|
Urlsnarf - logowanie połączeń www do pliku
|
| shibby |
Dodano 03-06-2010 19:04
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
Wielu rozwiązanie z tcpdump`em nie zadowoliło - i nie ma co się dziwić  Urlsnarf z pakietu dsniff, który jest dostępny dla openwrt wielu pragnęło też pod tomato/ddwrt.
Doczekali się
Oto opis instalacji i użycia:
Instalujemy wymagane paczki:
Cytat ipkg update
ipkg install libpcap bash
cd /tmp
wget http://tomato.groov.pl/repo/libnet10_1.0.2a-1_mipsel.ipk
wget http://tomato.groov.pl/repo/libnids_1.18-1_mipsel.ipk
wget http://tomato.groov.pl/repo/dsniff_2.4b1-1_mipsel.ipk
ipkg install libnet10_1.0.2a-1_mipsel.ipk
ipkg install libnids_1.18-1_mipsel.ipk
ipkg install dsniff_2.4b1-1_mipsel.ipk
Sposób użycia:
Cytat urlsnarf -i br0 | awk '{print $1" - "$5" - "$8}'
Teraz można skierować to do jakiegoś pliku i gotowe.
Skrypty:
Żeby wszystko odbywało się automatycznie zrobiłem skrypt. Wstukujemy w konsole:
Cytat wget http://tomato.groov.pl/download/Exp/urlsnarf_loger -O /opt/bin/urlsnarf_loger
chmod +x /opt/bin/urlsnarf_loger
Teraz edytujemy ulubionym edytorem plik /opt/bin/urlsnarf_loger i ustawiamy miejsce przechowywania logów np:
Dodajemy skrypt do schedulera minutę po północy lub (jeżeli tak jak ja już nie macie miejsca w schedulerze) do skryptu firewalla takie oto wpisy
Cytat logger urlsnarf_loger start ...
cru a urlsnarf_loger "1 0 * * * /opt/bin/urlsnarf_loger"
/opt/bin/urlsnarf_loger
Czyli uruchom skrypt przy starcie routera oraz dodal do crona wywołanie minute po północy. Spowoduje to restart urlsnarf`a i stworzenie nowego pliku z logiem. Ot taki mały logrotate
Wynik końcowy napewno zadowoli większą ilość osób a prezentuje się tak:
Cytat shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/themes/x3/styles.css
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/includes/jscript.js
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/themes/x3/styles.css
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/images/openlinksys2.png
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/themes/x3/images/blank.gif
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/themes/x3/images/bullet.gif
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/themes/x3/images/bulletb.gif
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/themes/x3/images/scapleft.gif
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/themes/x3/images/pollbar.gif
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/themes/x3/images/scapright.gif
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/rss_images/rss_blue.png
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/themes/x3/forum/folder.gif
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/images/smiley/grin.gif
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/themes/x3/forum/foldernew.gif
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/images/smiley/smile.gif
shibby.gw.groov.pl - 3/Jun/2010:19:01:14 - http://openlinksys.info/images/smiley/wink.gif
Edytowany przez shibby dnia 10-09-2012 14:43
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| rzerzuch |
Dodano 03-06-2010 19:18
|
Super User
Posty: 402
Dołączył: 02/08/2008 19:01
|
tak dla pewności "wget http://tomato.groov.pl/Exp/urlsnarf_loger -O /opt/bin/urlsnarf_loger
chmod +x /opt/bin/urlsnarf_loger'
Wklejamy w konsole ??
a i co zrobić
urlsnarf -i br0 | awk '{print $1" - "$5" - "$8}'
sory ale jestem lewy w tych sprawach 
Edytowany przez rzerzuch dnia 03-06-2010 19:20
|
| |
|
|
| shibby |
Dodano 03-06-2010 19:19
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
wget i chmod to w konsoli
polecenie
Cytat urlsnarf -i br0 | awk '{print $1" - "$5" - "$8}'
pokazuje wynik nasluchu natomiast zeby to sie zapisywalo do pliku i rotowalo codzien z nowa data od tego jest skrypt /opt/bin/urlsnarf_loger
Uruchom go i zobaczysz A zeby sie rotowało dodajesz do crona (cru) lub shedulera wywolanie skryptu /opt/bin/urlsnarf_loger
Edytowany przez shibby dnia 03-06-2010 19:24
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| eRd |
Dodano 03-06-2010 19:23
|
OL Maniac
Posty: 1090
Dołączył: 11/03/2007 13:15
|
Kolejny tutorial i to przy Bozym Ciele  Mam pytanie. Czy np po reboocie routera tworzony jest nowy plik czy otwierany jest juz istniejacy i dopisywana jest zawartosc? Co za tym idzie w jaki sposob sa tworzone pliki? Chodzi mi o to czy np plik powstaje codziennie jeden czy np co godzine albo tydzien? Ciekawi mnie rowniez ile zajmuje taki dzienny pliczek - ale to pewnie bedziesz wiedzial jutro i zalezy tez od wielkosci i ruchu w sieci.
Pozdrawiam
EDIT:
O ile dobrze zrozumialem interwal tworzenia plikow to 1 dzien (doba)
Edytowany przez eRd dnia 03-06-2010 19:25
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON
Zotac HD-ID11 (ION2), |
| |
|
|
| shibby |
Dodano 03-06-2010 19:27
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
Cytat Czy np po reboocie routera tworzony jest nowy plik czy otwierany jest juz istniejacy i dopisywana jest zawartosc?
dopisywana do istniejacego pliku
Cytat Chodzi mi o to czy np plik powstaje codziennie jeden
Tak codzienne. Stad koniecznosc wywolania skryptu minute po polnocy. Skrypt zabije urlsnarfa, stworzy plik o nowej nazwie (z nowa data) i będzie pisal do pliku z aktualna data
Cytat Ciekawi mnie rowniez ile zajmuje taki dzienny pliczek
na to pytanie odpowiem ci jutro o tej porze Mozliwe ze uaktualnie w weekend skrypt o kompresje "wczorajszego" pliku z logiem. Ale najpierw zobaczymy czy kompresowanie wogole jest potrzebne.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| rzerzuch |
Dodano 03-06-2010 20:08
|
Super User
Posty: 402
Dołączył: 02/08/2008 19:01
|
u was też skrypt obciąża dość konkretnie procka ??
Ja prorokuje że trzeba będzie pakować te logi z poprzednich dni, sam w ciągu 5min zrobiłem log na 40KB |
| |
|
|
| shibby |
Dodano 04-06-2010 16:59
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
u mnie 1% procka i nicale 2% ramu.
Log od pólnocy do godziny 17tej = 3MB wiec powiedzialbym ze pikus Ale zrobie wersje z pakowaniem w weekend
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| shibby |
Dodano 08-06-2010 13:06
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
!update - nowa wersja skryptu logera.
Szuka starych logów i je kompresuje do tar.gz, przez co logi zajmują zdecydowanie mniej miejsca.
Aktualizacja banala:
Cytat rm -rf /opt/bin/urlsnarf_loger
wget http://tomato.groov.pl/Exp/urlsnarf_loger -O /opt/bin/urlsnarf_loger
chmod +x /opt/bin/urlsnarf_loger
oczywiscie pozniej trzeba w skrypcie wskazac katalog z logami
Edytowany przez shibby dnia 08-06-2010 13:08
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| maglo18 |
Dodano 27-07-2010 23:08
|
User
Posty: 83
Dołączył: 16/03/2010 19:09
|
Mi jakoś dziwnie wyświetla te informacje w pliku.
192.168.1.3 - +0200] - HTTP/1.1"
192.168.1.3 - +0200] - HTTP/1.1"
192.168.1.3 - +0200] - HTTP/1.1"
192.168.1.3 - +0200] - HTTP/1.1"
192.168.1.3 - +0200] - HTTP/1.1"
192.168.1.3 - +0200] - HTTP/1.1"
192.168.1.3 - +0200] - HTTP/1.1"
|
| |
|
|
| shibby |
Dodano 28-07-2010 09:42
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
w pliku /opt/bin/urlsnarf_loger
zmien dwie linijki z
Cytat awk '{print $1" - "$5" - "$8}'
na
Cytat awk '{print $1" - "$4" - "$7}'
i powinno byc dobrze
czasami tak sie dzieje gdy zamiast ip mamy nazwy lub nazwe z domena.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| maglo18 |
Dodano 29-07-2010 22:58
|
User
Posty: 83
Dołączył: 16/03/2010 19:09
|
Dzięki zadziałało jak należy. Mam natomiast jeszcze jeden problem. Źle odczytywana jest godzina przy zapisie logów. |
| |
|
|
| shibby |
Dodano 30-07-2010 08:53
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
tzn masz przesuniecie +1 -1?
zla masz strefe czasowa wybrana. basic -> time i wybierz poprawna.
zaznacz tez Auto Daylight Savings Time i update co 4h. Server europe.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| shibby |
Dodano 04-08-2010 08:31
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
Cytat maglo18 napisał/a:
Mi jakoś dziwnie wyświetla te informacje w pliku.
192.168.1.3 - +0200] - HTTP/1.1"
192.168.1.3 - +0200] - HTTP/1.1"
192.168.1.3 - +0200] - HTTP/1.1"
192.168.1.3 - +0200] - HTTP/1.1"
192.168.1.3 - +0200] - HTTP/1.1"
192.168.1.3 - +0200] - HTTP/1.1"
192.168.1.3 - +0200] - HTTP/1.1"
poprawilem urlsnarf_logera co do tego bledu. Gdyz napewno znow ci wystepuje. Sciagnij nowa wersje, podmien i juz bedzie na stale dobrze :)
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| przemo1 |
Dodano 02-09-2010 21:50
|
User
Posty: 108
Dołączył: 31/07/2009 16:40
|
Cytat shibby napisał/a:
wget i chmod to w konsoli
polecenie
Cytat urlsnarf -i br0 | awk '{print $1" - "$5" - "$8}'
pokazuje wynik nasluchu natomiast zeby to sie zapisywalo do pliku i rotowalo codzien z nowa data od tego jest skrypt /opt/bin/urlsnarf_loger
Uruchom go i zobaczysz A zeby sie rotowało dodajesz do crona (cru) lub shedulera wywolanie skryptu /opt/bin/urlsnarf_loger
Jaki to skrypt dadać do shedulera?jak go wywołać?W mmc trzeba utworzyć katalog urlsnarf_loger ?Dzieki,ale jestem troche zielony |
| |
|
|
| shibby |
Dodano 02-09-2010 22:15
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
przeciez pisze w pierwszym poscie
Cytat Skrypty:
Żeby wszystko odbywało się automatycznie zrobiłem skrypt. Wstukujemy w konsole:
i nizej masz link do urlsnarf_loger`a. To jest plik/skrypt
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| przemo1 |
Dodano 03-09-2010 11:10
|
User
Posty: 108
Dołączył: 31/07/2009 16:40
|
Witam.Robie wszystko według opisu,wszystkosie niby instaluje a plików z logami nie tworzy w mmc.Takmam ustawione w skrypcie
#!/opt/bin/bash
### USTAWIENIA#####
dir=/mmc/urlsnarf
####################
Chyba dobrze wszystko podmontowane?
po restarcie
# df -h
Filesystem Size Used Available Use% Mounted on
/dev/root 2.2M 2.2M 0 100% /
df: proc: No such file or directory
df: ramfs: No such file or directory
/dev/mtdblock/3 4.8M 644.0K 4.1M 13% /jffs
/dev/mmc/disc0/part1 236.2M 4.2M 219.9M 2% /mmc
a przed restartem
# df -h
Filesystem Size Used Available Use% Mounted on
/dev/root 2.2M 2.2M 0 100% /
df: proc: No such file or directory
df: ramfs: No such file or directory
/dev/mtdblock/3 4.8M 644.0K 4.1M 13% /jffs
/dev/mmc/disc0/part1 236.2M 4.2M 219.9M 2% /mmc
/dev/mmc/disc0/part1 236.2M 4.2M 219.9M 2% /opt
skrypt
#!/bin/sh
sleep 10
/bin/mount -o bind /mmc/opt /opt
mam w /jffs/mount_opt.sh
polecenie urlsnarf -i br0 | awk '{print $1" - "$5" - "$8}'
przed restartem pokazuje mi odwiedzane strony a po restarcie
# urlsnarf -i br0 | awk '{print $1" - "$5" - "$8}'
-sh: urlsnarf: not found
.Nie wiem co żle robie ,ale nie chodzi i nie tworzy plików z logami w podanym katalogu. .Wygląda jakby po restarcie nie montowało mi opt?zgadza się? |
| |
|
|
| shibby |
Dodano 03-09-2010 12:40
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
no tak, po restarcie nie widzi ci /opt
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| przemo1 |
Dodano 03-09-2010 12:59
|
User
Posty: 108
Dołączył: 31/07/2009 16:40
|
Cytat shibby napisał/a:
no tak, po restarcie nie widzi ci /opt
A jaka może być tego przyczyna? |
| |
|
|
| shibby |
Dodano 03-09-2010 17:53
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
mont_opt.sh masz dodaje do run after mount?
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| przemo1 |
Dodano 04-09-2010 09:34
|
User
Posty: 108
Dołączył: 31/07/2009 16:40
|
Mam mnt_opt.sh w jffs
#!/bin/sh
sleep 10
/bin/mount -o bind /mmc/opt /opt
zrobiłem to według twojego turtiala
http://openlinksys.info/forum/viewthread.php?forum_id=66&thread_id=7607
Jak po restarcie zamontuje opt to już logowanie stron nie działa,musze instalować wszystko od nowa i wtedy chodzi do restartu ale logów ie zapisuje mi w mmc mimo że :
Teraz edytujemy ulubionym edytorem plik /opt/bin/urlsnarf_loger i ustawiamy miejsce przechowywania logów np:
dir=/mmc/urlsnarf
przemo1 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez przemo1 dnia 04-09-2010 09:50
|
| |
|
' target='_blank'>Link
