 |
Bezpieczeństwo systemów Linux'owych |
|
Linux Security - Skanowanie
|
|
Wykrywanie skanowania
 |
| [1] [2] [3] [4] |
|
|
Dobrym narzędziem do wykrywania skaningu jest program
Abacus Sentry.
Działa on na trzy sposoby:
Program ten umożliwia nam także odpowiednie zareagowanie na atak
poprzez np. włączenie firewalla lub wyłączenie jakiś adresów ip z routingu.
Można do tego wykorzystać np. program ipchains.
Należy przedtem odpowiednio skonfigurować plik sentry.conf:
|
[root@localhost]# cat sentry.conf .. .. KILL_ROUTE="/sbin/ipchains -A input -j DENY -s $TARGET$ -l ; echo $TARGET$| mail root" .. .. |
|
Efektem tego będzie blokada IP skanującego komputera i wysłanie sobie
maila informującego o próbie skanowania naszego komputera.
Program ten ma tez opcje ignorowania np. pierwszych paru połączeń, lub stworzenie listy zaufanych hostów, które nie będą sprawdzane. |
|
KLAXON
|
|
Jest także prostsza metoda wykrycia skanowania po przez użycie narzędzia zwanego Klaxon. Wystarczy tylko umieścić odwołanie w miejscu nie używanej przez nas usługi a często skanowanej:
|
[root@localhost]# cat /etc/inetd.conf .. .. pop-2 stream tcp nowait root /usr/sbin/klaxon/ klaxon.5x klaxon imapd pop-3 stream tcp nowait root /usr/sbin/tcpd imapd .. .. [root@localhost]# killall -HUP inetd |
Teraz wystarczy tylko sprawdzać w pliku /var/log/messages czy były
jakieś odwołania do wskazanego portu.
|
ICMP - Pine - Fork - Firewall - Bezpieczne partycje
Suidy - Skanowanie - Word exportable - Backdoor'y - Sumy kontrolne
Perl - Logrotate - Shell przez WWW - Forum - Księga gości - Statystka - Linki
Kontakt: tronix@2com.pl
Copyright by Tronix (c)2001 All Rights Reserved