Bonsoir, j'apprend � utiliser argus afin de journaliser mes transactions
reseaux ( je beneficie aussi de snort comme ids passif)
j'ai quelque que probleme d'interpretation au niveaux de certaines
lignes de log ( je suis assez parano :s ) (je connais tcp udp arp etc
mais man?? )
j'ai ce type de ligne avec cette ip qui reviens relativement souvent :
05-16-05 01:15:49.045656 man 229.97.122.203
v2.0 336746 13 295
05-16-05 01:25:49.285440 man 229.97.122.203
v2.0 336799 20 31
je ne retrouve nullement cette ip dans les logs de mon firewall ni dans
mes logs gener� par snort.
donc a l'aide de ra -r argus.log je vois souvent cettes lignes malgr�
l'avoir bloqu� par le biais d'iptables :-\
j'ai pass� un coup de chkrootkit, rkhunter etc sans resultats.
deuxiemementt, je n'arrive a recup aucune info sur cette adresse ip
pis cette ip suivi de v2.0 je comprend pas (ipv6 pourtant n'ai pas
activ� dans mon kernel, pour info je suis en 2.6.11.9 patch� vec grsec
et pax d'activ�)
quelqu'un aurai une id�e?
