用portsentry构建防端口扫描系统-me09-ChinaUnix博客

温厚谦和

首页　| 　博文目录　| 　关于我

me09

博客访问： 1466700
博文数量： 408
博客积分： 10036
博客等级：上将
技术积分： 4440
用户组：普通用户
注册时间： 2006-04-06 13:57

文章分类

全部博文（408）

VPS（0）
LDAP（6）
PHP（2）
UNIX系统编程（4）
系统安全（54）
服务器架设（11）
技术资料文摘（27）
mail（7）
数据库（52）
翰海风云（22）
考证测试试题（1）
windows2003资料（25）

技术动态（2）
软件测试技术文档（2）
CGI编程（5）
VPN（1）
bind（9）
perl（9）
Squid代理（1）
shell（2）
freeBSD（2）
python（11）
iptables（22）
程序人生（7）
编程基础（31）
文件系统（6）
系统基础（39）
负载均衡（13）
存储备份（14）
路由网络（5）
debian（15）
未分配的博文（3）

文章存档

2011年（1）

2010年（2）

2009年（1）

2008年（3）

2007年（7）

2006年（394）

我的朋友

用portsentry构建防端口扫描系统

| 2005-01-16 12:01

系统平台：Debian 3.0 r2
软件版本：portsentry 1.1-3
概述：

防火墙能保护我们的网络以防入侵，使用防火墙我们可以选择被保护的网络主机对外开放的端口。这些对外开放的端口可能常常就会成为黑客攻击的目标，一般情况下我们并不希望对外公布这些信息。但是黑客们会使用工具对目标主机进行端口扫描以获取这些信息，从而对存在漏洞的网络服务进行攻击。

Portsentry是一个用来检测各种类型端口扫描，实时响应的工具。当它发现可疑的扫描会实时产生以下动作（可选）：
* 通过syslog产生事件日志
* 目标主机自动加入hosts.deny中
* 本地主机自动产生一条指向目标主机的路由空洞
* 本地主机通过本地包过滤软件(IPTABLES)生成一条drop所有前往目标主机的数据包

安装：

Portsentry的安排很简单，在此以debian系统二进制文件安装为例。

Apt-get install portsentry

就一条命令，是不是很简单，J。

Portsentry文件如下：
―――――――――――――――――――
/.
/usr
/usr/sbin
/usr/sbin/portsentry
/usr/lib
/usr/lib/portsentry
/usr/lib/portsentry/portsentry-add-ip
/usr/lib/portsentry/portsentry-build-ignore-file
/usr/lib/portsentry/portsentry-rm-ip
/usr/share
/usr/share/doc
/usr/share/doc/portsentry
/usr/share/doc/portsentry/README.COMPAT
/usr/share/doc/portsentry/README.stealth.gz
/usr/share/doc/portsentry/CREDITS.gz
/usr/share/doc/portsentry/changelog.Debian.gz
/usr/share/doc/portsentry/README.Debian
/usr/share/doc/portsentry/TODO.Debian
/usr/share/doc/portsentry/copyright
/usr/share/doc/portsentry/examples
/usr/share/doc/portsentry/examples/ignore.csh
/usr/share/doc/portsentry/examples/kill_cmd
/usr/share/doc/portsentry/examples/scan-detect
/usr/share/doc/portsentry/CHANGES.gz
/usr/share/doc/portsentry/README.install.gz
/usr/share/doc/portsentry/README.methods.gz
/usr/share/man
/usr/share/man/man8
/usr/share/man/man8/portsentry.8.gz
/usr/share/man/man5
/usr/share/man/man5/portsentry.conf.5.gz
/var
/var/lib
/var/lib/portsentry
/etc
/etc/portsentry
/etc/portsentry/portsentry.ignore.static
/etc/portsentry/portsentry.conf
/etc/default
/etc/ppp
/etc/ppp/ip-up.d
/etc/ppp/ip-up.d/portsentry
/etc/ppp/ip-down.d
/etc/ppp/ip-down.d/portsentry
/etc/init.d
/etc/init.d/portsentry
/usr/share/doc/portsentry/changelog.gz
―――――――――――――――――――

配置：

示例：
使用Advanced Stealth Scan Detection方式，推荐只监测小于1024的tcp,udp端口，使用iptables做为监测到扫描后的动作。

配置文件：
/etc/portsentry/portsentry.conf

修改以下内容：
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"

# Default TCP ident and NetBIOS service
ADVANCED_EXCLUDE_TCP="113,139"
# Default UDP route (RIP), NetBIOS, bootp broadcasts.
ADVANCED_EXCLUDE_UDP="520,138,137,67"

# 0 = Do not block UDP/TCP scans.
# 1 = Block UDP/TCP scans.
# 2 = Run external command only (KILL_RUN_CMD)

BLOCK_UDP="1"
BLOCK_TCP="1"

# iptables support for Linux
KILL_ROUTE="/usr/bin/iptables -I INPUT -s $TARGET$ -j DROP"
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

注：
将　Dropping Routes栏中的除KILL_ROUTE="/usr/bin/iptables -I INPUT -s $TARGET$ -j DROP"的其它KILL_ROUTE全部用#注释掉，并将TCP Wrappers中的内容也全部注释掉。

/etc/portsentry/portsentry.ignore.static
在此配置文件内加入需要忽略的网段，一般是内网或其它安全的网段。

/etc/default/portsentry
TCP_MODE=”atcp”
UDP_MODE=’audp”

至此portsentry基本已配置完成了。
用/etc/init.d/portsentry start启动portsentry

测试工具：
Superscan
Nmap

google

阅读(1038) | 评论(0) | 转发(0) |

上一篇：Linux(2.6)核心编译手册(英文)

下一篇：LVS-- ipvsadm命令参考

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6