LINUX.ORG.RU
ФорумAdmin

Сканирование портов (вопрос по актуальности)


0

0

Вопрос знающим прошу прощение если создаю тему, не в нужном разделе вот статья на опеннет она актуальна? Спасибо..

http://www.opennet.ru/docs/RUS/portsentry/ :) забыл ссылку



Последнее исправление: rext (всего исправлений: 1)
iproute и iptables -t mangle -A OUTPUT
восстановить систему после rcconf

Нет. portsentry давно сдох. Юзайте recent и psd из iptables.

anonymous
()

Нет, совершенно не актуальна.

Как уже было замечено выше, portsentry уже давно не разрабатывается. Их авторов зохавала кошка, и они теперь проприетарят в полный рост.

Кроме того, решения на базе portsentry и его аналогов имеют минимум два существенных недостатка:

  • Они работают в юзерспейсе. Со всеми вытекающими проблемами, прежде всего проблемами производительности. Впрочем, насколько это серьезно, я судить не буду, ибо сие есьм вотчина прогеров-системщиков.
  • Они не используют информацию системы conntrack (что это такое и зачем оно нужно, можно почитать в википедии) со всем вытекающим вываливающимся гемором.

    Тоже с википедии

    Проводя аналогию с ныне почившим проектом PortSentry, первый наш пример соответствует режиму PortSentry «Advanced Stealth Scan Detection», а второй — «Enhanced Stealth Scan Detection». (Правда, заметим, что в режиме Advanced Stealth Scan Detection блокировка производится после первого попадания пакета на нерабочий порт — для достижения такого же эффекта в нашем примере достаточно выкинуть проверки на seconds и hitcount из блокирующих правил.) Однако, использование iptables/recent имеет значительное преимущество перед примитивными userspace-системами наподобие PortSentry — возможность интеграции с системой conntrack, что позволяет избежать ошибочной блокировки, например, при использовании высоких портов для NAT.

    Конечно, уже давно существует libnetfilter_conntrack (в молодости libctnetlink), позволяющий работать с conntrack из юзерспейса, однако что-то никто не рвется использовать его в подобных системах. Да и вообще разрабатывать такие системы под открытой лицензией.

В настоящее время хороший арсенал средств детекции портсканов имеется прежде всего у netfilter, стандартного фаервола ядра Linux. В числе таких средств можно упомянуть

  • recent — универсальный «ассемблер», позволяющий запрограммировать различные алгоритмы обработки последовательностей пакетов, от простых до очень сложных. Примеры.
  • psd — простой в использовании детектор портсканов, основанный на «принципе взвешенной суммы». Тот же принцип использовался в ныне почившем scanlogd (собственно, scanlogd был просто удачной демкой к этой статье).
  • lscan — тоже детектор сканов. Использует немного другие принципы.

В сочетании с ipset получается очень простая и удобная система выявления и блокировки портсканов. А если взять DELUDE, CHAOS и TARPIT, можно неплохо поприкалываться над кульхацкерами.

nnz ★★★★
()
Ответ на: комментарий от nnz

Спасибо

Спасибо, за подробный ответ. всё понятно.

rext
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
iproute и iptables -t mangle -A OUTPUT
Admin
восстановить систему после rcconf