Я работаю scanlogd
обнаружить сканирования портов. Я наблюдал, что следующее генерирует сообщение журнала в /var/log/syslog
.
zenmap
(nmap gui) к сканированию портов эта система от другого компьютера на той же подсетиnmap
просканировать систему от loalhost использование места назначения как 127.0.0.1nmap
просканировать систему от loalhost использование внешнего IP как место назначения./var/log/syslog
:
Aug 16 15:38:59 LIVE272675 scanlogd: 208.75.19.79 to 208.75.19.139 ports 22, 17500, 256, 135, 143, 113, 53, ..., ?????uxy, TOS 00 @14:57:26
Aug 16 15:40:20 LIVE272675 scanlogd: 127.0.0.1 to 127.0.0.1 ports 6010, 6011, 48153, 49681, 52321, 33819, 60076, ..., ?????uxy, TOS 00, TTL 64 @16:24:06
Aug 16 15:41:13 LIVE272675 scanlogd: 208.75.19.139 to 208.75.19.139 ports 80, 443, 993, 143, 256, 1720, 8080, 1723, ..., fSrpauxy, TOS 00, TTL 64 @20:41:13
Aug 16 15:49:07 LIVE272675 scanlogd: 208.75.243.17 to 208.75.19.139 ports 1, 2, 3, 7, 9, 11, ..., fSrpauxy, TOS 00, TTL 63 @20:49:07
Однако сканирование этой машины от машины вне организационной сети не генерировало журналов, даже при том, что сканирования обнаружили порты, которые были открыты и сервисы, которые работали на системе правильно. Я получил некоторые настройки неправильно? Или это - что-то, что ожидается?
Почему scanlogd
пропавшие без вести сканирований? Существует ли способ обнаружить все сканирования портов?
здесь говорят следующее:
Цель scanlogd не в том, чтобы обнаружить все сканирования портов, а в том, чтобы обнаружить как можно больше сканирований портов, оставаясь при этом достаточно надежным. Scanlogd записывает по одной строке за сканирование, используя механизм syslog(3). Он также записывает в журнал, когда адрес источника посылает много пакетов на несколько различных портов за короткий промежуток времени. Так как scanlogd предназначен только для обнаружения сканирования, он абсолютно безопасен для работы на вашей системе. Для работы он должен иметь доступ к необработанным IP-пакетам, и может перехватывать пакеты, входящие и выходящие из системного интерфейса, или по сети, к которой подключена система.