使用portsentry保护你的电脑(1)

简介:portsentry,一个来自psionic公司(www.psionic.com)的一个软件包,他可以在网络端口上监查入侵行为,当portsentry查觉到有攻击行为时,就会做出一些响应(按照你选定的方式),并且对此行为记录日志.

portsentry的操作有下列几个模式,每个模式都能用来监听TCP和UDP端口:

@basic:这是一个默认模式,在这个模式下,给出所监听端口的服务,所选定的UDP和TCP端口被portsentry绑定

@stealth:在这个模式下,portsentry监听socket级别上的端口,而不是绑定的端口,这个模式能发现各种扫描技术!但是要比较basic模式敏感,所以容易产生更多的误报

@advanced stealth:这个模式提供和stealth同样的检测.而且并不只是检测所选的端口,它检测小于所选号码的所有端口(默认是1023端口).可以排除掉某些特定的端口,这个模式要比stealth模式更加敏感,也容易产生更多的误报.

#当一个端口被portsentry或者其它网络服务后台进程绑定时,所有从网络到达该端口的请求都会被网络进程处理,例如当httpd绑定端口80,那么来自网络的web服务请求会被httpd处理.

除了选择portsentry模式和要监视的端口,也可以选择对扫描的响应方式,默认状态下,portsentry会记录攻击并且阻塞非法的访问.portsentry也提供使用其它工具响应攻击的方法,例如防火墙规则,路由更改以及主机拒绝的配置.

1,下载安装portsentry
可以到 http://rpmfind.net的站点下载最新的软件包,我的版本是1.1,下载后即可安装:
rpm -ivh portsentry*
安装portsentry包括几个配置文件(在/etc/portsentry目录下),protsentry脚本(在/etc/init.d/portsentry目录下),portsentry二进制文件(在/usr/sbin目录下)和readme文件(在/usr/share/doc/portsentry*目录下)

2,使用portsentry
使用portsentry非常简便,基本不需要什么更改! :-)默认安装条件下portsentry会做下列工作:
1)在/etc/init.d/protsentry下的启动脚本自动运行3,4,5级别.
2)在基本模式下监视下列端口:
TCP:"1,11,15,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,32771,32772,32773,32774,31337,40421,49724,54320"
UDP:"1,513,635,640,641,700,32770,32771,32772,32773,32774,31337,54321"

3)为了响应攻击(通过扫描被监控端口),所有企图通过协议链接的服务都将被阻塞并记录日志访问系统而被阻塞的主机列在portsentry.blocked.tcp/protsentry.blocked.udp文件里(在/var/protsentry目录下),这取决使用了哪个协议扫描,删除条目后恢复对阻塞主机的访问

原文转自：http://www.ltesting.net