Определить сканирование - Сети

shuron · 19.06.2004, 13:44

Сразу скажу я в сетях и в линуксе, сравнительный новичёк..
но имменно эти темы больше всего интересуют..

А имменно если у меня линукс как роутер стоит как можно проследить что порты сканируют.. какие проги используют? и вообще как это?
дагадываюсь что iptables можно настроить так чтобы логи писала...?

способы под винду тоже интересны..

K0riN · 19.06.2004, 14:27

Смотри в сторону portsentry, LIDS, Snort

shuron · 19.06.2004, 14:56

А можно поточнее, я про эти штуки в первый раз слышу

K0riN · 19.06.2004, 15:04

PortsEntry - Программа позволяющая в реальном режиме времени определить и блокировать попытки сканирования UDP и TCP портов сервера. Определяются также скрытые попытки сканирования портов (SYN/half-open, FIN, NULL, X-MAS, oddball).

Snort - Система анализа и слежения (ведения логов) за проходящими пакетами, распознаются такие атаки как "buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts". Присутствует возможность real-time извещения администратора при обнаружении атаки.

LIDS - это Linux Intrusion Detection/Defence System - система обнаружения и защиты от вторжения.

Поточнее - _http://linux.opennet.ru

shuron · 19.06.2004, 16:09

ого! тут целый комплекс оказывается..
с таким пакетом можно уже наверное более менее полноценную защиту выстроить..
а пока мне ещё читать и читать!
спасибо! лови "одобрение"

SinClaus · 19.06.2004, 20:34

Только вот Снорт выдает СТОЛЬКО предупреждений, что волосы дыбом встают... Довольно трудно отстроить его так, что бы был полезен.

shuron · 19.06.2004, 20:59

ги ги SinClaus а ты тогда чем пользуешся?
я так понимаю эти проги в дистрибутив debian не входят да..

K0riN · 19.06.2004, 21:10

SinClaus, посмотри доку по настройке. Я по ней настроил нужные мне правила. Думаю, если попробуешь разобраться, то и количество сообщений можно будет конкретно сократить.

shuron · 19.06.2004, 23:20

нештяк класно!!,
жаль что время сейчас нет разобратся.. с этим всем..
Вот через неделю.. буду наверное вас новыми вопросами валить..
А пока если ещё подобная инфа у когонибудь есть кидайте
например по выше упомянутым snort, PortsEntry... или другим
всем спасибо!

SinClaus · 21.06.2004, 13:08

SNORT стоит на FreeBSD, сейчас регистрируются в пределах 10 - 15 разных типов событий (в зависимости от активности). Но вот кто-нибудь пробовал отучить его воспринимать как атаку активное FTP соединение со скоростью закачки 5 - 10 Mbyte/sec? Соединение очень шустро перебирает адреса...

19.06.2004, 13:44	# 1
shuron Full Member Регистрация: 16.09.2003 Сообщения: 793	Определить сканирование Сразу скажу я в сетях и в линуксе, сравнительный новичёк.. но имменно эти темы больше всего интересуют.. А имменно если у меня линукс как роутер стоит как можно проследить что порты сканируют.. какие проги используют? и вообще как это? дагадываюсь что iptables можно настроить так чтобы логи писала...? способы под винду тоже интересны..

19.06.2004, 14:27	# 2
K0riN Member Регистрация: 03.10.2002 Адрес: Украина, Донецк Сообщения: 368	Смотри в сторону portsentry, LIDS, Snort __________________ - Интересно начинать жизнь с нуля. Седьмого после единицы.

19.06.2004, 15:04	# 4
K0riN Member Регистрация: 03.10.2002 Адрес: Украина, Донецк Сообщения: 368	PortsEntry - Программа позволяющая в реальном режиме времени определить и блокировать попытки сканирования UDP и TCP портов сервера. Определяются также скрытые попытки сканирования портов (SYN/half-open, FIN, NULL, X-MAS, oddball). Snort - Система анализа и слежения (ведения логов) за проходящими пакетами, распознаются такие атаки как "buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts". Присутствует возможность real-time извещения администратора при обнаружении атаки. LIDS - это Linux Intrusion Detection/Defence System - система обнаружения и защиты от вторжения. Поточнее - _http://linux.opennet.ru __________________ - Интересно начинать жизнь с нуля. Седьмого после единицы.

19.06.2004, 20:34	# 6
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 328	Только вот Снорт выдает СТОЛЬКО предупреждений, что волосы дыбом встают... Довольно трудно отстроить его так, что бы был полезен. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

21.06.2004, 13:08	# 10
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 328	SNORT стоит на FreeBSD, сейчас регистрируются в пределах 10 - 15 разных типов событий (в зависимости от активности). Но вот кто-нибудь пробовал отучить его воспринимать как атаку активное FTP соединение со скоростью закачки 5 - 10 Mbyte/sec? Соединение очень шустро перебирает адреса... __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

19.06.2004, 14:56	# 3
shuron Full Member Регистрация: 16.09.2003 Сообщения: 793	А можно поточнее, я про эти штуки в первый раз слышу

19.06.2004, 16:09	# 5
shuron Full Member Регистрация: 16.09.2003 Сообщения: 793	ого! тут целый комплекс оказывается.. с таким пакетом можно уже наверное более менее полноценную защиту выстроить.. а пока мне ещё читать и читать! спасибо! лови "одобрение"

19.06.2004, 20:59	# 7
shuron Full Member Регистрация: 16.09.2003 Сообщения: 793	ги ги SinClaus а ты тогда чем пользуешся? я так понимаю эти проги в дистрибутив debian не входят да..

19.06.2004, 23:20	# 9
shuron Full Member Регистрация: 16.09.2003 Сообщения: 793	нештяк класно!!, жаль что время сейчас нет разобратся.. с этим всем.. Вот через неделю.. буду наверное вас новыми вопросами валить.. А пока если ещё подобная инфа у когонибудь есть кидайте например по выше упомянутым snort, PortsEntry... или другим всем спасибо!