Argus-clients:Ranonymize

From aldeid
Jump to navigation Jump to search

ranonymize

Description

Ranonymize permet de masquer certaines informations d'un fichier de capture au format argus (adresses réseau, certains ports, numéros de séquence, ...). Cette opération peut être contrôlée par un fichier de configuration.

Utilisation

Paramètres

-f <conffile>
       Fichier de configuration de ranonymize

Syntaxe du fichier de configuration

Un fichier de configuration exemple (ranonymize.conf) est fourni dans le répertoire support/Config des sources de l'installation. Vous pouvez le copier dans le répertoire /etc et le modifier en fonction de vos besoins.

Exemples

Le fichier aldeid.ra, parcouru par ra, produit le résultat suivant : 

# ra -L0 -r aldeid.ra | head
        StartTime    Flgs  Proto            SrcAddr  Sport   Dir            DstAddr  Dport  TotPkts   TotBytes State
  06:08:58.918562  e s       tcp         64.12.61.4.www      <?>       192.168.1.12.37167       132      88378   CON
  06:09:03.963611  e         tcp         64.12.61.4.www      <?>       192.168.1.12.37167       122      84797   CON
  06:09:08.965967  e         tcp         64.12.61.4.www      <?>       192.168.1.12.37167       122      90001   CON
  06:09:13.990542  e         tcp         64.12.61.4.www      <?>       192.168.1.12.37167       123      85015   CON
  06:09:16.243224  e         arp       192.168.1.12          who        192.168.1.1               2        102   CON
  06:09:19.013849  e         tcp         64.12.61.4.www      <?>       192.168.1.12.37167       123      88143   CON
  06:09:24.043403  e         tcp         64.12.61.4.www      <?>       192.168.1.12.37167       123      86315   CON
  06:09:29.081129  e         tcp         64.12.61.4.www      <?>       192.168.1.12.37167       132      88380   CON
  06:09:34.100254  e         tcp         64.12.61.4.www      <?>       192.168.1.12.37167       125      87422   CON
  06:09:36.846478  e         tcp       192.168.1.12.56418     ->        192.168.1.1.smtp          2        134   RST

Le même fichier, affiché par ranonymize, produit le résultat suivant : 

# ranonymize -L0 -r aldeid.ra | head
        StartTime    Flgs  Proto            SrcAddr  Sport   Dir            DstAddr  Dport  TotPkts   TotBytes State
  06:08:58.918562  e s       tcp            1.0.2.1.www      <?>          197.0.1.1.61931       132      88378   CON
  06:09:03.963611  e         tcp            1.0.2.1.www      <?>          197.0.1.1.61931       122      84797   CON
  06:09:08.965967  e         tcp            1.0.2.1.www      <?>          197.0.1.1.61931       122      90001   CON
  06:09:13.990542  e         tcp            1.0.2.1.www      <?>          197.0.1.1.61931       123      85015   CON
  06:09:16.243224  e         arp          197.0.1.1          who          197.0.1.2               2        102   CON
  06:09:19.013849  e         tcp            1.0.2.1.www      <?>          197.0.1.1.61931       123      88143   CON
  06:09:24.043403  e         tcp            1.0.2.1.www      <?>          197.0.1.1.61931       123      86315   CON
  06:09:29.081129  e         tcp            1.0.2.1.www      <?>          197.0.1.1.61931       132      88380   CON
  06:09:34.100254  e         tcp            1.0.2.1.www      <?>          197.0.1.1.61931       125      87422   CON
  06:09:36.846478  e         tcp          197.0.1.1.15646     ->          197.0.1.2.smtp          2        134   RST

L'exemple ci-dessus montre qu'en l'absence de fichier de configuration, ranonymize n'anonymise que les adresses IP (publiques et privées). Les autres informations sont inchangées.

Retrieved from "https://www.aldeid.com/w/index.php?title=Argus-clients:Ranonymize&oldid=7998"