[port139ml:02594] Re: syunlog version 0.21

[syun <syun@xxxxxxx>]

syunです。

>>私も始めはいらないと思ったんですが、世の中には、
>>７つめのフラグを立ててポートスキャンしたりする技が
>>あるので、対応しておかないといけないと思いました。
>
>ぬあぁ、不勉強ですいません。
>
>実際に 7 とか 8 ビット目が立っている時、表示上はなんと
>でるのでしょうか？ X , Y とかでしょうか？

これ迷ったんですが、いまは、6 とか 7 とでます。

    static flag_tbl tbl[]={
        {'F', TH_FIN},  // 0x01
        {'S', TH_SYN},  // 0x02
        {'R', TH_RST},  // 0x04 
        {'P', TH_PUSH}, // 0x08
        {'A', TH_ACK},  // 0x10
        {'U', TH_URG},  // 0x20
        {'6',   0x40},  // 0x40
        {'7',   0x80},  // 0x80
        {'\0', 0}
    };

すいませんださくて :(

nmap-3.00/tcpip.hでは、私が「6」と書いているところを、
TH_BOGUS とか TH_BOGでDefine切っているからか、「B」を
使っています。

iplog-2.2.3/src/iplog_tcp.cでは「TH_BOGは0xC0」として
います。これは、0x40 + 0x80 = 0xC0 という事です。
これは、どっちのフラグも普通はたてないので、「どちらか
でも立っていたら不正アクセスと診断」というところです。

monyologのソースを確認すると「E」と「C」を出していますね。

表示位置で分かるので、何を出しても良いと思うのですが、
「ふつ〜○○だよ」というのがあればそうしたいと思います。