 |
Bezpiecze±stwo system≤w Linux'owych |
|
Linux Security - Skanowanie
|
|
Wykrywanie skanowania
 |
| [1] [2] [3] [4] |
|
|
Dobrym narzΩdziem do wykrywania skaningu jest program
Abacus Sentry.
Dzia│a on na trzy sposoby:
Program ten umo┐liwia nam tak┐e odpowiednie zareagowanie na atak
poprzez np. w│▒czenie firewalla lub wy│▒czenie jaki╢ adres≤w ip z routingu.
Mo┐na do tego wykorzystaµ np. program ipchains.
Nale┐y przedtem odpowiednio skonfigurowaµ plik sentry.conf:
|
[root@localhost]# cat sentry.conf .. .. KILL_ROUTE="/sbin/ipchains -A input -j DENY -s $TARGET$ -l ; echo $TARGET$| mail root" .. .. |
|
Efektem tego bΩdzie blokada IP skanuj▒cego komputera i wys│anie sobie
maila informuj▒cego o pr≤bie skanowania naszego komputera.
Program ten ma tez opcje ignorowania np. pierwszych paru po│▒cze±, lub stworzenie listy zaufanych host≤w, kt≤re nie bΩd▒ sprawdzane. |
|
KLAXON
|
|
Jest tak┐e prostsza metoda wykrycia skanowania po przez u┐ycie narzΩdzia zwanego Klaxon. Wystarczy tylko umie╢ciµ odwo│anie w miejscu nie u┐ywanej przez nas us│ugi a czΩsto skanowanej:
|
[root@localhost]# cat /etc/inetd.conf .. .. pop-2 stream tcp nowait root /usr/sbin/klaxon/ klaxon.5x klaxon imapd pop-3 stream tcp nowait root /usr/sbin/tcpd imapd .. .. [root@localhost]# killall -HUP inetd |
|
Teraz wystarczy tylko sprawdzaµ w pliku /var/log/messages czy by│y
jakie╢ odwo│ania do wskazanego portu.
|
ICMP - Pine - Fork - Firewall - Bezpieczne partycje
Suidy - Skanowanie - Word exportable - Backdoor'y - Sumy kontrolne
Perl - Logrotate - Shell przez WWW - Forum - KsiΩga go╢ci - Statystka - Linki
Kontakt: tronix@2com.pl
Copyright by Tronix (c)2001 All Rights Reserved