Re: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Cejka Rudolf
Milan Cizek wrote (2016/11/24): > Ha trefa. Tady to vidět je... > ... > Proč to ale neukázal tcpdump bez specifikovaného interface jen s omezením > portu? Protože jednak tcpdump sleduje jen síťová rozhraní a nikoli proces směrování, a jednak poslouchá jen na jednom rozhraní, přičemž implicitně

RE: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Milan Cizek
Tak vyřešeno, už loguje do souboru. Nastavil jsem jinak konstanty MESSAGE_FAC MESSAGE_PRI Díky všem za pomoc. Milan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l

RE: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Milan Cizek
> ještě je možné nastavit, že i zdrojový port musí být 514. > > Tímto přijímáš zprávy ze všech zdrojových portů: > -a 192.168.0.0/16:* -a 10.0.0.0/8:* Mám tam *. Zapnul jsem syslog s -d, celkem pěkně to vypisuje... a ta zpráva se do něj dostane. validate: dgram from IP 10.0.254.1, port 514,

Re: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Ivo Hazmuk
Ahoj, jsem si to po sobě nepřečetl. Ve výchozím nastavení jsou akceptovány pouze datagramy z portu 514. Jinak platí, co jsem napsal. I. On 11/24/16 14:48, Ivo Hazmuk wrote: On 11/24/16 14:41, Milan Cizek wrote: Ha trefa. Tady to vidět je... 1.1.1.1.5 > bsd.syslog: [no cksum]

Re: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Ivo Hazmuk
On 11/24/16 14:41, Milan Cizek wrote: Ha trefa. Tady to vidět je... 1.1.1.1.5 > bsd.syslog: [no cksum] SYSLOG, length: 58 Facility daemon (3), Severity info (6) Msg: telnetd[4489]: connection from f...@hell.org.universe\0x0a 0x: 3c33 303e 7465 6c6e 6574 645b

RE: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Milan Cizek
Ha trefa. Tady to vidět je... 1.1.1.1.5 > bsd.syslog: [no cksum] SYSLOG, length: 58 Facility daemon (3), Severity info (6) Msg: telnetd[4489]: connection from f...@hell.org.universe\0x0a 0x: 3c33 303e 7465 6c6e 6574 645b 3434 3839 0x0010: 5d3a 2063 6f6e

Re: Syslog a podvržená zpráva

2016-11-24 Tema obsahu Cejka Rudolf
Milan Cizek wrote (2016/11/24): > IP adresa stroje 10.0.254.78 (žádná jiná) > ./syslog_deluxe 1.1.1.1 10.0.254.78 > {tcpdump nic, v syslogu nic} tcpdump -i lo0? -- Rudolf Cejka http://www.fit.vutbr.cz/~cejkar Brno University of Technology, Faculty of Information Technology Bozetechova 2, 612

RE: Syslog a podvržená zpráva

2016-11-23 Tema obsahu Milan Cizek
ailto:users-l-boun...@freebsd.cz] On Behalf Of Dan Lukes > Sent: Thursday, November 24, 2016 12:42 AM > To: FreeBSD mailing list > Subject: Re: Syslog a podvržená zpráva > > Milan Cizek wrote: > > Ještě si dovolím malý poznatek a otázku, třeba někoho něco napadne. > na syslog ser

Re: Syslog a podvržená zpráva

2016-11-23 Tema obsahu Dan Lukes
Milan Cizek wrote: Ještě si dovolím malý poznatek a otázku, třeba někoho něco napadne. na syslog server. V tcpdumpu jej vidím, že "odchází" z fake IP na nějakou jinou IP včetně syslog zprávy. Syslog mám nastaven aby přijímal zprávy ze všech IP 0.0.0.0/0. Az sem se chytam. Nicméně když na

RE: Syslog a podvržená zpráva

2016-11-23 Tema obsahu Milan Cizek
Ještě si dovolím malý poznatek a otázku, třeba někoho něco napadne. Dostal jsem to do funkčního stavu. Tedy jsem schopen odeslat UDP paket na syslog server. V tcpdumpu jej vidím, že "odchází" z fake IP na nějakou jinou IP včetně syslog zprávy. Syslog mám nastaven aby přijímal zprávy ze všech IP

Re: Syslog a podvržená zpráva

2016-11-22 Tema obsahu Cizek Milan
Ahoj, metody typu logger, nc, socat mi fungují. syslog normálně na UDP žije ukládám do něj už nějaký rok zprávy ze sítě. Milan -- Původní zpráva -- Od: Vilem Kebrt <vilem.ke...@gmail.com> Komu: users-l@freebsd.cz Datum: 22. 11. 2016 10:32:39 Předmět: Re:

Re: Syslog a podvržená zpráva

2016-11-22 Tema obsahu Vilem Kebrt
ropíše. :( >> >> >> Asi tedy není jiný důvod než přímo chyba někde v kódu? >> >> >> >> >> Milan >> >> >> >> >> -- Původní zpráva -- >> Od: Cizek Milan <cizek.mi...@seznam.cz> >> Komu: FreeBSD

Re: Syslog a podvržená zpráva

2016-11-22 Tema obsahu Vilem Kebrt
; Komu: FreeBSD mailing list <users-l@freebsd.cz> > Datum: 22. 11. 2016 9:56:45 > Předmět: Re: Syslog a podvržená zpráva > > "Vidíte, děkuji za postrčení. > > V pozdní noční hodině jsem si vůbec neuvědomil, že mám syslog startovaný s > > syslogd_flags="-4 -a 10

Re: Syslog a podvržená zpráva

2016-11-22 Tema obsahu Cizek Milan
atum: 22. 11. 2016 9:56:45 Předmět: Re: Syslog a podvržená zpráva "Vidíte, děkuji za postrčení. V pozdní noční hodině jsem si vůbec neuvědomil, že mám syslog startovaný s syslogd_flags="-4 -a 10.0.0.0/8:* -vv" á snažím se do něj dostat zprávy z ip 1.2.3.4 apod. " -- FreeBSD

Re: Syslog a podvržená zpráva

2016-11-22 Tema obsahu Cizek Milan
> Komu: users-l@freebsd.cz Datum: 22. 11. 2016 8:47:52 Předmět: Re: Syslog a podvržená zpráva pokud ve FreeBSD pouštíš syslogd bez jakýchkoliv úprav nastavení. T.j. když nenastavíš proměnnou syslogd_flags, běží syslogd s parametrem -s (secure). V tomto módu syslogd nezaznamenává zprávy ze v

Re: Syslog a podvržená zpráva

2016-11-21 Tema obsahu Ivo Hazmuk
Ahoj, On 11/22/16 04:22, Milan Cizek wrote: ve své seminárce o syslogu bych rád demonstroval zaznamenání zprávy podvrženým UDP paketem (s falešnou source IP která projde). Vyšel jsem z tohoto ukázkového kódu, který jsem upravil na aktuální struktury dle ip.h a udp.h.