由专业的软件来做……

platinum

如果网络中包速率很快的话，iptables -t nat -I PREROUTING -j LOG 这句话会死人的！

ljcai123

2M光纤，数据包不太多的
每次重新启动脚本后的状态：感觉已经进入Promisc模式了,并且在Syslog中也显示eth0进入Promisc模式了

debian:/etc/init.d#             ifconfig
eth0      Link encap:Ethernet  HWaddr 00:50:BA:29C:B8  
          inet addr:10.16.0.90  Bcast:10.255.255.255  Mask:255.255.255.0
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:6202776 errors:0 dropped:87 overruns:0 frame:1
          TX packets:103455 errors:0 dropped:0 overruns:0 carrier:0
          collisions:32947 txqueuelen:1000
          RX bytes:9924233 (9.4 MiB)  TX bytes:69138260 (65.9 MiB)
          Interrupt:11 Base address:0x2000

另：不知snifferpro能否分析出协议？有关IP和端口的日志我已经从防火墙上得到了，现在主要关心QQ、百度下吧、迅雷等应用程序包在网络内的情况和病毒数据包的情况

[ 本帖最后由 ljcai123 于 2005-12-29 09:19 编辑 ]

skylove

分析包的事情得靠自己来进行....软件从来只能客观反映现象,分析的工作只有自己来完成.
想方便一点可以用tcpdump把包抓到一个文本里,然后利用各个协议的特征来匹配记录看看,关于相应的协议,可能需要自己抓包并且分析特征,有的特征已经在l7的协议包里有了,可以直接抓来用用看....

关于病毒包...由于病毒一般都有传播特性,中毒的机器一般arp请求特别多,你可以适当留意

ljcai123

主要是想看属单位的微机情况，通过三层设备后已没有arp包了
我原来一般是从轮询包与广播包中找病毒痕迹，只是最近deny的包中有很多源端口固定的UDP包，咨询下属单位后，发现有部分电脑有恶意程序，部分电脑中装了BT软件，所以想判断得准一些

独孤九贱

原帖由 ljcai123 于 2005-12-29 09:17 发表
2M光纤，数据包不太多的
每次重新启动脚本后的状态：感觉已经进入Promisc模式了,并且在Syslog中也显示eth0进入Promisc模式了

另：不知snifferpro能否分析出协议？有关IP和端口的日志我已经从防火墙上得到了， ...

嘻嘻，我是专门卖这种产品的，你需要买的话，可以和我联系，咱也拼点过年钱……