자료출처
Afterglow 는 psad에 의해 모니터링 되고있는 iptables 로그메세지를 비쥬얼적으로 이미지형태로 만들어주는 프로그램입니다.
시스템내 남겨진 iptables 로그를 기반으로 해당 로그를 시각화하기 좋게 이미지파일로 만듭니다.
※ psad는 IDS와 비슷한형태로 운영되며 iptables 로그 메시지를 이용하여 탐지, 경고, 그리고 (선택적으로) 포트 스캔과 같은 의심스러운 트래픽을 모니터링
테스트를 위해 80번 포트로 접근하는 모든 포트에 대해 로그를 남기고 분석하도록 하겠습니다.
시스템 iptables 로그 남기기
# iptables -I RH-Firewall-1-INPUT -p tcp --dport 80 -j LOG --log-prefix "80_ACCESS_LOG:"
설치
# yum install perl
# wget http://search.cpan.org/CPAN/authors/id/E/ER/ERANGEL/Text-CSV-0.5.tar.gz
# tar zxvf Text-CSV-0.5.tar.gz
# cd Text-CSV-0.5
# perl Makefile.PL
# make
# make install
# yum install graphviz
# wget http://downloads.sourceforge.net/project/afterglow/AfterGlow%201.x/1.6.2/afterglow-1.6.2.tar.gz
# tar zxvf afterglow-1.6.2.tar.gz
# cd afterglow
# yum install psad
# touch /var/log/firewall.log
# psad --CSV --CSV-fields "src dst dp sp" --CSV-max 1000 -m /var/log/firewall.log | perl /usr/local/src/afterglow/src/perl/graph/afterglow.pl -c /usr/local/src/afterglow/src/perl/parsers/color.properties | neato -Tjpg -o iptable_graph03.jpg
RED - IP addresses external to the honeynet (attackers, scanners, etc.)
YELLOW - Honeynet IP addresses
BLUE - Port numbers (> 1024)
LIGHTBLUE - Port numbers (<= 1024)
