QQ登录

只需一步,快速开始

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 3474|回复: 13

dddddddddddddd

[复制链接]
发表于 2003-11-28 09:36:50 | 显示全部楼层 |阅读模式
fffffffffffffffffff

[ 本帖最后由 ttii 于 2008-1-9 20:04 编辑 ]
发表于 2003-11-28 09:50:15 | 显示全部楼层
http://ftp.freshrpms.net/pub/freshrpms/fedora/linux/1/portsentry/portsentry-1.1-11.fr.src.rpm


>>> 自动使用防火墙ipchian,ipfwadm等来阻断连接

早就可以使用 Iptables 了呢。
回复

使用道具 举报

 楼主| 发表于 2003-11-28 12:03:31 | 显示全部楼层
是的,是可以使用iptalbes呵呵
回复

使用道具 举报

发表于 2003-11-28 16:22:45 | 显示全部楼层

Re: Linux实现简单而有效的IDS系统

[quote:54bb70ac1b="ttii"]其实说起IDS我想管理员朋友们一定不陌生,不过我还是想简单的说一下IDS的定义,这样更有利于大家理解后面的应用,这篇文章还是基于redhat7.3的,为什么呢?希望大家看过我的第一篇文章《浅谈linux安全》,在建立了那种系统的基础上,我们来实现IDS吧。
IDS就是入侵监测系统的简称,其主要的作用,我个人理解就是能够收集入侵的蛛丝马迹,然后报告你,当然也不确保它的准确性,这要看软件的分析能力了,现在有很多收费和免费的IDS应用程序,其中比较强的是snort,可能大家都知道的(是地球人都知道:))就是Tripwire,它也是一种入侵监测系统,不过它是监视你的文件是否被修改
今天我给大家介绍一种,没有太繁华的功能,简单实用,能够有效地阻止很多攻击,能够对非法的端口扫描做出反应,经过配置,极端一点的作法甚至能够将扫描你的人的端口反扫描回来,而且阻断它对你主机的所有连接(服务器可不能这么做哦,要不一天阻断几百人,过短时间老板就来说了:最近业绩不好呢?呵呵,服务器真是可怜)

1、理论介绍篇

言归正传,这个软件就是portsentry感知攻击的IDS应用
下载地址
ftp://194.199.20.114/linux/redhat/6.2/en/powertools/i386/i386/portsentry-0.99.1-1.i386.rpm
下载后就是安装了不用我多说
rpm –ivh portsentry-0.99.1-1.i386.rpm

先说说portsentry有什么厉害的功夫吧,他能做下面的事情
1、        丢弃所有使用route命令返回到主机的数据包
2、        自动更新/etc/hosts.deny来阻断基于xinetd的连接,简单的阻断一台主机
3、        自动使用防火墙ipchian,ipfwadm等来阻断连接,相当于添加一条厉害的规则,这个比较实用而且安全的
4、        日志的额外连接,他能将观察到的扫描记录到日志,这个功能很有用,你可以什么都不做,但是不能不没有日志的生成,这样让你有空就看看谁再搞你的宝贝服务器吧
5、        自定义的操作,可能对扫描你主机的机器做一些操作,比如反扫描,呵呵然后记录信息,比较酷吧
说了这么多好处,下面我们来在机器上实现一下吧,安装完毕后,你能够在
/usr/psionic/portsentry
下看到一些文件
ignore.csh                                        用于忽略的主机脚本
portsentry                                        执行程序
portsentry.conf                                主要配置文件
portsentry.ignore                        忽略的主机
portsentry.history                        运行和阻断主机才会产生,记录详细的阻断信息
现在开始配置,实现我们的功能吧
vi portsentry.conf
这个文件看上去有几个章节,现在我分别介绍一下它们的配置
   其实大家一看他的配置文件基本上都有个数了,配置文件写得很好,我在这里就不一一翻译了,呵呵比我E文好得多了,说几个重要配置吧
Port Configurations
定制那些端口希望被监控,如果你有特殊的端口,加入,就能被监控,注意用逗号分割。

Advanced Stealth Scan Detection Options
监控的范围,
ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"
表示监控的范围在1024之下的端口,如果你希望监控如65423这样的端口,那么将这是数字设置大些

Configuration Files
就是配置文件位置,一般不用修改

Ignore Options
忽略的端口设置

Dropping Routes
丢弃路由方案
一般用这个可以
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"
其他的可以根据操作系统来定,或者根据实际来定
也可以写入一段iptalbes 的代码,后面有

TCP Wrappers
这就是我说得简单的加入hosts.deny来阻断发起扫描的主机
KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"
把原来那句关闭,上面这句打开,我们用的都是redhat哦

External Command       
扩展命令,可以执行很多自定义操作,比如nmap扫描你的主机,反扫描他,后面事例中给他家说说

Port Banner Section
理论上是可以给监听你服务的人一个警告,修改PORT_BANNER=这行,写点吓人的话,不过我也不知道其作用不,呵呵

设置完毕后,用portsentry –stcp来启动,这样能够防止SYN等隐蔽的扫描,你可以找个机器用nmap等扫描器扫描一下,看看日志是不是记录了?你的主机是不是被添加到/etc/hosts.deny了。

有几点需要注意的,据说实施了portsentry后一些扫描软件可能会挂起,汗~~~不过我觉得不像,但是确实能防止一点点,
第二,据说portsentry把你的网卡开为混杂模式,但是据我观察网卡并没有变为混杂模式,不过还是提醒大家,因为混杂模式可能会降低系统的反应,就要看你自己权衡了。
个人认为,服务器上实施portsentry软件,不用作出什么反应,只需要记录就行了,定期的查看一下,我觉得能做的就是去掉路由啊,或者nmap扫描入侵的主机,可以这样做,让他自动反扫描扫描你的主机

External command部分
加入
KILL_RUN_CMD=”/usr/bin/nmap –O $TARGET$”>> /var/log/scanIP.log
然后可以在/var/log/scanIP.log中查看这些主机的信息。你扫描他哦,呵呵
最后记得运行哦,忘记给大家说几种运行参数了
-tcp 基本简单的监听tcp
-udp 基本简单监听udp
-stcp 建议使用这个参数,可以监听带欺骗的tcp扫描,比如SYN,FIN等扫描,很强
-atcp 禁止所有portsentry.conf中指定的连接,必须手工配置合法的主机,不建议使用
-sudp 同stcp差不多,不过是udp
-adup 和atcp差不多,不过是udp

注意,如果你需要转贴到你的网站或者论坛,可以随意转贴,也请你发邮件告诉我一声转到什么地方了,谢谢,我的联系方式qq:8537798,email:[email protected][/quote]
回复

使用道具 举报

发表于 2003-12-20 16:07:33 | 显示全部楼层
建议不要用iptables来自动ban
否则很容易被hping之类的搞到DOS的
呵呵
回复

使用道具 举报

发表于 2004-1-8 18:25:03 | 显示全部楼层
好东西。
回复

使用道具 举报

发表于 2004-1-17 18:10:41 | 显示全部楼层
楼主的文章的确不错,但有一点瑕疵。。。。嘿嘿,是那个签名了。

按照韩文通常的用法,补语和谓语(或者名词和动词)之前,应该有个助词(暂且叫助词,或许叫连词)的,虽说从最后一个字上看出是口语化的说法,但念着念着总觉得少点什么。或许,在韩文和学习之间加个字(上面一个圈,中间一个杠,下面一个凯字的左下角部分),就会好多了。

另:我对语法不是很熟,因为我还不会中文的时候,就已经会韩文了,所以没来得及学习语法,只是靠一种对母语的直觉。   
回复

使用道具 举报

发表于 2004-1-19 21:26:33 | 显示全部楼层
这种办法对第一次扫描还是没有办法阿。
怎么写iptables规则才能阻止扫描呢?
回复

使用道具 举报

发表于 2004-1-19 23:33:58 | 显示全部楼层
此外我发现它对nmap的扫描有记录,但对superscan和xscan的扫描都没有记录,也没有把扫描的ip  ban掉。
回复

使用道具 举报

 楼主| 发表于 2004-1-29 17:49:04 | 显示全部楼层
这只是个简单的ids你可以这样做,直接用iptables写一条组织各个IP的规则
回复

使用道具 举报

 楼主| 发表于 2004-1-29 17:50:06 | 显示全部楼层
呵呵,还有我的签名,我们公司有朝鲜族的同事,我不会韩文,只觉得好玩。呵呵
回复

使用道具 举报

发表于 2004-3-2 13:15:35 | 显示全部楼层
呵呵~~文章不错,但介绍不够深入啦。严格来说portsentry不是IDS,
已经有点IPS的感觉了。还有的是portsentry对SCAN的定义不是太严格。
可以用被人利用作为D.O.S的帮凶。这正是IPS所面临的很难解决的问题。

印象深刻的是ttii的照片,用LINUX的有这么PP的MM真不容易啊!
回复

使用道具 举报

发表于 2004-3-12 20:26:27 | 显示全部楼层
回复

使用道具 举报

发表于 2004-3-23 18:34:46 | 显示全部楼层
我防止DOS的方法很简单,一直都是用iptables的iplimit补丁,

一个IP限制15个SYN之类的连接,一个网段限制50个SYN之类的连接,不知道有没有效~~,对于DDOS,肯定是起不了什么作用的.
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

GMT+8, 2024-11-9 06:15 , Processed in 0.067158 second(s), 15 queries .

© 2021 Powered by Discuz! X3.5.

快速回复 返回顶部 返回列表