模板
教程
环境
性能
功能
管理
FreeBSD abck入侵监测
发表于:2007-07-01来源:作者:点击数:
标签:
0.名稱 abck - Process intrusion attempts found in the system log 1.描述 abck 是用來分析入侵嚐試的互動式工具,並且判斷該程式做了些什麼. decide what, if anything, to do about them 該程式透過讀取 /var/log/messages 來尋找可能的入侵證據. abck能
0.名稱 abck - Process intrusion attempts found in the system log 1.描述 abck 是用來分析入侵嚐試的互動式工具,並且判斷該程式做了些什麼. decide what, if anything, to do about them 該程式透過讀取 /var/log/messages 來尋找可能的入侵證據. abck能夠處理數種常見的入侵紀錄,同時也能夠容易的延伸去處理其他狀況. abck分析入侵紀錄是屬於名稱或是IP位址,若是一個IP位址, 會嘗試將其透過DNS反解找出其FQDN. 若無法找到合法的反解,他會嘗試去找到關於該IP的權威性資料. 每一個符合的入侵嘗試紀錄都會被呈現給使用者. 使用者可以透過whois資料庫來查詢相關負責人. 此外還能夠過abck設定當發生入侵紀錄時,自動發信給對方相關人員 (abuse@domain 和 root@domain)及本機的root. 該信件會包含所有有關該機器的資訊,及附加入侵的log紀錄. 通常狀況下,一個入侵者會嘗試數種方式入侵,因此會產生複合的log紀錄. 舉例來說:若一個入侵者透過port scan程式掃描.abck會記錄這個紀錄 同時,可以透過 -i 及 -l 參數來讓abck忽略來自某些IP或是hostname 的入侵嘗試. 2.語法 abck [-dehilmsv] 3.安裝 路徑:/usr/ports/sysutils/abck/ 4.參數 -d n 只往前追溯n天的紀錄. -e string 只處理不包含此字串的攻擊紀錄. -h 顯示求助資訊. -i 不忽略~/.abck_ignored檔案中定義的那些IP或是/Hostname. 此參數與 -l 互有獨占性.若兩參數同時出現,較後的那個參數會被執行. -l 列出那些被紀錄的忽略紀錄.當程式結束後列出所有被忽略的IP及hostname. 此參數與 -l 互有獨占性.若兩參數同時出現,較後的那個參數會被執行. -m string 只處理包含此字串的攻擊紀錄. -s 不實際處理那些符合的紀錄,只是列出來. -v 顯示abck版本資訊. 5.紀錄過程 當每一筆入侵嘗試紀錄被發現之後,會被呈現到指定的使用者. 類似 Matching log entry found in /var/log/messages Who Gets Message For:
