Есть ли какое-либо приложение Linux для мониторинга сканирования портов?
Что-то, что будет работать в фоновом режиме и предупреждать меня по почте, если какой-то ip будет сканировать порт сервера.
3 ответа
Проблема с "обнаружением" сканирования портов заключается в том, что компетентный злоумышленник может легко заставить его выглядеть как законный трафик. Любой, кто знает, как использовать --ip-options с Nmap, может сделать его похожим на случайный трафик, любой с -D может сделать это. Похоже, что трафик пришел откуда-то еще, любой с прокси может сделать его откуда-то еще, и т. д. и т. д. Даже если вы можете обнаружить сканирование порта - Что вы можете сделать в случае сканирования порта? Сканирование портов является достаточно распространенным явлением, поэтому блокировка служб невозможна (в противном случае вы можете просто оставить их закрытыми). Это просто будет держать вас в ночное время (и наводнить вашу электронную почту) за не проблема.
Хотя его несколько спорных, по моему опыту IDS система не стоит много в среднем сети. Во всяком случае, это увеличивает пространство для атак. Вам гораздо лучше инвестировать свое время в ACL, сетевую безопасность и HIPS, если это возможно.
Для такого рода вещей вам нужна IDS ( система обнаружения вторжений). Вероятно, наиболее популярным, который работает в Linux, является Snort.
Если вы просто хотите что-то только для одного сервера, вы можете попробовать что-то вроде psad, основанное на iptables. Это может автоматически блокировать любого, кто запускает сканирование портов.
Портсентри станет одним из лучших решений. В то время как сетевые IDS, такие как SNORT, будут более устойчивыми и более полезными, portsentry предназначен для выполнения действий, специфичных для сканирования портов.
Если этот сервер находится в общедоступной сети, такой как Интернет, вы будете получать много предупреждений.