Argus-clients:Rafilteraddr
Jump to navigation
Jump to search
rafilteraddr
Description
Permet de filtrer un fichier argus à partir d'une liste d'adresses IP dans un fichier
Utilisation
Constituons un fichier texte puis stockons-y des adresses IP :
# cat ip.list 61.129.*.* 80.48.*.* 222.186.*.*
Note
Les astéristiques sont bien évidemment remplacées par des nombres
Si nous parcourons le fichier aldeid.ra avec le programme ra, tous les flux apparaissent :
# ra -L0 -r aldeid.ra | head -n 10
StartTime Flgs Proto SrcAddr Sport Dir DstAddr Dport TotPkts TotBytes State
06:08:58.918562 e s tcp 64.12.61.4.www <?> 192.168.1.12.37167 132 88378 CON
06:09:03.963611 e tcp 64.12.61.4.www <?> 192.168.1.12.37167 122 84797 CON
06:09:08.965967 e tcp 64.12.61.4.www <?> 192.168.1.12.37167 122 90001 CON
06:09:13.990542 e tcp 64.12.61.4.www <?> 192.168.1.12.37167 123 85015 CON
06:09:16.243224 e arp 192.168.1.12 who 192.168.1.1 2 102 CON
06:09:19.013849 e tcp 64.12.61.4.www <?> 192.168.1.12.37167 123 88143 CON
06:09:24.043403 e tcp 64.12.61.4.www <?> 192.168.1.12.37167 123 86315 CON
06:09:29.081129 e tcp 64.12.61.4.www <?> 192.168.1.12.37167 132 88380 CON
06:09:34.100254 e tcp 64.12.61.4.www <?> 192.168.1.12.37167 125 87422 CON
Si nous confions maintenant la lecture à rafilter, en sépcifiant comme source de fichier celui que nous avons créé, nous obtenons :
# rafilteraddr -L0 -r aldeid.ra -f ip.list
StartTime Flgs Proto SrcAddr Sport Dir DstAddr Dport TotPkts TotBytes State
07:18:52.107299 e tcp 61.129.*.*.kpop -> 192.168.1.12.ssh 1 62 REQ
07:55:14.272094 e tcp 80.48.*.*.11516 -> 192.168.1.12.ssh 1 62 REQ
08:23:55.058997 e tcp 222.186.*.*.51790 -> 192.168.1.12.ssh 1 62 REQ
09:33:50.641448 e tcp 222.186.*.*.33004 -> 192.168.1.12.ssh 1 62 REQ