Em 17/09/07, Alexandre J. Correa - Onda Internet <[EMAIL PROTECTED]> escreveu: > caros, boa tarde > > alguem ai poderia me dizer como capturar apenas LOGIN e IP de quem esta > acessando msn ? > > no pacote de AUTH do msn ele manda assim: > > (algumas coisas) MSMSGS [EMAIL PROTECTED] > > eu precisava fazer uma lista para uma empresa que presto servicos QUAIS > logins de msn saem pela rede (inclusive o IP) uma lista +- assim: > > [EMAIL PROTECTED] 10.0.0.4 > [EMAIL PROTECTED] 10.1.0.200 > ... > ... > > sei que no hlbr tem como fazer uma regra mas nao disponho de maquina > para poder montar a bridge... alguem sabe me dizer uma regra (regex) > para filtrar os pacotes da porta 1863 TCP que tenham a string citada > acima usando snort ? > > ou até mesmo se eh possivel via tcpdump (preciso apenas dos logins e o > ip da maquina, nao preciso do conteudo nao..)
Alexandre, Bem, assumindo que a string que vc deu de exemplo serve mesmo para identificar o protocolo MSN, a regra seria mais ou menos assim (1863 é a porta de origem ou de destino?): <rule> tcp src(1863) tcp regex(MSMSGS ([[:alnum:]]_\.)+@([[:alnum:]]_\.)+) message=Conexão MSN do IP %sip action=action2 </rule> (nota, a regra acima não foi testada, simplesmente digitei aqui... então não garanto que funcione!) A action2 , conforme está no arquivo config padrão do HLBR, apenas registra no log e faz um dump do pacote, sem bloqueá-lo. A mensagem configurada irá registrar o IP de origem do pacote (a parte "%sip" significa source IP). Agora, só não temos uma forma de extrair na log o e-mail que estava no pacote, porém, o pacote inteiro foi pro arquivo de dump, então dá para retirar de lá. Poderia ficar mais simples se for usado um arquivo de log só para isso, para tanto bastaria criar uma nova action no arquivo config: <action msn> response=alert file(msn.log) response=dump packet(msn.dump) </action> E usar a action msn ao invés de action2. Ele vai criar uma log (msn.log) e um arquivo de dump (msn.dump) apenas para os pacotes que casarem com essa regra. > obrigado !!! > > -- > Sds. > > Alexandre Jeronimo Correa > > Onda Internet - http://www.ondainternet.com.br > OPinguim Hosting - http://www.opinguim.net > > Linux User ID #142329 -- .o. André Bertelli Araújo Debian GNU/Linux ..o http://bertelli.name ooo <><
