谁在跟我的笔记本说话？在BYOD环境中没有PCAP或防火墙

Question

是否有一种方法或linux日志可以记录IP地址(和其他网络数据)，试图在不运行pcap环境的情况下与企业网络中的膝上型计算机对话？

例如，如果我坐在一个企业网络中，我想看到“谁今天试图与我交谈，或者是善意的或潜在的恶意的”.....could--我看到"IP X在___发送了2个ICMP数据包“或"IP Y试图通过ssh连接到您的盒子”或“您的本地IP连接到IP Z”，所有这些都没有运行tcpdump/wireshark？

我知道运行PCAP、设置防火墙或类似蜜罐的Snort传感器(MHN)会告诉我这一点，但是，如果我只是BYOD环境中的一台笔记本电脑，并且希望更好地理解环境，而不需要运行PCAP的资源。

谢谢!

Answer 1

记录任何传入(或传出)连接尝试的简单方法是使用IPtables。IPtables能够将任意信息记录到syslog。实现这一目标的一个简单方法是在输入链中设置一个规则，将所有未被接受的流量发送到一个新的日志记录链，它将将这些数据包输出到syslog并最终丢弃它们。

iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP

然后，您可以使用：tail -f /var/log/<log_file> | grep IPTables-Dropped查看syslog源代码：http://www.thegeekstuff.com/2012/08/iptables-log-packets/?utm_source=feedburner