[linux] Re: meetpunten gezocht

Folkert van Heusden folkert op vanheusden.com
Do Jun 14 14:58:12 CEST 2007


> > Ik heb nu een paar machines staan die specifiek op UDP poort 1026 mee
> > snifferen in diverse netwerken en hun dagelijkse rapport uitbrengen.
> > Daarmee hou ik http://www.viruspool.net/blacklist.cms up-to-date.
> Parser script en zo staan nu op 
> http://www.viruspool.net/parsecap/parsecap.cms
> Het is niet perfect en het is her en der vast voor verbetering vatbaar.
> Het merge verhaal voor mensen die meetgegevens willen aanbieden moet ik 
> nog uitwerken tot iets wat enigzins schaalbaar is. Dat wordt een stukje 
> later in de week. Want life 1.0 heeft ook nog verjaardagen van 
> familieleden in de planning deze week.

Het gevaar is dat deze versie ook andere tcpdumps afschiet.
Dus:

maak user p1026 aan:
p1026:x:129:2::/tmp:

#!/bin/sh
WORKDIR=/var/catch
TABEL="${WORKDIR}/parscap.txt"
TODAY=`date +%Y%m%d`
YESTERDAY=`date +%Y%m%d -d yesterday`
chown p1026 $WORKDIR
pkill -9 -u p1026 tcpdump
tcpdump -Z p1026 -l -s 1500 -w ${WORKDIR}/${TODAY}.cap udp dst port 1026 and udp src port not 53
parsecap -f ${WORKDIR}/${YESTERDAY}.cap -c ${TABEL}

nog veiliger ook qua evt. bugs in tcpdump


Folkert van Heusden

-- 
Ever wonder what is out there? Any alien races? Then please support
the seti op home project: setiathome.ssl.berkeley.edu
----------------------------------------------------------------------
Phone: +31-6-41278122, PGP-key: 1F28D8AE, www.vanheusden.com



More information about the Linux mailing list