SCAN-ЛОГИ

изучаем трассировки сканов

Спецвыпуск Xakep, номер #023, стр. 023-018-1

Мопи (mopy@xakep.ru)

Однажды, в Спеце по DoS-атакам, мы уже публиковали логи "подозрительной" сетевой активности. Хоть это и достаточно "скучный" материал, мне пришло очень много писем с просьбами рассказать, как мы делаем эти самые логи, откуда их выдираем. Млин, очень просто мы их делаем – запускаем на своей тачке сниффак и начинаем делать с ней то, логи чего хотим получить. В прошлый раз мы травили несчастный комп DoS-атаками, а в этот раз просто сканили, применяя разные типы сканированя. Сканили опять же со своей тачки, но с заспуфеным IP (для наглядности). Так что ничего особого в этом нет – все просто! Достаточно сложно как раз научиться читать логи. Ну, не то чтобы уж очень сложно – мозговой активности там никакой не надо – просто долго и нудно. Надо обладать нехилым терпением, чтоб сидеть и сравнивать все эти трассировки, подмечать какие-нибудь характерные для атак моменты и тд. Если тебя это не пугает, можешь попробовать повникать в эти логи сканов. А если пугает... – если пугает, тогда продолжай читать Спец, а к этим штукам вернешься, когда поймешь, что это на самом деле не тук уж и все гиморно ;).