portsentry的操作有下列几个模式,每个模式都能用来监听TCP和UDP端口:
@basic:这是个默认模式,在这个模式下,给出所监听端口的服务,所选定
的UDP和TCP端口被portsentry绑定
@stealth:在这个模式下,portsentry监听socket级别上的端口,而不是绑定
的端口,这个模式能发现各种扫描技术!但是要比较basic模式敏感,所以容易
产生更多的误报
@advanced stealth:这个模式提供和stealth同样的检测.而且并不只是检测
所选的端口,他检测小于所选号码的任何端口(默认是1023端口).能够排除
掉某些特定的端口,这个模式要比stealth模式更加敏感,也容易产生更多的
误报.
#当一个端口被portsentry或其他网络服务后台进程绑定时,任何从网络到达
该端口的请求都会被网络进程处理,例如当httpd绑定端口80,那么来自网络的
web服务请求会被httpd处理.
除了选择portsentry模式和要监控的端口,也能够选择对扫描的响应方式,默认
状态下,portsentry会记录攻击并且阻塞非法的访问.portsentry也提供使用
其他工具响应攻击的方法,例如防火墙规则,路由更改连同主机拒绝的配置.
1,下载安装portsentry
能够到 http://rpmfind.net的站点下载最新的软件包,我的版本是1.1,下载后
即可安装:
rpm -ivh portsentry*
安装portsentry包括几个配置文档(在/etc/portsentry目录下),protsentry脚本
(在/etc/init.d/portsentry目录下),portsentry二进制文档(在/usr/sbin目录下)
和readme文档(在/usr/share/doc/portsentry*目录下)
2,使用portsentry
使用portsentry很简便,基本无需什么更改! :-)默认安装条件下portsentry会
做下列工作:
1)在/etc/init.d/protsentry下的启动脚本自动运行3,4,5级别.
2)在基本模式下监控下列端口:
TCP:"1,11,15,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,32771
,32772,32773,32774,31337,40421,49724,54320"
UDP:"1,513,635,640,641,700,32770,32771,32772,32773,32774,31337,54321"
3)为了响应攻击(通过扫描被监控端口),任何企图通过协议链接的服务都将被阻塞并记录日志
访问系统而被阻塞的主机列在portsentry.blocked.tcp/protsentry.blocked.udp文档里
(在/var/protsentry目录下),这取决使用了哪个协议扫描,删除条目后恢复对阻塞主机的访问
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
