早期警報防範駭客攻擊 運用iplog偵測惡意掃描

駭客攻擊之前必定會利用掃描的方式來尋找目標的弱點,若能制敵先機,在對方開始掃描時即事先得知,就可以立即做好防範,讓對方無法得逞,這種防範未然機制,可透過即時偵測掃描動作的軟體來建構,例如本文所介紹的iplog,就能發揮極大的預警效果。

在了解相關的組態選項意義後,接著設定相關的組態檔。以下為組態檔實際設定內容:


設定完成後,即可以啟動iplog。iplog會以常駐程式的形式常駐在系統,以便偵測相關的埠掃描事件。安裝完成後,可利用開源碼社群中最有名的掃描軟體Nmap進行測試,表2為Nmap常用掃描參數,其餘更進階的參數請讀者自行參考其他相關的文件說明。


表2 Nmap常用掃描參數說明

在此僅以FIN掃描來測試,利用「nmap -sF xxx.xxx.xxx.xxx」來掃描目標主機。如果在目標主機下的「/var/log/message」中發現以下圖例中的字樣,即表示iplog已經安裝成功。


▲iplog已安裝成功。

其餘的各種掃描測試,就由讀者自行測試。至此,一個具有偵測惡意掃描的系統即告完成。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!