Bonsoir, j'apprend à utiliser argus afin de journaliser mes
transactions reseaux ( je beneficie aussi de snort comme ids passif)
j'ai quelque que probleme d'interpretation au niveaux de certaines
lignes de log ( je suis assez parano :s ) (je connais tcp udp arp etc
mais man?? )
j'ai ce type de ligne avec cette ip qui reviens relativement souvent :
05-16-05 01:15:49.045656 man 229.97.122.203
v2.0 336746 13 295
05-16-05 01:25:49.285440 man 229.97.122.203
v2.0 336799 20 31
je ne retrouve nullement cette ip dans les logs de mon firewall ni
dans mes logs generé par snort.
donc a l'aide de ra -r argus.log je vois souvent cettes lignes malgré
l'avoir bloqué par le biais d'iptables :-\
j'ai passé un coup de chkrootkit, rkhunter etc sans resultats.
deuxiemementt, je n'arrive a recup aucune info sur cette adresse ip
pis cette ip suivi de v2.0 je comprend pas (ipv6 pourtant n'ai pas
activé dans mon kernel, pour info je suis en 2.6.11.9 patché vec grsec
et pax d'activé)
quelqu'un aurai une idée?