Детектори за сканиране на Linux машина

Онлайн магазин за дамски и мъжки дрехи

Детектори за сканиране на Linux машина

Преди да бъде направен пробив в системата ви,хакерът обикновено първо я сканира през мрежата.Ако имате софтуер,който да ви алармира за такова сканиране -значи имате предимство,защото можете да изключите машината си или да предотвратите атаката.Детекторите за сканиране са част от добрата практика ,да проверявате системата си за откриване на пробиви и ви алармират кога се извършва сканиране.

Има няколко детектора:

Klaxon – прост детектор за сканиране и се изпълнява от inetd и се конфигурира така, че да слуша различни портове,които не се използват.Файла изглежда така:

/ect /inetd.conf :

– discart          srteam  TCP nowait root /path / to / klaxon   klaxon  discart

– pop3             srteam  TCP nowait root /path / to / klaxon   klaxon  pop3

– netbios-ns   srteam  TCP nowait root /path / to / klaxon   klaxon   netbios-ns

– imap2          srteam  TCP nowait root /path / to / klaxon   klaxon    imap2

След като се създаде връзка с някои от тези портове Klaxon регистрира връзката чрез syslog и излиза.Klaxon има и недостатък – не може да открива стелт скенери.

Courtney – детектор,който проверява за сканирания и ги докладва чрез syslog, като изпълнява програма за проверка на пакети-  tcpdump и броя на връзките създадени от отдалечени хостове.Ако броя на връзките надмине определен брой , Courtney веднага разпознава това като сканеране.С две думи Courtney е създаден ,за да открива всеки скенер,който  създава заявки към сървъра.Въпреки това съществуват и скенери,които са създадени да работят с по-бавна скорост,което не се разпознава от Courtney, като заплаха.Този детектор работи,като разчита на ядрото tcpdumpза слушане на пакети,но то може да се претовари и да пропусне някои,по време на висок тряфик.

Scanlogd – това е самостоятелен демон да откриване сканиране на вашата система,като наблюдава входящите връзки. Scanlogd приема ,че се прави сканиране на порт,ако открие седем уникални привилегировани порта < 1024 , 21 непривилегировани порта > 1024 или определена комбинация от двете в рамките на три секунди,както и ако открие повече от пет сканирания в рамките на 20 секунди,то Scanlogd автоматично прекъсва докладването на сканирания от хоста.Сканиранията се записват в syslog файлове :

– source_addr to dest_addr ports port , port , …… , TCP_flags @time

TCP_flags – това са изброените контролни битаве в самите пакети

nmapsсканиране на локален хост ,може да създаде syslog съобщения като:

– scanlogd : 127.0.0.1 ports 47161 , 835 , 6110 , 889 ……., f?? pouxy, TOS 00 @17 :19 :00

 

 

 

 

Онлайн магазин за дамски и мъжки дрехи
CLOSE
CLOSE

Компютри втора ръка