پاسخ : ارائه راهکارهای مفید امنیتی برای مقابله با حملات علیه سرورهای لینوکس
2- Port Scan
Port Scan Attack Detector: PSAD
همونطور که میدونید ناقضان امنیتی بویژه Crackers، فبل از شروع نفوذ، با اسکن
کردن شبکه برای آگاهی ازپورتهای بازو سایر اطلاعات مفید دیگه ازnmap استفاده
میکنند.با مشاهده لاگهای var/log/message/ میتونید الگوهای اسکن شبکه رو ببینید
ولی ابزارPSAD با آنالیزلاگهای iptables میتونه حملات پورت اسکن و DDOS و
ترافیکهای مشکوک رو تشخیص، اعلان هشدار وبلوک کنه.
psad برای تشخیص از الگوهای تعریف شده tcp,udp,icmp برای snort IDS،
استفاده میکنه وبه هنگام اسکن پورتهای tcp، با آنالیزflagها وتطابق با آپشن های
nmap، نوع اسکن رو تعیین میکنه. (مثلا: syn, fin, xmas)
پیکربندی psad:
---------------------------
ویرایش فایل: vi /etc/syslog.conf # و اضافه کردن این خط:
کد:
kern.info |/var/lib/psad/psadfifo
استفاده از این دستور برای آپدیت کردن فایل syslog.conf:
کد:
echo -e ’kern.info\t|/var/lib/psad/psadfifo’ >> /etc/syslog.conf
Restart syslog:
کد:
# /etc/init.d/sysklogd restart # /etc/init.d/klogd
ویرایش فایل vi /etc/psad/psad.conf #:
واردکردن email ID برای آگاهی شما ازتشخیص پورت اسکن وپورتهای ignore
(مثلا 53 و 5000) و تنظیمات دیگه...
(psad آپشن های زیادی داره که میتونید متناسب با نیازتون ازآنها استفاده کنید.)
کد:
EMAIL_ADDRESSES your ID@your distination; IGNORE_PORTS udp/53, udp/5000; ENABLE_AUTO_IDS Y; IPTABLES_BLOCK_METHOD Y;
کد:
# /etc/init.d/psad restart
پاسخ با نقل قول