Логгеры Траффика - узнай своих врагов в лицо
Спецвыпуск Хакера, номер #005, стр. 005-062-4
#######################
# Port Configurations #
#######################
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,31337,
32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,32770,32771,32772,32773,32774,31337,54321"
###########################################
# Advanced Stealth Scan Detection Options #
###########################################
ADVANCED_PORTS_TCP="1023"
ADVANCED_PORTS_UDP="1023"
ADVANCED_EXCLUDE_TCP="113,139"
ADVANCED_EXCLUDE_UDP="520,138,137,67"
######################
# Configuration Files#
######################
IGNORE_FILE="/usr/psionic/portsentry/portsentry.ignore"
HISTORY_FILE="/usr/psionic/portsentry/portsentry.history"
BLOCKED_FILE="/usr/psionic/portsentry/portsentry.blocked"
##################
# Ignore Options #
##################
BLOCK_UDP="1"
BLOCK_TCP="1"
###############
# TCP Wrappers#
###############
KILL_HOSTS_DENY="ALL: $TARGET$"
#####################
# Scan trigger value#
#####################
SCAN_TRIGGER="0"
######################
# Port Banner Section#
######################
PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY."
Поясню этот файл поподробнее. В разделе Port Configurations отмечены те порты, которые будут прослушиваться программой. (Тут все просто.) Переходим к Advanced Stealth Scan Detection Options. Этот раздел отвечает за параметры "навороченного" определения stealth сканирования. ADVANCED_PORTS_TCP и ADVANCED_PORTS_UDP определяют верхние значения диапазонов прослушиваемых портов. Программа будет следить за портами, номера которых ниже указанных. Из этих диапазонов необходимо исключить несколько портов, которые могут быть "прощупаны" удаленными клиентами по ошибке и не должны вызывать тревогу. Это осуществляется с помощью значений ADVANCED_EXCLUDE_TCP и ADVANCED_EXCLUDE_UDP аргументов. Раздел Configuration Files содержит пути к конфигурационным файлам (ими займемся позже). В Ignore Options мы можем установить, будет система откликаться на прощупывание TCP и UDP или нет (система не будет отвечать при значении параметров "0"). TCP Wrappers задает формат строки, которая будет вставлена в /etc/hosts.deny файл в ответ на попытку сканирования. Опция SCAN_TRIGGER="*" устанавливает количество попыток соединения, после которого программа начнет блокировку. Со значением "0" программа отреагирует немедленно. И последний раздел, Port Banner Section, определяет текст, который будет показан удаленному хосту при попытке коннекта.