Devnull Asked: 2009-07-18 11:13:55 +0800 CST2009-07-18 11:13:55 +0800 CST 2009-07-18 11:13:55 +0800 CST 积极与消极监测 772 关注监控有一段时间了。在我来之前,我的组织没有任何东西,除了“我的雅虎去哪儿了”。似乎大多数软件包都专注于负面监控(即,此服务/主机已启动,但现在未启动)。这似乎是一个有效的第一步,但是你能看到什么过去的积极监控(即那个端口没有启动,现在它启动了,或者嘿,看起来那是一个新的 DHCP 主机)?我想它可以为 nagios 中的每个端口/网络地址声明一个声明,但这似乎很麻烦。 有谁知道一个更好的工具来监控端口/主机以肯定地关闭? security monitoring network-monitoring nagios 5 个回答 Voted Best Answer Insyte 2009-07-18T11:49:43+08:002009-07-18T11:49:43+08:00 为此,我们使用 nmap。我们有一个简单的脚本包装 nmap,它扫描我们的整个网络并存储 XML 输出。第二天晚上它再次运行并比较输出。如果出现任何新主机或端口,则会向管理员发送一封电子邮件。 刚刚发布的 Nmap 5.0 包含一个用于此目的的实用程序,称为Ndiff。 RainyRat 2009-07-18T11:37:09+08:002009-07-18T11:37:09+08:00 对于您了解的主机,Nagios/Zenoss/OpenNMS 是您最好的选择——它们可以配置为在主机和/或服务关闭或恢复时发出通知。他们大多足够聪明,不会在主机本身宕机时开始提醒主机上的所有服务;正确配置这些东西很重要,这样您就不会因为服务器重新启动而被 20 个警报淹没。如果有那么多关于琐碎事情的信息,迟早你会最终忽略它并遗漏一些重要的东西。 对于你问题的后半部分,凯瑟琳是对的;您正在查看入侵检测系统 (IDS)。这些可以配置为了解您的网络在主机、拓扑、流量类型等方面的外观,然后在您定义为“普通”之外的任何事情发生时提醒您。Snort和OSSEC就是几个例子。 Catherine MacInnes 2009-07-18T11:18:48+08:002009-07-18T11:18:48+08:00 您正在寻找的并不是真正的监控,而是安全性。我不是安全专家,但有许多网络扫描工具可以“教授”预期的内容,然后会告诉您是否有异常情况。 Mei 2009-07-18T12:23:55+08:002009-07-18T12:23:55+08:00 对于您的具体问题,我会使用诸如arpwatch 之类的东西来监视 ARP 地址的变化,并使用portsentry来监视任何试图连接到未使用端口的人。您也可以使用其他工具。 然后可以将这些工具集成到 Nagios 的主动或被动检查中。 Aiden Bell 2009-07-18T11:16:05+08:002009-07-18T11:16:05+08:00 Nagios包括广泛的插件和模块,用于主动/侵入式监控和被动监控。它应该包括你需要的一切!
为此,我们使用 nmap。我们有一个简单的脚本包装 nmap,它扫描我们的整个网络并存储 XML 输出。第二天晚上它再次运行并比较输出。如果出现任何新主机或端口,则会向管理员发送一封电子邮件。
刚刚发布的 Nmap 5.0 包含一个用于此目的的实用程序,称为Ndiff。
对于您了解的主机,Nagios/Zenoss/OpenNMS 是您最好的选择——它们可以配置为在主机和/或服务关闭或恢复时发出通知。他们大多足够聪明,不会在主机本身宕机时开始提醒主机上的所有服务;正确配置这些东西很重要,这样您就不会因为服务器重新启动而被 20 个警报淹没。如果有那么多关于琐碎事情的信息,迟早你会最终忽略它并遗漏一些重要的东西。
对于你问题的后半部分,凯瑟琳是对的;您正在查看入侵检测系统 (IDS)。这些可以配置为了解您的网络在主机、拓扑、流量类型等方面的外观,然后在您定义为“普通”之外的任何事情发生时提醒您。Snort和OSSEC就是几个例子。
您正在寻找的并不是真正的监控,而是安全性。我不是安全专家,但有许多网络扫描工具可以“教授”预期的内容,然后会告诉您是否有异常情况。
对于您的具体问题,我会使用诸如arpwatch 之类的东西来监视 ARP 地址的变化,并使用portsentry来监视任何试图连接到未使用端口的人。您也可以使用其他工具。
然后可以将这些工具集成到 Nagios 的主动或被动检查中。
Nagios包括广泛的插件和模块,用于主动/侵入式监控和被动监控。它应该包括你需要的一切!