各ログの標準レベル一覧表示 show logging message all 全ログのsyslogサーバーへの転送レベルを標準の5(=notifications)から6(=informational)に変更 logging trap 6 あるログだけレベルを変更する logging message <syslog_id> level <level></level></syslog_id>

11月19日00時頃から11時頃まで 60パケット,20アドレス/時程度 ターゲット末尾は87(アドレス),上の63674と同じ ほぼイタリアから 11月19日06時頃から12時頃まで,21時頃から再開.20日07時頃まで 50パケット,20アドレス/時程度 ターゲット末尾は88(1アドレス) …

11月18日22時頃から23時頃まで 120パケット,30アドレス/時程度 ターゲット末尾は87(1アドレス) イタリア,フランスから ISC

11月18日05,14時頃 ドイツとイタリア24の連続したアドレスからICMP到達不能メッセージが来る. ICMPパケット内に含まれていたもとのメッセージの文面 ナントカ32.comというのが共通するらしい. SYSTEMALERT STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION. Wind…

ファイアウォール通過時にDNS応答パケットの中身を書き換える. http://www.cisco.com/japanese/warp/public/3/jp/service/tac/110/alias-j.html

UDPのサイズが512を超えないようにする方法 http://support.microsoft.com/kb/828263/ja

NetFlow系の通信量記録プログラムはICMPのタイプおよびコードをタイプ*256+コードで一つの数値にして記録することが多い. リンク http://www.iana.org/assignments/icmp-parameters type code Flow 意味 0 0 0 Echo Reply 1 - - Unassigned 2 - - Unassigned…

11月17日19時頃から23時頃まで 500パケット,140アドレス/時程度 ターゲット末尾は88(1アドレス) ほぼ全てスペイン ISC

11月18日00時頃 ブラジルにある19のアドレスからICMP到達不能メッセージが来る. 文面 SYSTEMALERT STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION. Windows has found CRITICAL SYSTEM ERRORS. To fix the errors please do the following: 1. Download Regist…

11月16日01時頃から03時頃まで 400パケット,100アドレス/時程度 ターゲット末尾は60(1アドレス) ほとんどが中国と台湾から ISC これ以後16日のポート4662スキャンは激減した

11月16日時15頃から 300パケット,70アドレス/時程度 ターゲット末尾は87(1アドレス,クライアントとして使用されている) イタリア,スペインがほとんど ISC

アメリカの18のアドレスから一斉にICMP拒絶メッセージが到着する.含まれる文面はほとんど変化していない.継続的に詐称用のアドレスとして自アドレス帯が使われ続けているらしい. SYSTEMALERT STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION. Windows has found…

ips.cfgファイルに 名乗りたいIP 自分自身のEtherアドレスと書いておくと,この名乗りたいIP宛のパケットを自分に誘導して来てくれる. この後に書かれるエントリがただのIPアドレスだけの場合デフォルトのランダムなEtherアドレスを返答してくれないことがあ…

ロシア製SIP式IP電話 http://www.sipnet.ru/orderandpay/software.html

jargonにも載っていた.良く使われる"sentinel value"であるらしい. http://www.jargon.net/jargonfile/d/DEADBEEF.html http://en.wikipedia.org/wiki/0xDEADBEEF http://en.wikipedia.org/wiki/Sentinel_value ipsentinelがLAN内での通信を妨害するために発…

11月15日13時頃から 150パケット,40アドレス/時程度 ターゲット末尾は59(1アドレス) ほぼ全てポーランドから ISC

11月15日09時頃から 100パケット,30アドレス/時程度 ターゲット末尾は121(1アドレス) 中国が20アドレスほどで多く,残りはフランス,イスラエル,スペイン,ベルギー等に広がっている. ISC得に変化なし

指定したサイズで出力ファイルをローテートしてくれる.指定はメガバイト単位 -wオプションで出力ファイル指定されたファイル名そのものがまず使われ,これが指定サイズを超えるとファイル名の後に2から順に番号が振られたものが使われていく.1は割り当てられ…

http://www.iana.org/assignments/dns-parameters

tcpdumpでDNSパケットを解析すると1文字の記号で出力されるフラグの意味はnameser.hファイルに次のような形で書かれている. #define DNS_AA(np) ((np)->flags1 & 0x04) /* authoritative answer */ AA * 正式なネームサーバー(Authoritative Answer) RA - 再…

11月13日02時頃から17時頃まで 300パケット,100アドレス/時程度 ターゲット末尾は90(1アドレス,外部と通信していない) ほぼ全てフランスから,アメリカ,ベルギーが少数,新手(?) ISC

od -x の結果は実行するCPUのエンディアンによって同じファイルであっても結果が異る. 例,r=72,o=6f,t=74 文字列 ビッグ リトル root 726f 6f74 6f72 746f x86等のリトルエンディアンのCPUでは文字列の順序と16進数の順序が異っていて混乱することがある.od …

複数のプロファイルを同時に使用しようとすると-P プロファイル名 で指定しても最初に起動したプロファイルの複製が出来るだけで2つ目以降のプロファイル指定を無視してしまう場合がある. コマンドラインオプション -a 適当な名前 -P プロファイル名 をつけ…

11月10日18時頃から11日01時頃 600パケット,200アドレス/時程度 ターゲット末尾は87(1アドレス) 半数はイタリア,スペイン,ドイツ,フランス,イスラエル等に分布 ポート4662の分散スキャンは途切れることなくずっと続いている. ISC

11月10日23時頃から11日03時 900パケット,300アドレス/時程度 ターゲット末尾は88(1アドレス,ほぼ外部と通信なし) ほぼ全てスペインから ISC

11月10日16時頃から18時頃 650パケット,200アドレス/時程度 ターゲット末尾は88(1アドレス,ほぼ外部と通信なし) スペイン,フランス,ドイツ,イスラエル,イタリアなど広く分布 ISC

squidのログなどはデフォルトで日付時刻が1970年1月1日からの秒数で記録されている. date -d "1970/01/01 09:00:00 秒数 sec"で日付に書き直せる. 09:00:00はJSTにするための細工. GNUのdateはdate +%sでこの逆が出来る. 現在の30日前の日付(1ヶ月ではない)…

11月10日04時頃から 2500パケット,600アドレス/時程度 ターゲット末尾は87(1アドレス,外部とほとんど通信していない) 半数がイタリア.残りはスペイン,フランス,イスラエル,スウェーデン ISC

210.198.99.42(d2c6632a.speednet.ne.jp;JAPAN;Linux2.4-2.6) エージェント名はHyperRobotを名乗っている 1ギガ/1時間を超える速度でポート80番から転送を行うクローラー(?) map:x139.600006y35.533298:hybrid

10日06時30分ごろポートスキャンを開始し,5分後からポートが開いているものにrootユーザーのパスワード総当たりを開始する. 128.177.28.7(UNITED-STATES,Vienna?,128-177-28-7.ip.openhosting.com,Linux2.6) クライアントのバナーにはSSH-2.0-libssh-0.1の文…