Manual de IPPL - Uso

Una de las preguntas frecuentes es el uso real que se puede hacer de esta herramienta. Es decir, yo tengo logueado todas las conexiones pero de que me puede servir eso?

---

Pues la utilidad es tan grande como nosotros de imaginativos, uno de los ejemplos mas claros puede ser, por ejemplo, desde que ip han intentando conectarse al ftp hasta quien me ha hecho un scaneo de puertos.

---

Con la utilizacion de un simple tail(nos muestra las ultimas filas de un archivo), somos capaces de verlo:

---

# tail -n 2000 /var/log/tcp_ippl.log | grep port 21        podriamos ver quien se ha conectado al puerto 21

---

# tail -n 500 /var/log/tcp_ippl.log | more     imaginaros que en el rsultado, revisandolo obtenemos algo parecido a lo siguiente(es un trozo de mi fichero tcp_ippl):

---

Sep 24 02:13:17 port 494 connection attempt from 217.127.170.XX (217.127.170.XX:42617->80.33.200.XX:494)---Sep 24 02:13:18 port 581 connection attempt from 217.127.170.XX (217.127.170.XX:42621->80.33.200.XX:581)---Sep 24 02:13:18 port 581 connection attempt from 217.127.170.XX (217.127.170.XX:42599->80.33.200.XX:581)---Sep 24 02:13:20 port 5631 connection attempt from 217.127.170.XX (217.127.170.XX:42618->80.33.200.XX:5631)---Sep 24 02:13:20 port 5714 connection attempt from 217.127.170.XX (217.127.170.XX:42620->80.33.200.XX:5714)---Sep 24 02:13:22 port 881 connection attempt from 217.127.170.XX (217.127.170.XX:42622->80.33.200.XX:881)---Sep 24 02:13:22 port 576 connection attempt from 217.127.170.XX (217.127.170.XX:42631->80.33.200.XX:576)---Sep 24 02:13:25 port 1447 connection attempt from 217.127.170.XX (217.127.170.XX:42632->80.33.200.XX:1447)---Sep 24 02:13:25 port 1502 connection attempt from 217.127.170.XX (217.127.170.XX:42634->80.33.200.XX:1502)---Sep 24 02:13:27 port 380 connection attempt from 217.127.170.XX (217.127.170.XX:42640->80.33.200.XX:380)---Sep 24 02:13:27 port 1422 connection attempt from 217.127.170.XX (217.127.170.XX:42641->80.33.200.XX:1422)---Sep 24 02:13:28 port 1723 connection attempt from 217.127.170.XX (217.127.170.XX:42642->80.33.200.XX:1723)---Sep 24 02:13:31 port 472 connection attempt from 217.127.170.XX (217.127.170.XX:42643->80.33.200.XX:472)---Sep 24 02:13:31 port 395 connection attempt from 217.127.170.XX (217.127.170.XX:42644->80.33.200.XX:395)---Sep 24 02:13:31 port 844 connection attempt from 217.127.170.XX (217.127.170.XX:42645->80.33.200.XX:844)------Alguien en menos de 15 segundos a intentado conectarse a distintos puertos, de los cuales tu no ofreces servicios, eso es lo que conocemos como un escaneo de puertos y la ip 217.127.170.XX esta escanenado a tu ordenador(80.33.200.XX). Por lo que podremos prevenir un posible ataque denegando inmediatamente cualquier conexion con dicha ip.

---

Con el uso de script en bash, o con algun mini programilla en c/c++ podremos hacer que lo busque el solito en el fichero y que nos habise. Como podeis ver las posibilidades son casi ilimitadas.