1. <wbr id="cnjas"><legend id="cnjas"></legend></wbr>

          Linux培訓
          達內IT學院

          400-111-8989

          PortSentry幫你發現此刻多少黑客在掃你

          • 發布:Linux培訓
          • 來源:網絡
          • 時間:2015-07-03 20:15

          防止惡意掃描 安裝PortSentry

          網絡無間,拉近你我。聊天、上網或者視頻,這些是“看得見”的網絡連接,在浩瀚的互聯網上每時每刻“看不見”的網絡連接是沒有人能數清的。惡意掃描就是一種隱秘性很強的黑客行為,如何知道訪問你的主機的連接是正常行為還是黑客行為,這是一個問題。

          應對黑客惡意掃描,許多人想到了部署snort防入侵環境,誠然它是一種非常強大專業的工具,但是部署非常復雜,對于沒有特殊威脅我們完全可以采用更加輕量的PortSentry來實現。PortSentry是一款配置簡單、效果直接的防入侵檢測工具,現已被思科收購。PortSentry可以實時檢測幾乎所有類型的網絡掃描,并對掃描行為做出反應。

          一旦檢測到惡意掃描,PortSentry可以向攻擊者發出虛假的路由信息,把所有的信息流都重定向到一個不存在的主機;或者自動將對服務器進行端口掃描的主機加到TCP-Wrappers的/etc/hosts.deny文件中去,利用Netfilter機制,用包過濾程序,比如iptables和ipchain等,或者把所有非法數據包(來自對服務器進行端口掃描的主機)都過濾掉;或者通過syslog()函數給出一個目志消息,甚至可以返回給掃描者一段警告信息。

          安裝PortSentry

          1.從sourceforge網站下載軟件的最新版portsentry-1.2.tar.gz,用root用戶執行如下命令進行安裝:

          #tar zxvf portsentry-1.2.tar.gz

          #cd portsentry-1.2_beta

          #make

          #make install

          PortSentry順利安裝成功,其安裝路徑為/usr/local/psionic/portsentry,如下所示表示成功安裝此軟件:

          Edit /usr/local/psionic/portsentry/portsentry.conf and change

          your settings if you haven't already. (route,etc)

          WARNING:This version and above now use a new

          directory structure for storing the program

          and config files (/usr/local/psionic/portsentry).

          Please make sure you delete the old files when

          the testing of this install is complete.

          配置PortSentry 設置端口清單

          配置PortSentry

          1.修改配置文件portsentry.conf

          通過PortSentry進行入侵檢測,首先需要為它定制一份需要監視的端口清單,以及相應的阻止對策。然后啟動后臺進程對這些端口進行檢測,一旦發現有人掃描這些端口,就啟動相應的對策進行阻攔。

          (1)設置端口清單

          下面給出portsentry.conf中關于端口的默認配置情況:

          #Un-comment these if you are really anal;

          #TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,636,1080,1424,2000,2001,[..]

          #UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,[..]

          #Use these if you just want to be aware:

          TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,[..]

          UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321"

          #Use these for juse bare-bones

          #TCP_PORTS="1,11,15,110,111,143,540,635,180,1524,2000,12345,12346,20034,32771,32772,32773,32774,49724,54320"

          #UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,31337,54321"

          可以有選擇地去掉前面的注釋來啟用默認配置,也可以根據自己的實際情況定制一份新的清單,格式和原來的一樣即可。端口列表要根據具體情況而定,假如服務器為Web服務器,那么Web端口就不需要監視。反之,如果是FTP服務器,那么監視Web端口也是有必要的。

          (2)portsentry.conf里的相關文件

          在portsentry.conf中自動配置了許多文件,我們看下它們有哪些用途:

          #此文件記錄允許合法掃描服務器的主機地址

          IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore"

          #此文件中保留了以往所有入侵主機的IP歷史記錄

          HISTROY_FILE="/usr/lcal/psionic/portsentry/portsentry.history"

          #此文件中是已經被阻止連接的主機IP記錄

          BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked"

          設置PortSentry應對惡意檢測策略

          設置路由重定向

          通過配置portsentry.conf文件,可以設置一條虛擬路由記錄,把數據包重定向到一個未知的主機.使之無法獲取信息。相應配置代碼如下:

          #Generic

          #KILL_ROUTE="/sbin/route add $TARGET$ 333.444.555.666"

          #Generic Linux

          KILL_ROUTE="/sbin/route add -host $TARGET$ gw 333.444.555.666

          針對不同的平臺有不同的路由命令,在配置文件中選擇適臺自己平臺的命令即可。我的服務器是Centos5.5 x86_64,以上語法適合Linux平臺的機器;PortSentry非常人性化,下面都有系統對應的配置文件,我們只需要依樣操作即可。

          我們還可以利用Linux中的iptables命令,可以切斷攻擊主機的連接:

          KILL_ROUTE="/usr/local/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

          也可以直接把攻擊者的IP記錄到/etc/hosts.deny文件中,利用TCP_Wrappers保護機制來防止攻擊:

          KILL_HOSTS_DENY="ALL:$TARGET$ # Portsentry blocked"

          系統默認是利用TCP_Wrappers來切斷與主機之間的連接

          定制警告信息

          我們也可以定制一條警告信息,警告攻擊者。不過,手冊上建議不要使用該選項,因為這樣做可能會暴露主機的IDS系統。

          PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY."

          修改完畢后,改變文件的權限.以保證其安全性:

          chmod 600 /usr/local/psionic/portsentry/portsentry.conf

          設置忽略檢測主機開啟檢測模式

          配置portsentry.ignore文件

          /usr/psionic/portsentry/portsentry.ignore文件中設置了希望PortSentry忽略的主機IP,即允許合法掃描的主機地址下面是配置情況:

          #Put hosts in here you never want blocked,This includes the IP addresses

          #of all local interfaces on the protected host(i.e virtual host,mult-home)

          #keep 127.0.0.1 and 0.0.0.0 to keep people from playing games.

          127.0.0.1/32

          0.0.0.0

          #Exclude all local interfaces

          127.0.0.1

          修改完成后同樣需要改變文件默認的權限:

          chmod 600 /usr/local/psionic/portsentry/portsentry.ignore

          啟動檢測模式 www.2cto.com

          最后介紹一下PortSentry的啟動檢測模式。對應TCP和UDF兩種協議方式.分別有三種啟動模式,即基本、秘密和高級秘密掃描檢測模式。

          ◆portsentry-tcp,TCP的基本端口綁定模式;

          ◆portsentry-udp,UDP的基本端口綁定模式;

          ◆portsentry-stcp,TCP的秘密掃描檢測模式;

          ◆portsentry-sudp,UDP的秘密掃描檢測模式;

          ◆portsentry-atcp,TCP的高級秘密掃描檢測模式;

          ◆portsentry-audp,UDP的高級秘密掃描檢測模式。

          一般情況下,建議使用秘密掃描檢測模式或高級秘密掃描檢測模式。

          使用高級秘密掃描檢測模式(Advanced Stealth Scan Detection Mode),PortSentry會自動檢查服務器上正在運行的端口, 然后把這些端口從配置文件中移去, 只監控其它的端口。這樣會加快對端口掃描的反應速度,并且只占用很少的CPU時間,這種模式非常智能,我比較喜歡用

          啟動PortSentry的命令如下:

          #/usr/psionic/portsentry/portsentry -atcp

          可以把啟動命令加到“/etc/rc.d/rc.local”腳本文件中,果想讓它和其它后臺進程一樣可以隨時啟動、停止并查看進程狀態, 可以去這樣當重新啟動計算機的時候PortSentry就會自動運行。

          多少黑客在掃你 測試PortSentry

          測試效果

          我們在192.168.1.102上啟動PortSentry后,我們先暫時清掉portsentry.ignore里的文件,我們在另一臺192.168.1.104的機器上啟動掃描命令nmap -sS 192.168.1.102,稍等片刻我們就會發現/etc/hosts.deny里會出現ALL:192.168.1.104的字樣,證明此軟件配置都是生效的。

          為了證明其有效性,我拿自己的線上的一臺LVS機器布署了portsentry1.2,查看日志發現

          [root@localhost portsentry_beta]# tail /var/log/messages

          Jun 6 13:11:07 localhost portsentry[2555]:attackalert:TCP SYN/Normal scan from host: adsl-65-9-251-89.mia.bellsouth.net/65.9.251.89 to TCP port:80

          Jun 6 13:11:07 localhost portsentry[2555]:attackalert:Host 65.9.251.89 has been blocked via wrappers with string:"ALL:65.9.251.89"

          Jun 6 13:11:07 localhost portsentry[2555]:attackalert:TCP SYN/Normal scan from host:adsl-65-9-251-89.mia.bellsouth.net/65.9.251.89 to TCP port:80

          Jun 6 13:11:07 localhost portsentry[2555]:attackalert:Host:adsl-65-9-251-89.mia.bellsouth.net/65.9.251.89 is already blocked Ignoring

          Jun 6 13:11:08 localhost portsentry[2555]:attackalert:TCP SYN/Normal scan from host:adsl-65-9-251-89.mia.bellsouth.net/65.9.251.89 to TCP port:80

          Jun 6 13:11:08 localhost portsentry[2555]:attackalert:Host:adsl-65-9-251-89.mia.bellsouth.net/65.9.251.89 is already blocked Ignoring

          Jun 6 13:19:57 localhost portsentry[2555]:attackalert:TCP SYN/Normal scan from host:ns38534.ovh.net/91.121.14.153 to TCP port:80

          Jun 6 13:19:57 localhost portsentry[2555]:attackalert:Host 91.121.14.153 has been blocked via wrappers with string:"ALL:91.121.14.153"

          Jun 6 13:35:44 localhost portsentry[2555]:attackalert:TCP SYN/Normal scan from host:61.156.31.43/61.156.31.43 to TCP port:80

          Jun 6 13:35:44 localhost portsentry[2555]:attackalert:Host 61.156.31.43 has been blocked via wrappers with string:"ALL:61.156.31.43"

          檢查了下/etc/hosts.deny,發現如下惡意IP:

          ALL:113.57.224.3

          ALL:124.238.249.246

          ALL:65.9.251.89

          ALL:91.121.14.153

          ALL:61.156.31.43

          預約申請免費試聽課

          填寫下面表單即可預約申請免費試聽!怕錢不夠?可就業掙錢后再付學費! 怕學不會?助教全程陪讀,隨時解惑!擔心就業?一地學習,可全國推薦就業!

          上一篇:fail2ban說明、安裝、配置、測試
          下一篇:防黑必學cmd命令集合
          • 掃碼領取資料

            回復關鍵字:視頻資料

            免費領取 達內課程視頻學習資料

          • 視頻學習QQ群

            添加QQ群:1143617948

            免費領取達內課程視頻學習資料

          Copyright ? 2018 Tedu.cn All Rights Reserved 京ICP備08000853號-56 京公網安備 11010802029508號 達內時代科技集團有限公司 版權所有

          選擇城市和中心
          黑龍江省

          吉林省

          河北省

          湖南省

          貴州省

          云南省

          廣西省

          海南省

          欧美做爰视频免费播放_做暖全过程免费的视频_性爱免费视频 百度 好搜 搜狗
          <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>