포트스캔 탐지 도구 설치(scanlogd) 및 테스트..


 

요즘 포트 스캔 탐지 도구를 좀 알아보니, 크게 3가지가 있었다..

portsentry, scanlogd, psad

셋다 포트스캔을 탐지하는 도구인데, 각각의 특징이 있다..

portsentry와 psad는 iptables와 연동되어 포트스캔이 탐지되면 자동으로 룰을 등록해서 차단한다.

하지만 scanlogd는 syslogd와 연동되어 scan에 대한 로그를 남긴다.

내가 하고자 하는 것은 탐지만이지 차단까지는 아니기 때문에 scanlogd를 설치해보고 테스트를 해보았다.

설치는 매우 간단했다..

하면 끝~

그리고 scanlogd를 사용할 user를 등록해줘야 한다.(로그인 false 설정 포함)

다음은 syslogd와 연동을 위해 syslog.conf의 마지막 라인에 로그를 남길 위치를 지정한다.

그리고 scanlogd 프로세스를 시작~

자 이제 nmap 을 이용해서 scan을 해보자..

스캔이 탐지 되었는지 확인해보면…

와우~ 신기
119.xx.xx.xxx 가 스캔을 시도한 ip이며, 234.xxx.xx.xxx 가 스캔 대상 ip이다..
port는 오픈이 안된 포트도 같이 나오기는 하지만..(서버에는 80과 3306만 열려있는 상태)
일단, 특정IP에서 스캔시도가 있었다는 사실은 알 수 있으므로 성공적이다^^

참고 : http://dumbung.com/main/bbs/board.php?bo_table=LINUX_TIP&wr_id=21&sfl=&stx=&sst=wr_hit&sod=desc&sop=and&page=1


This entry was posted in System, Util/Tools and tagged , . Bookmark the permalink.

댓글 남기기