Логгеры Траффика - узнай своих врагов в лицо
Спецвыпуск Хакера, номер #005, стр. 005-062-5
Хочется отметить, что приведенный файл конфигурации является ПРИМЕРОМ, и для того чтобы твоя программа заработала по-настоящему, тебе придется подумать своей головой :).
Теперь нам необходимо отредактировать /usr/psionic/portsentry/portsentry.ignore файл. Это просто. Надо всего лишь добавить туда 127.0.0.1 и 0.0.0.0.
Уффф... Львиная доля работы закончена! Но это еще не все (да уж, iplog попроще был :)). Теперь нам надо этот самый portsentry запустить. Все дело в том, что программа может быть запущена в ШЕСТИ режимах (для каждого протокола и для каждого типа мониторинга свой отдельный режим). Режимы работы portsentry задаются аргументами командной строки при запуске программы, и для каждого из них необходимо запустить отдельный процесс. Сейчас я расскажу тебе об этих режимах по порядку.
portsentry -tcp
portsentry -udp
Эти два режима предназначены для простого прослушивания обозначенных в конфигурационном файле портов. Это значит, что программа при запуске прочтет файл, откроет обозначенные порты и начнет ждать попытки соединения. Эти режимы очень хороши для эмуляции присутствия в системе троянских коней :). Для этого достаточно при настройке обозначить стандартные порты, занимаемые троянами, и ждать какого-нибудь ламера, сканирующего сеть на наличие, к примеру, открытых elite (31337) портов (для тех, кто не знает - порт 31337 по умолчанию открывается серверной частью BackOrifice). Как только этот лох с радостным предчувствием попытается приконнектиться к найденному порту, он будет грубо послан (вспомни, мы задействовали опцию port banner), и все его последующие попытки соединиться (если у него останется такое желание) будут обречены на провал :).
portsentry -stcp
portsentry -sudp
Эти режимы предназначены для выявления попыток stealth-сканирования. После запуска с указанными аргументами программа будет использовать raw socket для мониторинга ВСЕХ приходящих пакетов, и, если поступивший пакет предназначается для какого-либо из отмеченных в конфигурационном файле портов, portsentry заблокирует хост, от которого этот пакет пришел.
