Определить сканирование
 

Сразу скажу я в сетях и в линуксе, сравнительный новичёк..
но имменно эти темы больше всего интересуют..

А имменно если у меня линукс как роутер стоит как можно проследить что порты сканируют.. какие проги используют? и вообще как это?
дагадываюсь что iptables можно настроить так чтобы логи писала...?

способы под винду тоже интересны..

Смотри в сторону portsentry, LIDS, Snort

А можно поточнее, я про эти штуки в первый раз слышу;)

PortsEntry - Программа позволяющая в реальном режиме времени определить и блокировать попытки сканирования UDP и TCP портов сервера. Определяются также скрытые попытки сканирования портов (SYN/half-open, FIN, NULL, X-MAS, oddball).

Snort - Система анализа и слежения (ведения логов) за проходящими пакетами, распознаются такие атаки как "buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts". Присутствует возможность real-time извещения администратора при обнаружении атаки.

LIDS - это Linux Intrusion Detection/Defence System - система обнаружения и защиты от вторжения.

Поточнее - _http://linux.opennet.ru

ого! тут целый комплекс оказывается..
с таким пакетом можно уже наверное более менее полноценную защиту выстроить..
а пока мне ещё читать и читать!
спасибо! лови "одобрение";) :beer: :yees:

Только вот Снорт выдает СТОЛЬКО предупреждений, что волосы дыбом встают... Довольно трудно отстроить его так, что бы был полезен.

ги ги SinClaus а ты тогда чем пользуешся?
я так понимаю эти проги в дистрибутив debian не входят да..

SinClaus, посмотри доку по настройке. Я по ней настроил нужные мне правила. Думаю, если попробуешь разобраться, то и количество сообщений можно будет конкретно сократить.

нештяк класно!!,
жаль что время сейчас нет разобратся.. с этим всем..
Вот через неделю.. буду наверное вас новыми вопросами валить..
А пока если ещё подобная инфа у когонибудь есть кидайте
например по выше упомянутым snort, PortsEntry... или другим
всем спасибо!

SNORT стоит на FreeBSD, сейчас регистрируются в пределах 10 - 15 разных типов событий (в зависимости от активности). Но вот кто-нибудь пробовал отучить его воспринимать как атаку активное FTP соединение со скоростью закачки 5 - 10 Mbyte/sec? Соединение очень шустро перебирает адреса...