LINUX.ORG.RU

Нет. portsentry давно сдох. Юзайте recent и psd из iptables.

anonymous ()

Нет, совершенно не актуальна.

Как уже было замечено выше, portsentry уже давно не разрабатывается. Их авторов зохавала кошка, и они теперь проприетарят в полный рост.

Кроме того, решения на базе portsentry и его аналогов имеют минимум два существенных недостатка:

  • Они работают в юзерспейсе. Со всеми вытекающими проблемами, прежде всего проблемами производительности. Впрочем, насколько это серьезно, я судить не буду, ибо сие есьм вотчина прогеров-системщиков.
  • Они не используют информацию системы conntrack (что это такое и зачем оно нужно, можно почитать в википедии) со всем вытекающим вываливающимся гемором.

    Тоже с википедии

    Проводя аналогию с ныне почившим проектом PortSentry, первый наш пример соответствует режиму PortSentry «Advanced Stealth Scan Detection», а второй — «Enhanced Stealth Scan Detection». (Правда, заметим, что в режиме Advanced Stealth Scan Detection блокировка производится после первого попадания пакета на нерабочий порт — для достижения такого же эффекта в нашем примере достаточно выкинуть проверки на seconds и hitcount из блокирующих правил.) Однако, использование iptables/recent имеет значительное преимущество перед примитивными userspace-системами наподобие PortSentry — возможность интеграции с системой conntrack, что позволяет избежать ошибочной блокировки, например, при использовании высоких портов для NAT.

    Конечно, уже давно существует libnetfilter_conntrack (в молодости libctnetlink), позволяющий работать с conntrack из юзерспейса, однако что-то никто не рвется использовать его в подобных системах. Да и вообще разрабатывать такие системы под открытой лицензией.

В настоящее время хороший арсенал средств детекции портсканов имеется прежде всего у netfilter, стандартного фаервола ядра Linux. В числе таких средств можно упомянуть

  • recent — универсальный «ассемблер», позволяющий запрограммировать различные алгоритмы обработки последовательностей пакетов, от простых до очень сложных. Примеры.
  • psd — простой в использовании детектор портсканов, основанный на «принципе взвешенной суммы». Тот же принцип использовался в ныне почившем scanlogd (собственно, scanlogd был просто удачной демкой к этой статье).
  • lscan — тоже детектор сканов. Использует немного другие принципы.

В сочетании с ipset получается очень простая и удобная система выявления и блокировки портсканов. А если взять DELUDE, CHAOS и TARPIT, можно неплохо поприкалываться над кульхацкерами.

nnz ★★★★ ()
Ответ на: комментарий от nnz

Спасибо

Спасибо, за подробный ответ. всё понятно.

rext ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.