PSAD (Port Scan Attack Detector)
Segítségével blokkolni tudjuk a port szkenneléseket (nmap), figyeli a gyanús hálózati forgalmat, elemzi a tűzfal és a rendszer logjait, beállításoktól függően közbeavatkozik. (Megjegyzés: Amennyiben nem szimpatikus, vagy nem sikerül működésre bírni valamiért, akkor használhatjuk a portsentry nevű programot is, ugyanerre a célra készült és talán valamivel kisebb az erőforrásigénye is.)
Telepítés:
# apt-get install psad
Kiadjuk a következő parancsot:
# echo -e ’kern.info\t|/var/lib/psad/psadfifo’ >> /etc/syslog.conf
Újraindítjuk a logolásért felelős rendszert:
# /etc/init.d/sysklogd restart
# /etc/init.d/klogd
Végrehajtjuk a szükséges módosításokat a psad konfigurációs fájljában:
# nano /etc/psad/psad.conf
EMAIL_ADDRESSES e-mail címed;
HOSTNAME géped hostja;
HOME_NET NOT_USED;
IGNORE_PORTS udp/53, udp/5000; (portok, amelyeken nem végzünk figyelést)
ENABLE_AUTO_IDS Y;
IPTABLES_BLOCK_METHOD Y; (bekapcsoljuk az automatikus bannolást)
Újraindítjuk a psad-ot:
# /etc/init.d/psad restart
Bekapcsoljuk az iptables tűzfalban a logolást:
# iptables -A INPUT -j LOG
# iptables -A FORWARD -j LOG
Ha mindent sikeresen végrehajtottunk, akkor lekérjük a statisztikát:
# psad –S
Ilyesmit kell látnunk:
[+] psadwatchd (pid: 2540) %CPU: 0.0 %MEM: 0.0
Running since: Sun Jul 27 07:14:56 2008
[+] kmsgsd (pid: 2528) %CPU: 0.0 %MEM: 0.0
Running since: Sun Jul 27 07:14:55 2008
[+] psad (pid: 2524) %CPU: 0.0 %MEM: 0.8
Running since: Sun Jul 27 07:14:55 2008
Command line arguments: -c /etc/psad/psad.conf
Alert email address(es): mail@mailod.hu
src: dst: chain: intf: tcp: udp: icmp: dl: alerts: os_guess:
117.32.xxx.149 xx.22.zz.121 INPUT eth0 1 0 0 2 2 -
118.167.xxx.219 xx.22.zz.121 INPUT eth0 1 0 0 2 2 -
118.167.xxx.250 xx.22.zz.121 INPUT eth0 1 0 0 2 2 -
118.167.xxx.5 xx.22.zz.121 INPUT eth0 1 0 0 2 2 -
122.167.xx.11 xx.22.zz.121 INPUT eth0 4642 0 0 4 50 -
122.167.xx.80 xx.22.zz.121 INPUT eth0 0 11 0 1 2 -
123.134.xx.34 xx.22.zz.121 INPUT eth0 20 0 0 2 9 -
125.161.xx.3 xx.22.zz.121 INPUT eth0 0 9 0 1 4 -
125.67.xx.7 xx.22.zz.121 INPUT eth0 1 0 0 2 2 -
Netfilter prefix counters:
"SPAM DROP Block": 161519
"Drop Syn Attacks": 136
Total scan sources: 95
Total scan destinations: 1
Total packet counters:
tcp: 5868
udp: 164012
icmp: 2
A cikk még nem ért véget, kérlek, lapozz!