On Fri, Mar 17, 2000 at 01:30:30PM +0000, Gnter Zhle wrote:
Hallo,
kann mir jemand ein Tool nennen, welches man unter Linux bzw. anderen Unix-Derivaten zum Erkennen von Portscans einsetzen kann?
Vielen Dank.
Hi Günther ! Dafür gibt es zwei Tools: -Courtney ist ein Perl-Script, das dazu entwickelt wurde, SATAN-Angiffe ( aber auch alle anderen Arten von Portscannern) zu entdecken und zu protokollieren. Auszug aus der Dokumentation: -----------------------------[schnipp]-------------------------------------- Courtney erhält Eingaben von tcpdump und zählt die Anzahl neuer Dienste, die ein Rechner innerhalb eines bestimmten Zeitrahmens hervorbringt. Wenn ein Rechner sich innerhalb dieses Zeitrahmens mit vielen Diensten verbindet, identifiziert Courtney diesen Rechner als einen potentiellen SATAN-Host. (von mir frei übersetzt!!) -----------------------------[schnipp]-------------------------------------- ftp://ciac.llnl.gov/oub/ciac/sectools/unix/courtney/ -Gabriel Ist, genau wie Courtney, dafür da um Portscanner Angriffe zu protokollieren. Gabriel ist jedoch völlig anders konzipiert und arbeitet auf Basis eines Servers und einr Reihe von Clients, die kontinuierlich Statusberichte ausgeben. Diese Statusberichte zeigen verschiedene Muster von Ressourcenbelegung durch entfernte Hosts. Wenn ein Host eine unangemessene Menge von Ressourcen belegt ( oder eine unnormal große Anzahl von Verbindungen verlangt ), wird dieser Host als möglicher Angreifer signalisiert. Gabriel verläßt sich größtenteils auf syslog. http://www.lat.com Tools wie SATAN oder NESSUS öffnen viele Socket-Verbindungen innerhalb kurzer Zeit. Dieses Verhalten ist sehr ungewöhnlich und kann leicht von Aktivitäten legitimer Benutzer unterschieden werden. Diese beiden Tools verlassen sich mehr auf das Verhalten entfernter Host als auf die Art von Daten, die übertragen werden ! bye Marc -- my Homepage: http://beam.at/cancerman visit it ;-)) registered Linux user #165939 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com