Archive

Archive for May, 2009

Работаем с IPv6

May 22nd, 2009 No comments

Настройка IPv6 в FreeBSD

Регистрируемся на сайте http://www.tunnelbroker.net.
В личном кабинете нажимаем “Create Regular Tunnel”.
Указываем свой внешний IPv4 адрес и выбираем ближайший сервер доступа.

Поднимаем тунель:

$ ifconfig gif0 create
$ ifconfig gif0 tunnel 213.79.110.123 216.66.80.26
$ ifconfig gif0 inet6 2001:470:1f08:f4::2 2001:470:1f08:f4::1 prefixlen 128
$ route -n add -inet6 default 2001:470:1f08:f4::1
$ ifconfig gif0 up

Открываем его в ifpw:

$ ipfw -q 1 add allow ip4 from any to any proto ipv6
$ ipfw -q 1 add pass ipv6 from any to any

Проверка 1:

$ wget -6 http://www.kame.net
--2009-05-22 15:19:11--  http://www.kame.net/
Resolving www.kame.net... 2001:200:0:8002:203:47ff:fea5:3085
Connecting to www.kame.net|2001:200:0:8002:203:47ff:fea5:3085|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: `index.html'
...
2009-05-22 15:19:18 (8.31 KB/s) - `index.html' saved [2986]

Поверка 2:

$ ping6 -c 1 ipv6.google.com
PING6(56=40+8+8 bytes) 2001:470:1f08:f4::2 --> 2001:4860:a005::68
16 bytes from 2001:4860:a005::68, icmp_seq=0 hlim=57 time=87.832 ms
 
--- ipv6.l.google.com ping6 statistics ---
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 87.832/87.832/87.832/0.000 ms

Прописываем это все в /etc/rc.conf:

ipv6_enable="YES"
gif_interfaces="gif0"
gifconfig_gif0="213.79.110.123 216.66.80.26"
ipv6_ifconfig_gif0="2001:470:1f08:f4::2 2001:470:1f08:f4::1 prefixlen 128"
ipv6_defaultrouter="2001:470:1f08:f4::1"

 

Раздаем IPv6 во внутреннюю сеть

Включаем маршрутизацию IPv6 в /etc/rc.conf:

$ sysctl net.inet6.ip6.forwarding=1

Настраиваем интерфейс для внутренней сети:

$ ifconfig lagg0 inet6 2001:470:1f08:f4:1::1 prefixlen 80

Прописываем это заодно и в /etc/rc.conf:

ipv6_ifconfig_lagg0="2001:470:1f08:f4:1::1 prefixlen 80"
ipv6_gateway_enable="YES"

Убеждаемся через netstat -nr что появился нужный маршрут:

2001:470:1f08:f4:1::/80           link#6                        UC        lagg0

Если нужна автоматическая настройка внутренних узлов, делаем следующее (я настраивал все статически):

Прописываем в /etc/rc.conf:

rtadvd_enable="YES"              # let our LAN know the IPv6 default route
rtadvd_interfaces="lagg0"        # our private LAN

Прописываем в /etc/rtadvd.conf

lagg0:rltime#0:addrs#1:addr="2001:470:1f08:f4:1::":prefixlen#80:tc=ether:

Запускаем:

$ /etc/rc.d/rtadvd start

 

Настройка IPv6 в Windows XP (static ip)

Устанавливаем IPv6:

C:Documents and SettingsCase>ipv6 install

Добавляем IPv6-адрес к интерфейсу:

C:Documents and SettingsCase>netsh
netsh>interface ipv6
netsh interface ipv6>add address interface="Local Area Connection" 2001:470:1f08:f4:1::2

Добавляем маршрут для сети в которой находимся:

netsh interface ipv6>add route 2001:470:1f08:f4:1::/80 "Local Area Connection"

Добавляем DNS сервер:

netsh interface ipv6>add dns "Local Area Connection" 2001:470:20::2

(Некоторые конторы, например Google, возвращают ipv6 запись только если запрос сделан с dns-сервера который сат работает на ipv6)

Добавляем маршрут по умолчанию:

netsh interface ipv6>add route ::/0 "Local Area Connection" 2001:470:1f08:f4:1::1

Проверяем маршруты:

netsh interface ipv6>show route
Запрос активного состояния...
 
Публик.  Тип       Метр. Префикс                   Инд  Имя шлюза/интерфейса
-------  --------  ----  ------------------------  ---  ---------------------
no       Вручную      0  2001:470:1f08:f4:1::/80     5  Local Area Connection
no       Вручную      0  ::/0                        5  2001:470:1f08:f4:1::1

Проверяем работу IPv6:

C:Documents and SettingsCase>ping6 ipv6.google.com
 
Проверка связи ipv6.l.google.com [2001:4860:a005::68]
с 2001:470:1f08:f4:1::2 с 32 байт данных:
 
Ответ от 2001:4860:a005::68: байт=32 время=86ms
Ответ от 2001:4860:a005::68: байт=32 время=74ms
Ответ от 2001:4860:a005::68: байт=32 время=82ms
Ответ от 2001:4860:a005::68: байт=32 время=74ms
 
Проверить связь статистики для 2001:4860:a005::68:
    Пакеты: Отправлено = 4, Получено = 4, Lost = 0 (0% loss),
Время в пути в мсек (приблизительно):
    Минимум = 74ms, максимум = 86ms, среднее = 79ms

 

Настройка IPv6 в CentOS 5.4 (static ip)

Настройка интерфейса:

ifconfig eth0 inet6 add 2001:470:1f08:f4:1::130/96

Добавление маршрута по умолчанию:

route --inet6 add default gateway 2001:470:1f08:f4:1::1 eth0

+ прописываем dns-сервер в /etc/resolv.conf

nameserver 2001:470:20::2

Посмотреть маршруты:

route -n -A inet6

Или добавим все в конфиги системы и перезапустим сеть.
В /etc/sysconfig/network добавить NETWORKING_IPV6=yes
В /etc/sysconfig/network-scripts/ifcfg-eth0 добавить:
IPV6INIT=yes
IPV6ADDR=2001:470:1f08:f4:1::130/96
IPV6_DEFAULTGW=2001:470:1f08:f4:1::1

Перезапустим сеть:
service network restart

Ссылки

Tags:

Configuring OSPF on a Cisco router

May 21st, 2009 No comments

Some useful links:

Tags: ,

Настройка DHCP сервера на маршрутизаторе Cisco

May 18th, 2009 No comments

Пример настройки:

Router#conf t
Router(config)#ip dhcp excluded-address 10.0.1.1
Router(config)#ip dhcp pool users
Router(dhcp-config)#default-router 10.0.1.1
Router(dhcp-config)#dns-server 10.0.1.1
Router(dhcp-config)#network 10.0.1.0 255.255.255.0
Tags: ,

Настройка RIP на маршрутизаторе Cisco

May 18th, 2009 No comments

Пример настройки:

Router#conf t
Router#router rip
Router#version 2
Router#network 10.0.0.0

Просмотр информации о маршрутах:

Router#show ip route
Router#show ip route rip

Просмотр информации о протоколе RIP:

Router#show ip protocol

Включение отладки протокола RIP:

Router#debug ip rip

Ссылки:

Tags: ,

Настройка VLAN на оборудовании Cisco

May 18th, 2009 No comments

Пример настройки для следующей конфигурации:

Router (f0/0) -> Trunk -> (f0/0) Switch (f0/1) -> Vlan 10 -> PC1
                                        (f0/2) -> Vlan 20 -> PC2

Настройки PC1:

IP Address......................: 10.0.0.2
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 10.0.0.1

Настройки PC2:

IP Address......................: 10.0.1.2
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 10.0.1.1

Настройки Switch:

Switch#conf t
Switch(config)#int f0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#int f0/1
Switch(config-if)#switchport mode access 
Switch(config-if)#switchport access vlan 10
Switch(config-if)#int f0/2
Switch(config-if)#switchport mode access 
Switch(config-if)#switchport access vlan 20

Настройки Router:

Router#vlan database
Router(vlan)#vlan 10
Router(vlan)#vlan 20
Router(vlan)#exit
Router#conf t
Router(config)#int f0/0.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 10.0.0.1 255.255.255.0
Router(config)#int f0/0.20
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 10.0.2.1 255.255.255.0
Router(config-subif)#int f0/0
Router(config-if)#no shutdown
Tags: ,

Работаем с Netflow

May 13th, 2009 No comments

Коллектор flow-capture

Установка:

$ cd /usr/ports/net-mgmt/flow-tools
$ make install clean

Прописываем в rc.conf:

flow_capture_enable="YES"
flow_capture_localip="127.0.0.1"

Запускаем:

$ /usr/local/etc/rc.d/flow_capture start
Starting flow_capture.

Проверяем:

$ sockstat -l4|grep flow
flowtoolsflow-captu 43982 1  udp4   127.0.0.1:8787        *:*

 

Сенсор softflowd

Установка:

$ cd /usr/ports/net-mgmt/softflowd
$ make install clean

Добавляем стартовый скрипт в /usr/local/etc/rc.d:

#!/bin/sh
# Softflowd loader
 
case $1 in
        start)
                softflowd -i vlan3 -n 127.0.0.1:8787
                echo 'Softflowd is loaded'
                ;;
        stop)
                softflowctl shutdown
                echo 'Softflowd is unloaded'
                ;;
        status)
                softflowctl statistics
                ;;
        *)
                echo "Usage: `basename $0` {start|stop|status}" >&2
                ;;
esac
exit 0

Основные ключи для softflowd:

     -n host:port
             Specify the host and port that the accounting datagrams are to be 
             sent to.
     -i interface
             Specify a network interface on which to listen for traffic.
             Either the -i or the -r options must be specified.

Запускаем:

$ /usr/local/etc/rc.d/softflowd start
Softflowd is loaded

 

Чтение данных

В каталоге /var/db/flows будут скапливаться файлы с данными.
Пример выборки – статистика по объёму трафика за один час:

$ flow-cat -t "17:00" -T "18:00" /var/db/flows/2009/2009-05/2009-05-13/ | flow-stat -f 15 
#  --- ---- ---- Report Information --- --- ---
#
# Fields:    Total
# Symbols:   Disabled
# Sorting:   None
# Name:      short summary
#
# Args:      flow-stat -f 15 
#
#
# Octets            Packets             MBytes
#
144830237           699315              144.830

Ссылки:

Tags: , ,

Настройка tftpd сервера

May 13th, 2009 No comments

Любой админ, который занимается настройкой всякого “железа”, свичей, роутеров и тому подобное, обязательно столкнется с tftp. Любят его производители железа именно за буковку t, которая означает trivial, а именно простой протокол передачи файлов. В состав базовой системы FreeBSD входит как сервер, запускаемый через inetd, так и клиент этого протокола. Настройка сводится к прописыванию в настройках inetd и указании правильных флагов. По умолчанию установлены такие флаги:

tftp    dgram   udp     wait    root    /usr/libexec/tftpd      tftpd -l -s /tftpboot

Для нормальной и удобной работы, нужно добавить флаг -w, он добавляет возможность создания файлов, иначе придется создавать файлы самому, а потом поверх вручную созданного файла вливать нужный файл.
Флаг -l указывает логировать все события
-s и указанная далее директория, указывает tftpd использовать указанную директорию, как корневую для сервера.
По итогу у нас получается такая строка для inetd.conf

tftp   dgram   udp     wait    root    /usr/libexec/tftpd      tftpd -l -w -s /tftpboot

После чего, нужно перезапустить inetd

/etc/rc.d/inetd restart

Теперь нужно создать нашу корневую директорию /tftpboot и сделать ее владельцем nobody.

mkdir /tftpboot
chown nobody:nogroup /tftpboot

Сделать владельцем nobody мы должны, потому что tftpd операции выполняет от имени этого пользователя, и уж если мы разрешили создавать файлы tftpd, то нужно дать ему возможность создавать файлы.
Проверить работоспособность можно при помощи команды tftp, в каталоге в котором мы будем запускать tftp, есть файл test.txt, сервер запущен по адресу 192.168.0.1, проверим работоспособность:

tftp 192.168.0.1
put test.txt

Если все нормально, файл появится в /tftpboot.
Когда мы убедились, что все работает нормально, стоит защитить наш сервер от постороннего вторжения. Конечно, протокол tftp действительно простой и что бы скачать файл, нужно знать его имя, лучше всего не предоставлять возможности соединится с сервером, просто потому, что использовать его посторонними не нужно. Прикроем с помощью hosts.allow от всех, оставим доступ только для сети 192.168.0.0/24, для этого внесем такие строки:

tftpd : 192.168.0.0/255.255.255.0 : allow
tftpd : ALL :deny

Ну а использовать этот протокол с разных железяк по разному, например с оборудования компании Cisco это выглядит так:

copy running-config tftp://192.168.0.1/
Address or name of remote host [192.168.0.1]?
Destination filename [hilik-confg]?
!!
10436 bytes copied in 3.456 secs (3020 bytes/sec)

В последнее время большая часть оборудования стала поддерживать более сложные протоколы, ftp, scp, а большинство управляемые через вебинтерфейс дают возможность скачивать и заливать прошивки и конфиги по HTTP протоколу. Тем не менее для недорогого оборудования tftp протокол остается актуальным.

Оригинал статьи: http://www.hilik.org.ua/настройка-tftpd-сервера/

Tags:

VoIP шлюз VoiceFinder AP200

May 7th, 2009 No comments

ap200VoIP шлюз VoiceFinder AP200 — многофункциональный и высокопроизводительный шлюз IP-телефонии, предназначенный для организации передачи голоса по сетям передачи данных (VoIP) и маршрутизации данных. VoiceFinder AP200 является идеальным решением для индивидуального использования и небольших компаний, имеющих территориально распределенную сеть офисов. Поддерживает функцию резервирования телефонной линии благодаря наличию интерфейса PSTN backup или порта FXO (в зависимости от модели).

Настройки COM-порта:

1
2
3
4
5

Speed (baud): 9600
Data bits: 8
Stop bits: 1
Parity: None
Flow control: None

Загрузка устройства:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

System Boot Loader, Version 2.4.2/DUAL(852)
Copyright (c) by AddPac Technology Co., Ltd. Since 1999.
 
System Bootstrap, Version 1.2
Decompressing the image:
##############################################################[OK]
VoiceFinder Gateway Series (AP200)
Serial Number: AP200-03e804
32BIT RISC Processor With 16777216 Bytes System Memory
524288 Bytes System Flash Memory
2097152 Bytes 2nd System Flash Memory
 
1 RS232 Serial Console Interface
2 Ethernet/IEEE 802.3 Interface
 
AP200 System software Revision 8.23H
Released at Thu Dec 15 20:37:54 2006
Program is 1812900 bytes, checksum is 0xe84ee58
 
Local Time : Thu May  7 11:48:58 2009
Copyright (c) by AddPac Technology Co., Ltd. Since 1999.
 
Slot (0) Module type : FXS
 
Interface ethernet0.0, changed state to UP
Voice Module Ready
DSP S/W download (0): .. OK
 
The System is ready. Please login to system.
login:

Версия устройства:

1
2
3
4
5
6
7
8
9
10
11
12
13
14

AP200# show version
 
VoiceFinder Gateway Series (AP200B)
Serial Number: AP200B-03e804
32BIT RISC Processor With 16777216 Bytes System Memory
524288 Bytes System Flash Memory
2097152 Bytes 2nd System Flash Memory
 
1 RS232 Serial Console Interface
2 Ethernet/IEEE 802.3 Interface
 
AP200B System software Revision 8.23H
Released at Thu Dec 15 20:37:54 2006
Program is 1812900 bytes, checksum is 0xe84ee58

Настройка порта LAN0:

1
2
3

AP200# configure terminal
AP200(config)# interface ether0.0
AP200(config-ether0.0)# ip address 172.16.127.180 255.255.255.0

Настройка DNS:

1

AP200(config)# dns nameserver 172.16.127.1

Задаем роутер по умолчанию:

1

AP200(config)# route 0.0.0.0 0.0.0.0 172.16.127.1

Настройка NTP:

1
2
3
4
5

AP200(config)# ntp refresh 5
AP200(config)# ntp offset +04:00
AP200(config)# ntp server 69.36.240.252
AP200(config)# ntp server 87.236.24.2
AP200(config)# service ntp

Настройка SNMP:

1
2

AP200(config)# snmp community 0.0.0.0 public ro
AP200(config)# service snmpd

Отключение веб-интерфейса:

1

AP200(config)# no service http

Сохранение конфигурации:

1

AP200# write

 

Задача: скопировать со шлюза конфигурацию и образ операционной системы APOS через FTP
Включаем сервис ftp (по умолчанию включен):

1

AP200(config)# service ftp

Заходим ftp-клиентом и копируем файлы:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

$ lftp 172.16.127.180
lftp 172.16.127.180:~> user root
Пароль:
lftp root@172.16.127.180:~> set ftp:passive-mode off
lftp root@172.16.127.180:~> ls
-rwxrwxrwx   1    noone  nogroup        0 May  7 2009 evtlog0.txt
-rwxrwxrwx   1    noone  nogroup        0 May  7 2009 evtlog1.txt
-rwxrwxrwx   1    noone  nogroup        0 May  7 2009 cmdlog0.txt
-rwxrwxrwx   1    noone  nogroup        0 May  7 2009 cmdlog1.txt
-rwxrwxrwx   1    noone  nogroup     1974 May  7 2009 config.cfg
-rwxrwxrwx   1    noone  nogroup  1812900 Dec 15 2006 ap200rom_v8_23H.bin
lftp root@172.16.127.180:/> get config.cfg
1974 байта перемещены
lftp root@172.16.127.180:/> get ap200rom_v8_23H.bin
1812900 байтов перемещено за 2 секунды (883.0Кб/с)
lftp root@172.16.127.180:/> exit

 

Задача: зарегистрировать порт FXS как SIP-пользователя на Asterisk’е

Добавляем пользователя в Asterisk’е (sip.conf):

1
2
3
4
5
6
7
8
9

[204]
type = friend
host = dynamic
nat = no
context = phones
disallow = all
allow = alaw
username = 204
secret = password

Прописываем FXS-порт:

1
2
3
4

AP200(config)# dial-peer voice 204 pots
AP200(config-dialpeer-pots-1)# port 0/0
AP200(config-dialpeer-pots-1)# destination-pattern 204
AP200(config-dialpeer-pots-1)# user-password password

Прописываем еще один dial-peer для совершения звонка FXS -> Asterisk

1
2
3
4
5

AP200(config)# dial-peer voice 205 voip
AP200(config-dialpeer-voip-2)# destination-pattern T
AP200(config-dialpeer-voip-2)# session target 172.16.127.1
AP200(config-dialpeer-voip-2)# session protocol sip
AP200(config-dialpeer-voip-2)# codec g711alaw

Прописываем SIP-сервер (для того что бы FXS-порт регистрировался на Asterisk’е и мог принимать входящии звонки)

1
2
3

AP200(config)# sip-ua
AP200(config-sip-ua)# sip-server 172.16.127.1
AP200(config-sip-ua)# register e164

Смотрим что получилось:

1
2

AP200# show sip
AP200# show dial-peer voice summary

 

Задача: привязать порт FXS как SIP-пользователя на Asterisk’е (без регистрации)

Минимальный вариант. Для входящего звонка на шлюз прописываем:

1
2
3

AP200(config)# dial-peer voice 204 pots
AP200(config-dialpeer-pots-204)# port 0/0
AP200(config-dialpeer-pots-204)# destination-pattern 204
1
2
3
4
5
6
7
8
9

[204]
type = friend
host = 172.16.127.180
nat = no
context = phones
disallow = all
allow = all
username = 204
secret = password

Для исходящего звонка:

1
2

AP200(config)# dial-peer voice 204 pots
AP200(config-dialpeer-pots-204)# user-password password
1
2
3
4
5

AP200(config)# dial-peer voice 205 voip
AP200(config-dialpeer-voip-205)# destination-pattern T
AP200(config-dialpeer-voip-205)# session target 172.16.127.1
AP200(config-dialpeer-voip-205)# session protocol sip
AP200(config-dialpeer-voip-205)# codec g711alaw

 

Cсылки:

Tags: , ,

Oinkmaster – автоматизация обновления правил Snort

May 5th, 2009 No comments

Установка:

1
2
3
4
5

$ cd /usr/ports/security/oinkmaster
$ make install clean
$ cd /usr/local/etc/
$ cp oinkmaster.conf.sample oinkmaster.conf
$ chmod 644 oinkmaster.conf

В файле oinkmaster.conf указываем расположение правил для snort’a, а так же добавляем отключенные правила:

1
2
3
4

url = file:///tmp/snortrules.tar.gz
disablesid 1
disablesid 2
disablesid 3

Заходим на snort.org, регистрируемся и скачиваем бесплатные правила месячной давности.

1

$ wget -O /tmp/snortrules.tar.gz http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_os/snortrules-snapshot-2.8.tar.gz

Запускаем oinkmaster:

1

$ oinkmaster -o /usr/local/etc/snort/rules/

Получим большой лог чего добавлено и удалено из правил.

Если делать по хорошему – то конечно же нужна платная подписка на правила + автоматизация процесса обновления.

Tags: ,

Sneeze – генератор ложных срабатывания для Snort

May 3rd, 2009 No comments

Написан на языке Perl. Он читает файлы с описанием сигнатур атак Snort, и имитирует соответствующие атаки. Помогает тестировать качество работы системы обнаружения вторжений, а также скрывать истинные атаки среди ложных.

Установка:

1
2

$ wget http://xgu.ru/downloads/sneeze.pl
$ chmod +x sneeze.pl

Необходим так же модуль p5-Net-RawIP:

1
2

$ cd /usr/ports/net/p5-Net-RawIP
$ make install clean

Если запустить sneeze.pl без параметров, будет показано сообщение с информацией об использовании:

1
2
3
4
5
6
7
8
9

$ ./sneeze.pl
Must have EUID == 0 to use Net::RawIP, currently you are seen with EUID=1001 at ./sneeze.pl line 20
Usage ./sneeze.pl -d <dest host> -f <rule file> [options]
        -c count        Loop X times. -1 == forever. Default is 1.
        -s ip           Spoof this IP as source. Default is your IP.
        -p port         Force use of this source port.
        -i interface    Outbound interface. Default is eth0.
        -x debug        Turn on debugging information.
        -h help         Duh? This is it.

Берём описание сигнатур атак Snort и выполним имитацию DNS-атак:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

$ sudo ./sneeze.pl -i vlan3 -d case.net.ru -f /usr/local/etc/snort/rules/dns.rules
ATTACK:
 case.net.ru:20068 -> case.net.ru:34164
 
ATTACK:
 case.net.ru:26296 -> case.net.ru:54516
 
ATTACK:
 case.net.ru:21436 -> case.net.ru:43523
 
ATTACK: DNS named authors attempt
ATTACK TYPE: attempted-recon
tcp case.net.ru:44905 -> case.net.ru:53
Reference => 10728
Reference => http://www.whitehats.com/info/IDS480
 
ATTACK: DNS named authors attempt
ATTACK TYPE: attempted-recon
udp case.net.ru:65328 -> case.net.ru:53
Reference => 10728
Reference => http://www.whitehats.com/info/IDS480
 
...
 
ATTACK: DNS Windows NAT helper components tcp denial of service attempt
ATTACK TYPE: misc-attack
tcp case.net.ru:17587 -> case.net.ru:53
Reference => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-5614

В логах snort’а видим:

1
2
3
4
5
6
7
8
9
10

05/03-18:47:16.154161  [**] [1:1616:10] DNS named version attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {UDP} 213.79.110.123:39151 -> 213.79.110.123:53
05/03-18:47:16.156684  [**] [1:256:9] DNS named authors attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {UDP} 213.79.110.123:28828 -> 213.79.110.123:53
05/03-18:47:16.156684  [**] [1:1616:10] DNS named version attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {UDP} 213.79.110.123:28828 -> 213.79.110.123:53
05/03-18:47:16.157034  [**] [1:256:9] DNS named authors attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {UDP} 213.79.110.123:28828 -> 213.79.110.123:53
05/03-18:47:16.157034  [**] [1:1616:10] DNS named version attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {UDP} 213.79.110.123:28828 -> 213.79.110.123:53
 
...
 
05/03-18:47:16.159283  [**] [1:253:7] DNS SPOOF query response PTR with TTL of 1 min. and no authority [**] [Classification: Potentially Bad Traffic] [Priority: 2] {UDP} 213.79.110.123:53 -> 213.79.110.123:42884
05/03-18:47:16.159283  [**] [1:254:7] DNS SPOOF query response with TTL of 1 min. and no authority [**] [Classification: Potentially Bad Traffic] [Priority: 2] {UDP} 213.79.110.123:53 -> 213.79.110.123:42884

Скрипт sneeze.pl

Оригинал статьи: http://xgu.ru/wiki/Sneeze

Tags: ,