daniels Asked: 2010-02-24 11:19:49 +0800 CST2010-02-24 11:19:49 +0800 CST 2010-02-24 11:19:49 +0800 CST 有没有可用于端口扫描监控的 Linux 应用程序? 772 如果某些 ip 正在端口扫描服务器,它将在后台运行并在邮件中提醒我。 linux security ids 3 个回答 Voted Best Answer zetavolt 2010-02-24T11:46:41+08:002010-02-24T11:46:41+08:00 “检测”端口扫描的问题在于,有能力的攻击者可以很容易地使它看起来像合法流量,任何知道如何使用 --ip-options 和 Nmap 的人都可以使它看起来像随机流量,任何使用 -D 的人都可以使它看起来像随机流量看起来流量来自其他地方,任何有代理的人都可以让它来自其他地方等等。即使你可以检测到端口扫描 - 如果发生端口扫描,你能做什么?端口扫描很常见,因此锁定服务不是一种选择(否则你不妨让它们保持关闭)。它只会让你彻夜难眠(并淹没你的电子邮件)而不是一个非问题。 虽然有点争议,但根据我的经验,IDS 系统对普通网络来说并不值得。如果有的话,它会增加攻击空间,如果可能的话,你最好把时间花在 ACL、网络安全和 HIPS 上。 Kyle Brandt 2010-02-24T11:23:26+08:002010-02-24T11:23:26+08:00 对于这类事情,您需要一个 IDS(入侵检测系统)。在 Linux 上运行的最流行的可能是Snort。 如果您只想为一台服务器提供一些东西,您可以尝试基于 iptables 的类似psad的东西。这可以自动阻止任何运行端口扫描的人。 Warner 2010-02-24T11:24:30+08:002010-02-24T11:24:30+08:00 portsentry 将是最好的解决方案之一。虽然像 SNORT 这样的网络 IDS 将更加健壮并服务于更大的目的,但portsentry 旨在采取特定于端口扫描的操作。 如果此服务器位于可公开访问的网络(例如 Internet)上,您将收到大量警报。
“检测”端口扫描的问题在于,有能力的攻击者可以很容易地使它看起来像合法流量,任何知道如何使用 --ip-options 和 Nmap 的人都可以使它看起来像随机流量,任何使用 -D 的人都可以使它看起来像随机流量看起来流量来自其他地方,任何有代理的人都可以让它来自其他地方等等。即使你可以检测到端口扫描 - 如果发生端口扫描,你能做什么?端口扫描很常见,因此锁定服务不是一种选择(否则你不妨让它们保持关闭)。它只会让你彻夜难眠(并淹没你的电子邮件)而不是一个非问题。
虽然有点争议,但根据我的经验,IDS 系统对普通网络来说并不值得。如果有的话,它会增加攻击空间,如果可能的话,你最好把时间花在 ACL、网络安全和 HIPS 上。
对于这类事情,您需要一个 IDS(入侵检测系统)。在 Linux 上运行的最流行的可能是Snort。
如果您只想为一台服务器提供一些东西,您可以尝试基于 iptables 的类似psad的东西。这可以自动阻止任何运行端口扫描的人。
portsentry 将是最好的解决方案之一。虽然像 SNORT 这样的网络 IDS 将更加健壮并服务于更大的目的,但portsentry 旨在采取特定于端口扫描的操作。
如果此服务器位于可公开访问的网络(例如 Internet)上,您将收到大量警报。