主題: [分享]在NAT上面看大家的即時通在聊些什麼

[SaPow]

雖然說早就有很多側錄設備能做, 也做得更好,但是免錢還是有免錢的作法

注意事項: 請基於職業道德的使用本套件

===============================================
套件說明: Imspector 是一套 IM Proxy ,支援 MSN ICQ YAHOO IRC 的通訊協定, 通常安裝於NAT主機上
官方網址: http://www.imspector.org/

我的測試平台:
OS: CentOS 4.4

1. 先下載 http://www.imspector.org/downloads/imspector-0.3.tar.gz
2. 解壓縮  tar zxf imspector-0.3.tar.gz ; cd imspector-0.3/
3. 若要支援 MYSQL 或 SQLITE請依需求自行修改 Makefile 的這一行 (我只有使用 mysql ) 所以我改成 ADD_PLUGINS = mysqlloggingplugin.so
4. make && make install
5. 設定檔在 /usr/etc/imspector/imspector.conf 請依需求自行修改要監控的協定和 MySQL 的設定
6. 建立一個 database ,名稱同設定檔內的名稱, 內容如下:

代碼: [選擇]

CREATE TABLE `messages` (
   `id` int(11) NOT NULL auto_increment,
   `timestamp` int(11) NOT NULL default '0',
   `protocolname` text NOT NULL,
   `type` int(11) NOT NULL default '0',
   `localid` text NOT NULL,
   `remoteid` text NOT NULL,
   `eventdata` blob NOT NULL,
   PRIMARY KEY  (`id`)
) ENGINE=MyISAM AUTO_INCREMENT=1929 DEFAULT CHARSET=utf8;
7. shell> imspector -c /usr/etc/imspector/imspector.conf 執行
8. 將 IM 的連線導到 imspector ( 預設 tcp 16667 )
   MSN: iptables -t nat -A PREROUTING -p tcp --destination-port 1863 -j REDIRECT --to-ports 16667
   ICQ/AIM: iptables -t nat -A PREROUTING -p tcp --destination-port 5190 -j REDIRECT --to-ports 16667
   Yahoo: iptables -t nat -A PREROUTING -p tcp --destination-port 5050 -j REDIRECT --to-ports 16667
   IRC: iptables -t nat -A PREROUTING -p tcp --destination-port 6667 -j REDIRECT --to-ports 16667
9. 到 /var/log/imspector 下可以看到 IM 的對話 LOG
10. 官方並未提供web的介面來查詢觀看對話, 這部分要自己寫程式去資料庫裡面撈資料

我實測過 MSN 及 Yahoo即時通確定都可以正常, ICQ 和 IRC 我沒用過, 但應該也OK

附件 imspector_eric.tgz 為朋友 eric 幫寫的簡單 web 查詢介面, 連結在下面

http://www.badongo.com/file/3325015

[aweisoft]

看別人在聊什麼要幹嘛呢？
在什麼情況下會用到這個呢？
在公司.........會有必要嗎？

[jonathan_lwo]

如果我是user
有沒有什麼方法
可以知道自己上msn 、即時通時，被監聽了嗎…

[日京三子]

如果我是user
有沒有什麼方法
可以知道自己上msn 、即時通時，被監聽了嗎…

問MIS、看公司公文........

[mydarren]

http://www.badongo.com/cn/file/3325015

無法下載 , 出現 "您輸入了一個無效代碼"

可以再分享此檔案 imspector_eric.tgz 謝謝~

[kenduest]

http://www.badongo.com/cn/file/3325015

無法下載 , 出現 "您輸入了一個無效代碼"

可以再分享此檔案 imspector_eric.tgz 謝謝~

用 ie 取代 firefox 就可以了 ?

--

[mydarren]

關掉 transparent proxy 就可以了謝謝喔~

[93949394]

http://www.badongo.com/cn/file/3325015

無法下載 , 出現 "您輸入了一個無效代碼"

可以再分享此檔案 imspector_eric.tgz 謝謝~

http://wwwdev.badongo.com/cn/file/3325015
改用以上這一個都可以

[chenrui]

http://www.badongo.com/cn/file/3325015

無法下載 , 出現 "您輸入了一個無效代碼"

可以再分享此檔案 imspector_eric.tgz 謝謝~

http://wwwdev.badongo.com/cn/file/3325015
改用以上這一個都可以

改成 http://wwwdev.badongo.com/cn/file/3325015 這個出現無法顯示該網頁, 能否再提供? 謝謝.

[andyj]

這個看起來比較輕鬆

我們的作法
1.使用msniff 去擷取
2.由Linux將Log轉送到MSSQL
3.使用vb.net拆解並重新排序後放回資料庫
4.使用Asp.Net跑Report 看報表

------------------------------------------------------------------------------

問我為什麼要放在MSSQL ?
1.有軟體
2.不會MYSQL

問我為什麼要用ASP.NET ?
因為我不會PHP >,<

[小徒兒]

Andy大大:

你們公司好霹靂喔!  :roll:

[andyj]

Andy大大:

你們公司好霹靂喔!  :roll:

其實都麻只有留存，沒有人看過...
害我好想把紀錄清掉..

[adolph]

這種東西最好不要看會比較好，剛開始看會很震撼，看多了就會開始不相信人。
知道那個人越多隱私，你看那個人的眼神會不自覺的改變，尤其他有不可告人的事情的時候。

結論就是：上面要求就做，但是不要太好奇，到後來你會後悔看了那些東西。

[andyj]

這種東西最好不要看會比較好，剛開始看會很震撼，看多了就會開始不相信人。
知道那個人越多隱私，你看那個人的眼神會不自覺的改變，尤其他有不可告人的事情的時候。

結論就是：上面要求就做，但是不要太好奇，到後來你會後悔看了那些東西。

我是坐起來，確認報表看得到，就不去理他了....
至於偽什麼知道沒人看是因為...沒人問我怎麼看...

[apage]

已經實做成功...不過需要 MySQL Source 才能把 mysqlloggingplugin.so
給 build 出來。

[linux12399]

試了之後,user反應msn常常無法登入,不知道為什麼?是不是
MSN: iptables -t nat -A PREROUTING -p tcp --destination-port 1863 -j REDIRECT --to-ports 16667
導致的?

[linux12399]

請教SaPow前輩:
先謝謝您分享那麼多的文章,真的很棒!
可否請教您imspector軟體
這行shell> imspector -c /usr/etc/imspector/imspector.conf 執行是甚麼意思?
是不是在root下輸入--->#imspector -c /usr/etc/imspector/imspector.conf
那是每天要執行否?
為什麼今天有資料,而明天就沒資料進來了,好像要重開機才有進來???
謝謝SaPow前輩

[日京三子]

這行shell> imspector -c /usr/etc/imspector/imspector.conf 執行是甚麼意思?

單純只是去讀取設定檔案而已。

[linux12399]

謝謝日京三子博士蒞臨指導！

[linux12399]

報告榮譽博士前輩:
方便否?再請教一下下  
剛剛有照您的方法check如下:

[root@nat imspector]# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 redir ports 16667REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 192.168.168.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



[root@nat imspector]# netstat -nat
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:16667 0.0.0.0:* LISTEN
tcp 0 0 59.124.32.169:35685 207.68.179.219:80 ESTABLISHED
tcp 1370 0 192.168.168.88:16667 192.168.168.183:1450 ESTABLISHED
tcp 0 0 59.124.32.169:48254 116.214.2.211:80 TIME_WAIT
tcp 0 0 59.124.32.169:48292 116.214.2.211:80 TIME_WAIT
tcp 0 0 59.124.32.169:34773 116.214.2.211:80 TIME_WAIT
tcp 0 0 59.124.32.169:41667 207.68.179.219:80 ESTABLISHED
tcp 0 0 192.168.168.88:3128 192.168.168.183:1955 ESTABLISHED
tcp 0 0 192.168.168.88:3128 192.168.168.183:1954 TIME_WAIT
tcp 0 0 192.168.168.88:3128 192.168.168.183:1952 ESTABLISHED
tcp 0 0 59.124.32.169:45830 207.46.111.26:1863 ESTABLISHED
tcp 0 0 59.124.32.169:50650 116.214.2.211:80 TIME_WAIT
tcp 0 1460 192.168.168.88:3128 192.168.168.183:1931 ESTABLISHED
tcp 0 0 192.168.168.88:3128 192.168.168.183:1930 TIME_WAIT
tcp 0 0 192.168.168.88:3128 192.168.168.183:1929 TIME_WAIT
tcp 0 0 192.168.168.88:3128 192.168.168.183:1928 ESTABLISHED
tcp 0 0 192.168.168.88:3128 192.168.168.183:1935 TIME_WAIT
tcp 0 0 59.124.32.169:52824 116.214.2.211:80 TIME_WAIT
tcp 0 0 192.168.168.88:3128 192.168.168.183:1934 TIME_WAIT
tcp 0 0 192.168.168.88:3128 192.168.168.183:1932 ESTABLISHED
tcp 0 0 192.168.168.88:3128 192.168.168.183:1939 TIME_WAIT
tcp 0 0 192.168.168.88:3128 192.168.168.183:1938 TIME_WAIT
tcp 0 0 192.168.168.88:3128 192.168.168.183:1937 ESTABLISHED
tcp 0 0 192.168.168.88:3128 192.168.168.183:1941 ESTABLISHED
tcp 0 0 192.168.168.88:3128 192.168.168.183:1946 TIME_WAIT
tcp 0 0 192.168.168.88:3128 192.168.168.183:1945 TIME_WAIT
tcp 0 0 192.168.168.88:3128 192.168.168.183:1944 TIME_WAIT
tcp 0 0 192.168.168.88:3128 192.168.168.183:1951 ESTABLISHED
tcp 0 0 192.168.168.88:3128 192.168.168.183:1950 ESTABLISHED
tcp 0 0 192.168.168.88:3128 192.168.168.183:1949 ESTABLISHED
tcp 0 0 59.124.32.169:60828 203.188.204.186:80 ESTABLISHED
tcp 0 0 192.168.168.88:3128 192.168.168.183:1888 ESTABLISHED
tcp 0 0 59.124.32.169:54146 203.84.196.97:80 TIME_WAIT
tcp 0 0 59.124.32.169:56573 203.84.196.97:80 TIME_WAIT
tcp 0 0 192.168.168.88:3128 192.168.168.183:1899 ESTABLISHED
tcp 0 0 59.124.32.169:58762 203.188.205.184:80 ESTABLISHED
tcp 0 0 59.124.32.169:58855 203.188.204.186:80 TIME_WAIT
tcp 6 0 192.168.168.88:16667 192.168.168.149:3073 CLOSE_WAIT
tcp 0 0 192.168.168.88:3128 192.168.168.183:1900 ESTABLISHED
tcp 0 0 59.124.32.169:51243 203.84.196.97:80 TIME_WAIT
tcp 0 0 59.124.32.169:51382 203.84.196.97:80 TIME_WAIT
tcp 0 0 59.124.32.169:51671 203.84.196.97:80 TIME_WAIT
tcp 0 1 59.124.32.169:40241 203.84.196.97:80 LAST_ACK
tcp 0 0 59.124.32.169:42650 203.188.204.186:80 TIME_WAIT
tcp 0 416 59.124.32.169:40392 203.84.196.97:80 ESTABLISHED
tcp 0 0 192.168.168.88:3128 192.168.168.183:1834 ESTABLISHED
tcp 0 0 59.124.32.169:48652 203.188.204.186:80 TIME_WAIT
tcp 0 0 59.124.32.169:46193 203.84.196.97:80 TIME_WAIT
tcp 0 0 59.124.32.169:45617 203.84.196.97:80 TIME_WAIT
tcp 0 0 59.124.32.169:45667 203.84.196.97:80 TIME_WAIT
tcp 0 464 59.124.32.169:48214 203.84.196.97:80 ESTABLISHED
tcp 0 0 59.124.32.169:33978 203.188.204.186:80 TIME_WAIT
tcp 0 0 59.124.32.169:33159 203.188.204.186:80 TIME_WAIT
tcp 0 0 59.124.32.169:42230 203.84.196.97:80 TIME_WAIT
tcp 0 0 59.124.32.169:42483 203.84.196.97:80 TIME_WAIT
tcp 0 0 59.124.32.169:40268 203.188.204.186:80 TIME_WAIT
tcp 0 0 59.124.32.169:40082 203.188.204.186:80 TIME_WAIT
tcp 0 0 59.124.32.169:42911 203.84.196.97:80 TIME_WAIT
tcp 0 0 59.124.32.169:39740 203.188.204.186:80 ESTABLISHED
tcp 0 0 59.124.32.169:39754 203.188.204.186:80 ESTABLISHED
tcp 0 0 59.124.32.169:44642 203.84.196.97:80 TIME_WAIT
tcp 0 0 59.124.32.169:43215 203.84.196.97:80 TIME_WAIT
tcp 0 0 192.168.168.88:16667 192.168.168.183:1107 ESTABLISHED
tcp 0 0 :::80 :::* LISTEN
tcp 0 0 :::22 :::* LISTEN
tcp 0 0 :::443 :::* LISTEN
tcp 0 132 ::ffff:192.168.168.88:22 ::ffff:192.168.168.3:4925 ESTABLISHED

如上,好像都沒問題耶,怎麼辦???

[linux12399]

請教前輩:
不知這套imspector軟體是否能備份'檔案'--->利用msn上傳的檔案~?

[linux12399]

請教博士前輩:
1.如果有人利用msn上傳檔案~
  不知這套imspector軟體是否能備份'檔案'--->目前只看到檔名而已
2.使用2天後就無資料了,必須重開機才又有資料進來,真是百思不解~~~
   (是IPTABLES關係否?)
 
PS:我的IPTABLES--SCRIPT如下

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 3 > /proc/sys/net/ipv4/tcp_retries1
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1400 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
echo 1 > /proc/sys/net/ipv4/ip_forward

modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t filter -F
iptables -t nat -F
iptables -t filter -X
iptables -t nat -X

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.168.0/24 -j MASQUERADE

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL FIN -j DROP

iptables -A OUTPUT -p udp -m state --state NEW --dport 53 -j ACCEPT
iptables -A FORWARD -o 59.124.32.169 -p udp -m state --state NEW --dport 53 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --destination-port 1863 -j REDIRECT --to-port 16667iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

謝謝博士

[jaymsa]

各位好:
小弟在make的時候出現:
mysqlloggingplugin.cpp:172: error: `mysql_stmt_execute' undeclared (first use this function)
mysqlloggingplugin.cpp:174: error: `mysql_stmt_error' undeclared (first use this function)
mysqlloggingplugin.cpp:177: error: `mysql_stmt_errno' undeclared (first use this function)
mysqlloggingplugin.cpp: In function `bool connectmysql()':
mysqlloggingplugin.cpp:210: error: `stmt' undeclared (first use this function)
mysqlloggingplugin.cpp:210: error: `mysql_stmt_init' undeclared (first use this function)
mysqlloggingplugin.cpp:216: error: `mysql_stmt_prepare' undeclared (first use this function)
mysqlloggingplugin.cpp:218: error: `mysql_stmt_error' undeclared (first use this function)
類似的錯誤,我是安裝最新的imspector-0.5.tar.gz 版本,我的mysql版本如下:
mysql-devel-3.23.58-16.FC3.1
mysql-3.23.58-16.FC3.1
php-mysql-4.3.11-2.8
mysql-debuginfo-3.23.58-16.FC3.1
mysql-bench-3.23.58-16.FC3.1
libdbi-dbd-mysql-0.6.5-9
mysql-server-3.23.58-16.FC3.1
mod_auth_mysql-20030510-5
會是版本太舊還是需要安裝甚麼套件?

[SaPow]

目前官方出到 0.7版,有內建cgi 方便查看對話記錄, cgi 是去讀取 /var/log/imspector/ 下的記錄, 而不是去讀取資料庫

cgi 本身並沒有驗證機制, 讀的到 cgi 就看的到對話記錄, 這點請自行利用 .htaccess 處理或修改 <Directory "/var/www/cgi-bin"> 相關設定

下圖是官方內建的 cgi 介面

[TyroneYeh]

目前官方出到 0.7版,有內建cgi 方便查看對話記錄, cgi 是去讀取 /var/log/imspector/ 下的記錄, 而不是去讀取資料庫

看過官方的 Viewer 還不錯!

不過小弟自己寫了個 PHP + ajax 版畫面如下, 參考官方的介面! 但此版是用 MySQL 資料庫版本!!

使用 IMSpector 0.8 與 daily snapshots 的 imspector-20090115 版本測試正常!

測試環境:
1. Gentoo Linux 2.6.27-gentoo-r2 x86_64
2. PHP 5.2.8-pl1-gentoo
3. MySQL 5.0.72-log Gentoo Linux mysql-5.0.72-r1

額外元件:
1. Smarty 2.6.21
2. php Adodb 5.07
3. prototype 1.6.0.3.js

[attachment=1]

[TyroneYeh]

經過幾天的測試，感覺應該沒什麼大問題了!

不過沒附 adodb 跟 smarty 因為我這兩個套件是放在 /usr/share/php 下!
如果都沒有 就要把這兩個元件放到同目錄中!!

有需要且已有用 imspector 的大大，可以試試看附加檔案哦!!
不過需要 pm 給我索取密碼 #_#, 謝謝囉!

[andyj]

Imspector 我測試了一下

怎麼紀錄都只有我的可以顯示address出來
其他人的都只有顯是groupchatxxxxx呢?

諸位大德也是一樣嗎??

另外我測了一下，確實可以由他來將file transfer功能關閉...在Log中也會顯示...

[TyroneYeh]

可以試看看它的 snapshots 版本會不會
http://www.imspector.org/downloads/snapshots/

我是有看過有些會這樣，但用 snapshots 版後就少很多了!

[andyj]

可以試看看它的 snapshots 版本會不會
http://www.imspector.org/downloads/snapshots/

我是有看過有些會這樣，但用 snapshots 版後就少很多了!

感謝TyroneYeh

換個您提供路徑的版本就正常了...
之前從頭到尾都會顯示groupchat...