Portsentry для виявлення нападу, частина перша, методи роботи

Portsentry від Psionic Technologies - один з трьох компонентів системи виявлення вторгнення TriSentry. У цій статті ми детально опишемо теоретичні та технічні методи роботи Portsentry. У другій частині ми обговоримо установку і конфігурування PortSentry на конкретних прикладах.

Portsentry від Psionic Technologies - один з трьох компонентів системи виявлення вторгнення TriSentry. У цій статті ми детально опишемо теоретичні та технічні методи роботи Portsentry. У другій частині ми обговоримо установку і конфігурування PortSentry на конкретних прикладах.

Port Sentry - основна теорія

Одним з перешкод, з яким стикається PortSentry, це визначення, чи є пакет частиною сканування, або він становить частину нормального трафіку для даного порту. PortSentry використовує для цього два методи: спочатку він ігнорує порти, які знаходяться у використанні (пов'язані з відповідною службою). По-друге, користувач визначає список портів, контрольованих PortSentry, в файлі конфігурації. Якщо порт в списку файлу конфігурації збігається з використовуваним, то такий порт ігнорується PortSentry.

Одна з прекрасних особливостей PortSentry - це інтелектуальний контроль портів. Для проколів типу FTP, в яких клієнт відкриває порти в ефемерне діапазоні (TCP порти за 1024) і сервер встановлює зворотне підключення з хостом, PortSentry може досліджувати надходить підключення, і якщо воно призначене для одного з ефемерних портів, воно буде проігноровано. Як тільки підключення завершено, PortSentry продовжить стежити за таким портом в звичайному режимі.

Внутрішня структура

методи блокування

"It is our experience though that spoofed scans are not an issue and we recommend people use auto-blocking knowing that% 99.9 of the time it will block a scan.

Again though, we strongly feel that the benefits of auto-blocking hosts * far outweighs * the limited risk you take by having auto-blocking turned on. "(Craig Rowland, Portsentry-2.0b1)"

висновок

У цій статті ми розглянули теоретичні та технічні принципи роботи PortSentry. Цей корисний інструмент може використовуватися для доповнення інших заходів захисту, щоб запобігти сканування хоста і використання отриманої інформації для організації подальших нападів. У наступній статті ми розглянемо процедуру інсталяції і конфігурації PortSentry.

Схожі статті