Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Ravol

portsentry

Рекомендованные сообщения

Основные возможности Portsentry:

  1. Обнаруживает практически все известные виды сканирования Unix-машин: TCP connect(), SYN/half-open, Null, XMAS и т.д.
  2. В реальном времени блокирует хост сканировщика посредством установленного на атакуемом компьютере firewall'а (для Linux 2.2.x - ipchains), команду запуска которого можно задать в файле конфигурации.
  3. Записывает в логи посредством syslogd информацию об атаке.
  4. Вызывает любую указанную тобой в файле конфигурации программу, в ответ на сканирование или подключение к защищенному portsentry порту, параметрами программы могут являтся IP-адрес атакующего хоста и атакуемый порт.

PortSentry обеспечивает универсальный способ обнаруживать просмотр портов на хосте и соответственно реагировать на такой просмотр. Хотя и нужно аккуратно использовать методы ответа на возможные нападения, PortSentry все же обеспечивает хорошую первую линию защиты против нападений.

Здесь описание настроек

 

Все работает!

Вот стандартные логи, например.

Сканирование "на заказ", с помощью специальных сервисов.

Oct  6 12:42:53 *-desktop portsentry[5484]: attackalert: Connect from host: 195.245.50.2/195.245.50.2 to UDP port: 161
Oct  6 12:42:53 *-desktop portsentry[5484]: attackalert: Host: 195.245.50.2 is already blocked. Ignoring

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах