Логгеры Траффика - узнай своих врагов в лицо

Спецвыпуск Хакера, номер #005, стр. 005-062-5

Хочется отметить, что приведенный файл конфигурации является ПРИМЕРОМ, и для того чтобы твоя программа заработала по-настоящему, тебе придется подумать своей головой :).

Теперь нам необходимо отредактировать /usr/psionic/portsentry/portsentry.ignore файл. Это просто. Надо всего лишь добавить туда 127.0.0.1 и 0.0.0.0.

Уффф... Львиная доля работы закончена! Но это еще не все (да уж, iplog попроще был :)). Теперь нам надо этот самый portsentry запустить. Все дело в том, что программа может быть запущена в ШЕСТИ режимах (для каждого протокола и для каждого типа мониторинга свой отдельный режим). Режимы работы portsentry задаются аргументами командной строки при запуске программы, и для каждого из них необходимо запустить отдельный процесс. Сейчас я расскажу тебе об этих режимах по порядку.

portsentry -tcp

portsentry -udp

Эти два режима предназначены для простого прослушивания обозначенных в конфигурационном файле портов. Это значит, что программа при запуске прочтет файл, откроет обозначенные порты и начнет ждать попытки соединения. Эти режимы очень хороши для эмуляции присутствия в системе троянских коней :). Для этого достаточно при настройке обозначить стандартные порты, занимаемые троянами, и ждать какого-нибудь ламера, сканирующего сеть на наличие, к примеру, открытых elite (31337) портов (для тех, кто не знает - порт 31337 по умолчанию открывается серверной частью BackOrifice). Как только этот лох с радостным предчувствием попытается приконнектиться к найденному порту, он будет грубо послан (вспомни, мы задействовали опцию port banner), и все его последующие попытки соединиться (если у него останется такое желание) будут обречены на провал :).

portsentry -stcp

portsentry -sudp

Эти режимы предназначены для выявления попыток stealth-сканирования. После запуска с указанными аргументами программа будет использовать raw socket для мониторинга ВСЕХ приходящих пакетов, и, если поступивший пакет предназначается для какого-либо из отмеченных в конфигурационном файле портов, portsentry заблокирует хост, от которого этот пакет пришел.

Назад на стр. 005-062-4  Содержание  Вперед на стр. 005-062-6

загрузка...
Cпец Хакер #075Cпец Хакер #074Cпец Хакер #073Cпец Хакер #072Cпец Хакер #071Cпец Хакер #070Cпец Хакер #069Cпец Хакер #068Cпец Хакер #067Cпец Хакер #066Cпец Хакер #065Cпец Хакер #064Cпец Хакер #063Cпец Хакер #062Cпец Хакер #061Cпец Хакер #060Cпец Хакер #059Cпец Хакер #058Cпец Хакер #057Cпец Хакер #056Cпец Хакер #055Cпец Хакер #054Cпец Хакер #053Cпец Хакер #052Cпец Хакер #051Cпец Хакер #050Cпец Хакер #049Cпец Хакер #048Cпец Хакер #047Cпец Хакер #046Cпец Хакер #045Cпец Хакер #044Cпец Хакер #043Cпец Хакер #042Cпец Хакер #041Cпец Хакер #040Cпец Хакер #039Cпец Хакер #038Cпец Хакер #037Cпец Хакер #036Cпец Хакер #035Cпец Хакер #034Cпец Хакер #033Cпец Хакер #032Cпец Хакер #031Cпец Хакер #030Cпец Хакер #029Cпец Хакер #028Cпец Хакер #027Cпец Хакер #026Cпец Хакер #025Cпец Хакер #024Cпец Хакер #023Cпец Хакер #022Cпец Хакер #021Cпец Хакер #020Cпец Хакер #019Cпец Хакер #018Cпец Хакер #017Cпец Хакер #016Cпец Хакер #015Cпец Хакер #014Cпец Хакер #013Cпец Хакер #012Cпец Хакер #011Cпец Хакер #010Cпец Хакер #009Cпец Хакер #008Cпец Хакер #007Cпец Хакер #006Cпец Хакер #005Cпец Хакер #004Cпец Хакер #003Cпец Хакер #002Cпец Хакер #001