Логгеры Траффика - узнай своих врагов в лицо
Спецвыпуск Хакера, номер #005, стр. 005-062-6
portsentry -atcp
portsentry -audp
При работе в этих режимах программа также займется отслеживанием stealth-сканирования. Отличие от двух описанных выше режимов заключается в том, что при запуске portsentry создаст список ВСЕХ портов, которые по значению ниже цифры, отмеченной в Advanced Stealth Scan Detection Options, затем исключит из этого списка те номера, которые мы отметили как ADVANCED_EXCLUDE_TCP(UDP), и займется мониторингом оставшихся в списке портов. Это наиболее чувствительный режим. Исходя из этого, он обеспечивает наилучшую защиту, но также провоцирует большее по сравнению с другими режимами количество ложных тревог.
К бесспорным достоинствам portsentry можно, несомненно, отнести "интеллект" этой программы. Например, при FTP соединении клиент открывает огромное количество портов, начиная с порта 1024, после чего сервер соединяется с любым из них. На подобную акцию portsentry мог бы ответить блокированием удаленного хоста :), но вместо этого программа проанализирует характер устанавливаемого соединения и, определив, что это именно временное FTP соединение, разрешит удаленному хосту соединиться с твоим компьютером.
Ну вот, я рассказал тебе о программе portsentry. То, как ты решишь ее использовать, зависит целиком и полностью от тебя. Возможно, тебе придется перелопатить большое количество документации для того чтобы полностью реализовать потенциал этой утилиты. Тут уж думай своей головой :).
Пользуйся
Ты познакомился с двумя программами, которые помогут тебе в нелегкой сетевой жизни :). Но учти, я рассказал об этих программах лишь вкратце... Для наиболее эффективного их использования тебе надо поднапрячься и прочитать прилагающуюся к ним документацию. Надеюсь, ты сможешь перебороть естественную природную лень и сделать это ;). В любом случае тебе доставит удовольствие тот факт, что отныне ты в состоянии вычислить всех злобных ламеров, которые надеются вынести тебя из сети или вломиться в твою машину :). Так что приятного времяпрепровождения, а я пойду просканирую еще пару хостов...
Помимо тупого логирования iplog имеет несколько очень полезных функций, как то: встроенное кэширование DNS, распознавание UDP, port, null, FIN сканирования и определение нескольких распространенных видов сетевых атак.
...теперь любой злодей не останется незамеченным, и твое право решать - простить лоха и ламера или, зловеще ухмыляясь, набрать в окошке терминала "ping -s 65000 dial-up25.lamerhere.org" ;).
Любой компьютерный взломщик (в народе - хакер ;)) при выборе потенциальной жертвы первым делом проверит наличие открытых портов на удаленной системе и определит версии висящих на них сервисов. И проделает он это именно при помощи сканирования. Так что можно с уверенностью сказать, что сканирование твоей (да и любой) системы является прелюдией к более серьезным действиям со стороны сканирующего.
Эти режимы очень хороши для эмуляции присутствия в системе троянских коней :). Как только лох с радостным предчувствием попытается приконнектиться к найденному порту, он будет грубо послан (вспомни, мы задействовали опцию port banner), и все его последующие попытки соединиться (если у него останется такое желание) будут обречены на провал :).