网络无间,拉近你我。聊天、上网或者视频,这些是“看得见”的网络连接,在浩瀚的互联网上每时每刻“看不见”的网络连接是没有人能数清的。恶意扫描就是一种隐秘性很强的黑客行为,如何知道访问你的主机的连接是正常行为还是黑客行为,这是一个问题。
应对黑客恶意扫描,许多人想到了部署snort防入侵环境,诚然它是一种非常强大专业的工具,但是部署非常复杂,对于没有特殊威胁我们完全可以采用更加轻量的PortSentry来实现。PortSentry是一款配置简单、效果直接的防入侵检测工具,现已被思科收购。PortSentry可以实时检测几乎所有类型的网络扫描,并对扫描行为做出反应。
一旦检测到恶意扫描,PortSentry可以向攻击者发出虚假的路由信息,把所有的信息流都重定向到一个不存在的主机;或者自动将对服务器进行端口扫描的主机加到TCP-Wrappers的/etc/hosts.deny文件中去,利用Netfilter机制,用包过滤程序,比如iptables和ipchain等,或者把所有非法数据包(来自对服务器进行端口扫描的主机)都过滤掉;或者通过syslog()函数给出一个目志消息,甚至可以返回给扫描者一段警告信息。
安装PortSentry
1.从sourceforge网站下载软件的最新版portsentry-1.2.tar.gz,用root用户执行如下命令进行安装:
#tar zxvf portsentry-1.2.tar.gz
#cd portsentry-1.2_beta
#make
#make install
PortSentry顺利安装成功,其安装路径为/usr/local/psionic/portsentry,如下所示表示成功安装此软件:
Edit /usr/local/psionic/portsentry/portsentry.conf and change
your settings if you haven't already. (route, etc)
WARNING: This version and above now use a new
directory structure for storing the program
and config files (/usr/local/psionic/portsentry).
Please make sure you delete the old files when
the testing of this install is complete.
