Логгеры Траффика - узнай своих врагов в лицо

Спецвыпуск Хакера, номер #005, стр. 005-062-5

Хочется отметить, что приведенный файл конфигурации является ПРИМЕРОМ, и для того чтобы твоя программа заработала по-настоящему, тебе придется подумать своей головой :).

Теперь нам необходимо отредактировать /usr/psionic/portsentry/portsentry.ignore файл. Это просто. Надо всего лишь добавить туда 127.0.0.1 и 0.0.0.0.

Уффф... Львиная доля работы закончена! Но это еще не все (да уж, iplog попроще был :)). Теперь нам надо этот самый portsentry запустить. Все дело в том, что программа может быть запущена в ШЕСТИ режимах (для каждого протокола и для каждого типа мониторинга свой отдельный режим). Режимы работы portsentry задаются аргументами командной строки при запуске программы, и для каждого из них необходимо запустить отдельный процесс. Сейчас я расскажу тебе об этих режимах по порядку.

portsentry -tcp

portsentry -udp

Эти два режима предназначены для простого прослушивания обозначенных в конфигурационном файле портов. Это значит, что программа при запуске прочтет файл, откроет обозначенные порты и начнет ждать попытки соединения. Эти режимы очень хороши для эмуляции присутствия в системе троянских коней :). Для этого достаточно при настройке обозначить стандартные порты, занимаемые троянами, и ждать какого-нибудь ламера, сканирующего сеть на наличие, к примеру, открытых elite (31337) портов (для тех, кто не знает - порт 31337 по умолчанию открывается серверной частью BackOrifice). Как только этот лох с радостным предчувствием попытается приконнектиться к найденному порту, он будет грубо послан (вспомни, мы задействовали опцию port banner), и все его последующие попытки соединиться (если у него останется такое желание) будут обречены на провал :).

portsentry -stcp

portsentry -sudp

Эти режимы предназначены для выявления попыток stealth-сканирования. После запуска с указанными аргументами программа будет использовать raw socket для мониторинга ВСЕХ приходящих пакетов, и, если поступивший пакет предназначается для какого-либо из отмеченных в конфигурационном файле портов, portsentry заблокирует хост, от которого этот пакет пришел.

Назад на стр. 005-062-4  Содержание  Вперед на стр. 005-062-6

ttfb: 3.6971569061279 ms