Логгеры Траффика - узнай своих врагов в лицо

Спецвыпуск Хакера, номер #005, стр. 005-062-1

LonerX (lonerx@crosswinds.net)

Ура, началось

Ну вот, наконец-то свершилось! Ты поставил долгожданный Линукс, настроил РРР и начал активную деятельность на просторах Инета. Ты научил XChat и Kicq понимать русский язык, твой Нетшкаф оброс всевозможными плугинами, и ты испытал радость общения с ИнтерСетью при помощи программ интерфейса командной строки (я имею ввиду незабвенные Lynx, ftp, telnet, BitchX и Micq). При проверке почты тебе теперь не надо испуганно ждать результатов работы Детища Дяди Касперского, а любая попытка выкинуть твою машину из сети с помощью нюка оказывает на тебя такое же действие, как известная дробина на не менее известного слона ;). Казалось бы, что можно уже и расслабиться, но что-то все равно не дает долгожданного покоя и мешает получить то удовольствие, на которое ты надеялся, когда затевал всю эту муть с установкой и настройкой своего UNIX'a.

Для того чтобы понять причины этой неудовлетворенности, необходимо вспомнить старые добрые времена, когда ты вылезал в сеть из-под операционной системы Windows и боялся всего на свете, а в особенности злобных троянских коней и не менее злобных любителей засветить на твоем дисплее "Синий Экран Смерти". Естественно, ты пытался защититься от подобных посягательств на твою сетевую жизнь с помощью различных программ, которые не только не позволяли злоумышленникам порушить твою машину, но и заботливо сообщали тебе о тех IP, с которых эти злоумышленники пытались испортить тебе жизнь. И как же приятно было не только (и не столько!) осознать провал очередной попытки вынести тебя из сети или прилепиться к порту 12345, но и увидеть адрес того лоха, который пытался это проделать :). Так что даже теперь, когда ты вспоминаешь о творении Билли Гейтса с гримасой отвращения, и твой компьютер превратился из дырявых, сквозящих форточек в монолитную стену UNIX, тебе не хватает именно того злорадного ощущения ОСВЕДОМЛЕННОСТИ, которое приносил, например, лог Nuke Nabber'a. И ты с теплотой и ностальгией вспоминаешь знакомые надписи типа "udp connection attempt to port 31337 from ***.***.***.***, где вместо звездочек стоял IP того деятеля, который пытался (наивный!) выставить тебя последним дятлом.

Ты, наверное, уже понял, к чему я веду весь этот разговор... Правильно, в этой статье я собираюсь рассказать о том, как поставить и настроить программы, которые помогут тебе выявить попытки сетевого наезда и адреса тех умников, которые решили на тебя побычить. Несмотря на огромное количество различных утилит, выполняющих подобные функции, я решил остановиться только на двух из них. Установка и настройка этих программ не очень сложна, но тем не менее они (программы) выполняют (и перевыполняют) свои обязанности. Я говорю о прогах iplog и portsentry. Но начнем по порядку.

Айпилог

Итак, первая утилита, которую тебе стоит занести в список "полезных вещей", носит "говорящее" название iplog. Эта программа занимается тем, что фиксирует TCP, ICMP и UDP трафик, проходящий через твой РРР-интерфейс. Помимо тупого логирования, iplog имеет несколько очень полезных функций, как то: встроенное кэширование DNS, распознавание UDP, port, null, FIN сканирования и определение нескольких распространенных видов сетевых атак. Iplog настраивается с помощью редактирования конфигурационного файла или аргументов командной строки. Для компиляции программы необходимо наличие библиотеки libpcap. Покопайся в своих RPM, и если эта библиотека не установлена, то ты сможешь найти ее на диске с дистрибутивом. Если ты сидишь под BSD, то можешь даже не дергаться, libpcap установлена по умолчанию :).