Hallo_{Jürgen,Sascha}, * Am 14.02.2002 um 15:08 Uhr schrieb Sascha Andres:
On Thu, Feb 14, 2002 at 01:03:30PM +0100, Jürgen Fahnenschreiber wrote:
Wie kann ich denn erkennen, ob jemand meine Ports scannt? Als ich selber meine Ports scannte, fand ich in keiner Logdatei eine Zeile darüber. fuer iptables gibt es in patch-o-matic den psd patch. psd sthet dabei fuer port scan detection. nie probiert, aber so was wie
iptables -A INPUT --match psd \ --psd-weight-threshold 3 --jump LOG --log-prefix "PORTSCAN: "
'psd' kenne ich nicht, aber <iptables> in Verbindung mit <logsurfer> sollte alle Deine Wünsche erfüllen können. Wichtig hierbei ist ein ausführliches Logging per <iptables>. Die Logeinträge sollten selbstsprechend sein und ein einfaches Filtern per <logsurfer> ermöglichen. z.B. --log-prefix "[FIREWALL: PORTSCAN] " --log-prefix "[FIREWALL: TCP NEW] " --log-prefix "[FIREWALL: TCP INVALID] " --log-prefix "[FIREWALL: ICMP PING] " ... Eine verfeinerte Analyse und entsprechende Gegenmaßnahmen könnten mit Hilfe von <logurfer> on-the-fly gestartet werden. z.B. - dynamisches Einfügen einer zusätzlichen <iptables>-Regel um den Benutzer kurzfristig auszusperren. - Benachrichtung per MsgBox, Mail oder SMS - was auch immer Du möchtest ;-) - Feststellen der Identität (wenn möglich) per <whois>, <finger>,... Jürgen -- Alles Gute im Leben ist entweder ungesetzlich, unmoralisch oder es macht dick. / Registered Linux-User #130804 http://counter.li.org \ \ Linux Stammtisch Bremerhaven http://linux.hs-bremerhaven.de /