Hallo, kann mir jemand ein Tool nennen, welches man unter Linux bzw. anderen Unix-Derivaten zum Erkennen von Portscans einsetzen kann? Vielen Dank. Tschüß Günter --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi, Gnter Zhle wrote:
kann mir jemand ein Tool nennen, welches man unter Linux bzw. anderen Unix-Derivaten zum Erkennen von Portscans einsetzen kann?
Fuer Linux, ipchains. -- MfG, M.Stahn ++ Hey, CServe/Unisys! Stick it where the sun don't shine! ++ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Gnter Zhle wrote:
Hallo,
Hi - aehh - Guenter(?)! (sorry, aber hier sind mir ein paar Zeichen entfallen).
kann mir jemand ein Tool nennen, welches man unter Linux bzw. anderen Unix-Derivaten zum Erkennen von Portscans einsetzen kann?
Ja: "man Sysadmin". ;-) (SCNR) Im Ernst: Mit ipchains hat Martin erstmal recht. Damit kannst Du kontrollieren, wer wann welche Pakete an Deine Rechner schicken darf, welche davon protokolliert, welche angenommen, welche verworfen werden. Aus persoenlichen Gruenden wuerde ich fuer die Auswertung des ganzen dazu raten, sich hinzusetzen, und die Logfiles anzuschauen. Es gibt zwar Tools die Dir dabei helfen (scanlogd, Port Sentry, nfr, ...), aber Du solltest Dich imho keinesfalls von solchen Tools abhaengig machen (oder gar einen automatischen "strike back" machen lassen). Schau auf jeden Fall ins ipchains-howto, ins firewall-howto und auf http://www.little-idiot.de/firewall/. Rgds. Heiko. -- Die Etikette der SuSE-Liste kann man folgerndermaßen beziehen: Mail-Adresse: mailings-suse@gmx.de Betreff: send etikette --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Fri, Mar 17, 2000 at 01:30:30PM +0000, Gnter Zhle wrote:
Hallo,
kann mir jemand ein Tool nennen, welches man unter Linux bzw. anderen Unix-Derivaten zum Erkennen von Portscans einsetzen kann?
Vielen Dank.
Hi Günther ! Dafür gibt es zwei Tools: -Courtney ist ein Perl-Script, das dazu entwickelt wurde, SATAN-Angiffe ( aber auch alle anderen Arten von Portscannern) zu entdecken und zu protokollieren. Auszug aus der Dokumentation: -----------------------------[schnipp]-------------------------------------- Courtney erhält Eingaben von tcpdump und zählt die Anzahl neuer Dienste, die ein Rechner innerhalb eines bestimmten Zeitrahmens hervorbringt. Wenn ein Rechner sich innerhalb dieses Zeitrahmens mit vielen Diensten verbindet, identifiziert Courtney diesen Rechner als einen potentiellen SATAN-Host. (von mir frei übersetzt!!) -----------------------------[schnipp]-------------------------------------- ftp://ciac.llnl.gov/oub/ciac/sectools/unix/courtney/ -Gabriel Ist, genau wie Courtney, dafür da um Portscanner Angriffe zu protokollieren. Gabriel ist jedoch völlig anders konzipiert und arbeitet auf Basis eines Servers und einr Reihe von Clients, die kontinuierlich Statusberichte ausgeben. Diese Statusberichte zeigen verschiedene Muster von Ressourcenbelegung durch entfernte Hosts. Wenn ein Host eine unangemessene Menge von Ressourcen belegt ( oder eine unnormal große Anzahl von Verbindungen verlangt ), wird dieser Host als möglicher Angreifer signalisiert. Gabriel verläßt sich größtenteils auf syslog. http://www.lat.com Tools wie SATAN oder NESSUS öffnen viele Socket-Verbindungen innerhalb kurzer Zeit. Dieses Verhalten ist sehr ungewöhnlich und kann leicht von Aktivitäten legitimer Benutzer unterschieden werden. Diese beiden Tools verlassen sich mehr auf das Verhalten entfernter Host als auf die Art von Daten, die übertragen werden ! bye Marc -- my Homepage: http://beam.at/cancerman visit it ;-)) registered Linux user #165939 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Gnter Zhle wrote on Fri, Mar 17, 2000 at 13:30 +0000:
Hallo,
kann mir jemand ein Tool nennen, welches man unter Linux bzw. anderen Unix-Derivaten zum Erkennen von Portscans einsetzen kann?
canlogd. Komisch, daß das hier keiner postet... liegt SuSE seit 6.?? bei, aktuelle Version ist 2.0, siehe auch www.openwall/scanlogd. Erkennt auch SYN Scans usw. Komisch, dachte, das würden hier viel verwenden... oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Tue, 21 Mar 2000, Steffen Dettmer wrote:
kann mir jemand ein Tool nennen, welches man unter Linux bzw. anderen Unix-Derivaten zum Erkennen von Portscans einsetzen kann? scanlogd.
ACK
Komisch, daß das hier keiner postet... liegt SuSE seit 6.?? bei, aktuelle Version ist 2.0, siehe auch www.openwall/scanlogd. Erkennt auch SYN Scans usw.
Komisch, dachte, das würden hier viel verwenden...
Erkennen ja - aber auch schützen ... na ich weiss nicht ;) Wir setzen das und noch paar andere Dinge ein ;) zb. Sinus-Firewall-1 als Statefull-Firewall und/oder Packet-Filter (für einfache Setups). Mit freundlichen Grüßen, Joerg Henner. -- LinuxHaus Stuttgart | Tel.: +49 (7 11) 2 85 19 05 Jörg Henner und Adrian Reyer, Datentechnik GbR | D2: +49 (1 72) 7 35 31 09 | Fax: +49 (7 11) 5 78 06 92 Linux, Netzwerke, Webhosting & Support | http://lihas.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Wed, 22 Mar 2000, Joerg Henner wrote:
Wir setzen das und noch paar andere Dinge ein ;) zb. Sinus-Firewall-1 als Statefull-Firewall und/oder Packet-Filter (für einfache Setups).
Sinus-Firewall-1? Ist das die Version fuer den 2.2er Kernel, oder noch die alte ? -- mfg / With best regards, Ciao Mikey -- -- Even one moment of life spent cannot be regained for millions of gold coins. Therefore, what greater loss is there than time spent uselessly ? -- -- Thorsten Garrels * th.garrels@t-online.de * Wittmund / Germany --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Joerg Henner wrote on Wed, Mar 22, 2000 at 11:25 +0100:
Komisch, daß das hier keiner postet... liegt SuSE seit 6.?? bei, aktuelle Version ist 2.0, siehe auch www.openwall/scanlogd. Erkennt auch SYN Scans usw.
Komisch, dachte, das würden hier viel verwenden...
Erkennen ja - aber auch schützen ... na ich weiss nicht ;)
Was soll ein Instrusion-Detection Tool denn noch machen? Automatische Gegenmaßnahmen würden den Weg zu wirkungsvollen DoS Attacken öffnen, also muß erstmal nur benachrichtig werden (wenn's wichtig ist, dann auch per SMS). Sonst fährt ein FTP mal Dein Rechenzentrum runter :) Ich arbeite da übrigens an einem Patch für scanlogd, der priviligierte separat ausweist (weil man sonst oft nur "hohe" in den Logs hat), wenn sich das mal jemand anschauen möchte, mail an mich. Ich finds ganz sinnvoll, würde aber noch ein paar andere Meinung hören wollen :)
Wir setzen das und noch paar andere Dinge ein ;) zb. Sinus-Firewall-1 als Statefull-Firewall und/oder Packet-Filter (für einfache Setups).
Das ist ja immer gut, klar, bleibt die Frage: was tun, bei Portscans (oder Dingen, die "so aussehen") ? oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Wed, 22 Mar 2000, Joerg Henner wrote:
On Tue, 21 Mar 2000, Steffen Dettmer wrote:
kann mir jemand ein Tool nennen, welches man unter Linux bzw. anderen Unix-Derivaten zum Erkennen von Portscans einsetzen kann?
scanlogd.
ACK
Komisch, dachte, das würden hier viel verwenden...
Erkennen ja - aber auch schützen ... na ich weiss nicht ;)
Das Problem beim scanlogd scheint zu sein, daß bei Modem/ISDN einfach die Bandbreite nicht ausreicht. Wenn ich einen Portscan lokal ausführe ist das gute Teil zuverlässig. Bei Portscans von den bösen Leuten draußen reagiert er nicht. Hat inzwischen jemand eine Doku zum scanlogd gefunden? Wenn ausreichend Bandbreite verfügbar ist, würde ich das machen, was ich immer mache :-) logsurfer auf die /var/log/messages ansetzen und auf den entsprechenden Eintrag warten. Ausgeführt wird dann eben ein zeitlich begrenztes DENY (ipchains) auf die Quell-IP. Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Carsten Meyer wrote on Wed, Mar 22, 2000 at 22:01 +0100:
On Wed, 22 Mar 2000, Joerg Henner wrote:
Erkennen ja - aber auch schützen ... na ich weiss nicht ;)
Das Problem beim scanlogd scheint zu sein, daß bei Modem/ISDN einfach die Bandbreite nicht ausreicht. Wenn ich einen Portscan lokal ausführe ist das gute Teil zuverlässig. Bei Portscans von den bösen Leuten draußen reagiert er nicht.
Kommt ja auch auf den Scan an. Evtl. sollte man die TRESHOLD Zeiten ein bißchen erhöhen...
Hat inzwischen jemand eine Doku zum scanlogd gefunden?
o ungefähr :) chau mal unter: http://www.openwall.com/scanlogd/
Wenn ausreichend Bandbreite verfügbar ist, würde ich das machen, was ich immer mache :-) logsurfer auf die /var/log/messages ansetzen und auf den entsprechenden Eintrag warten. Ausgeführt wird dann eben ein zeitlich begrenztes DENY (ipchains) auf die Quell-IP.
Sehr schön: Dann mache ich jetzt einfach scans, und spoofe die IPs Deiner wichtigesten Kunden, dann sperrst Du die aus - da brauch ich gar keinen DenialOfService mehr fahren :) Also: SO eben nicht. NIE automatisch... Gerade mit FTP kann mal viel falsch machen/denken/sehen... Deswegen auch mein Patch (der zwischen Benutzer und Priviligierten Ports unterscheidet), das hilft ein ganz kleines bißchen, immerhin, man kann einen scan nicht mehr hinter einer FTP-"Simulation" verstecken (Ich habe auf den FTP Servern viele FTP-Transfers, die ja vom scanlogd logischerweise als scan geloggt werden). oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi, Steffen Dettmer wrote:
Sehr schön: Dann mache ich jetzt einfach scans, und spoofe die IPs Deiner wichtigesten Kunden, dann sperrst Du die aus - da brauch ich gar keinen DenialOfService mehr fahren :) Also: SO eben nicht. NIE automatisch...
Immer Automatisch, oder sitzt Du 24std. vor Deiner Firewall? Um das Problem mit den Kunden zu umgehen kann man eine liste der IP Adressen fuehren, die sich nicht aussperren duerfen. Desweiteren kann man gespoofte Packet schon auf routern rausfiltern etc. Aber dafuer nimmt man beim besten willen nicht scanlogd, sondern schreibt sich selbst was ;-) -- MfG, M.Stahn ++ Predicting the future of technology is fraud with peril! ++ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Martin Stahn wrote on Fri, Mar 24, 2000 at 10:04 +0100:
Hi,
Steffen Dettmer wrote:
Sehr schön: Dann mache ich jetzt einfach scans, und spoofe die IPs Deiner wichtigesten Kunden, dann sperrst Du die aus - da brauch ich gar keinen DenialOfService mehr fahren :) Also: SO eben nicht. NIE automatisch...
Immer Automatisch, oder sitzt Du 24std. vor Deiner Firewall?
Nein, deshalb auch die Message begrenzung auf SMS Größe (scanlogd 2.0).
Um das Problem mit den Kunden zu umgehen kann man eine liste der IP Adressen fuehren, die sich nicht aussperren duerfen.
Wenn Du weißt, was welche IP Addresse darf, und was nicht, solltest Du einfach Deine Firewall entsprechende konfigurieren. Aber manche müssen anonymes FTP (für's gesammte Internet) zulassen, und es gibt auch Leute, die sich über dynamische IPs einwählen...
Desweiteren kann man gespoofte Packet schon auf routern rausfiltern etc.
Ja, unter ganz gewissen Umständen kann man ein paar "richtig mächtig falsche" Packete filtern, aber normalerweise hat man auf einer Seite eines Routers immer die Internetseite (mal von Netzen ohne Internetverbindung abgesehen), z.B. einen masquerading machenden Host oder sowas. Da kannst Du dann keine gespooften Packet mehr erkennen und filtern. Man kann in einem solchen Fall leider nicht nur 99% der Spoofs nicht erkennen, sondern auch noch die interessanten 99% :) Korrigier' mich, wenn ich falsch liege.
Aber dafuer nimmt man beim besten willen nicht scanlogd, sondern schreibt sich selbst was ;-)
Richtig, scanlogd logt scans und filtert keine Packete - oder was meintest Du ? oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Carsten Meyer wrote:
... Hat inzwischen jemand eine Doku zum scanlogd gefunden? Schau mal auf http://www.openwall.com/scanlogd/.
Rgds. Heiko. -- Die Etikette der SuSE-Liste kann man folgerndermaßen beziehen: Mail-Adresse: mailings-suse@gmx.de Betreff: send etikette --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Gnter Zhle wrote at Mit.03/22/00-14:45:37
Hallo,
kann mir jemand ein Tool nennen, welches man unter Linux bzw. anderen Unix-Derivaten zum Erkennen von Portscans einsetzen kann?
tcpdump, iptraf zB. Grüße, Clemens -- sig_30 Untersuchen, welche Parameter zB. das Kommando `ls' hat: strings /bin/ls | grep "-" [Info: man grep; man strings] Das geht latuernich auch mit anderen commands/progr., wie sendmail, fetch oder grep ua.. ------------------------------------------------------------ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (9)
-
c.wohld@ndh.net -
cmeyer@mail.com -
G.Zaehle@DKFZ-Heidelberg.de -
heiko.degenhardt@sentec-elektronik.de -
jhe@lihas.de -
martin.stahn@sskm.de -
MRichter@ahrens.de -
steffen@dett.de -
Th.Garrels@t-online.de