Я бегаю scanlogd
для обнаружения сканирования портов. Я заметил следующее, чтобы создать сообщение журнала в /var/log/syslog
.
zenmap
(nmap gui) для сканирования этой системы с другого компьютера в той же подсетиnmap
для сканирования системы с loalhost, используя адрес назначения как 127.0.0.1nmap
для сканирования системы с loalhost, используя внешний IP-адрес в качестве пункта назначения./var/log/syslog
:
Aug 16 15:38:59 LIVE272675 scanlogd: 208.75.19.79 to 208.75.19.139 ports 22, 17500, 256, 135, 143, 113, 53, ..., ?????uxy, TOS 00 @14:57:26
Aug 16 15:40:20 LIVE272675 scanlogd: 127.0.0.1 to 127.0.0.1 ports 6010, 6011, 48153, 49681, 52321, 33819, 60076, ..., ?????uxy, TOS 00, TTL 64 @16:24:06
Aug 16 15:41:13 LIVE272675 scanlogd: 208.75.19.139 to 208.75.19.139 ports 80, 443, 993, 143, 256, 1720, 8080, 1723, ..., fSrpauxy, TOS 00, TTL 64 @20:41:13
Aug 16 15:49:07 LIVE272675 scanlogd: 208.75.243.17 to 208.75.19.139 ports 1, 2, 3, 7, 9, 11, ..., fSrpauxy, TOS 00, TTL 63 @20:49:07
Однако сканирование этого компьютера с компьютера за пределами сети организации не привело к созданию журналов, даже если сканирование обнаружило открытые порты и службы, которые работали в системе правильно. Я ошибся в некоторых настройках? Или этого ожидают?
Почему scanlogd
отсутствует сканирование? Есть ли способ обнаружить все сканированные порты?
Вот они говорят следующее:
Цель scanlogd - не обнаруживать все сканирования портов, а вместо этого обнаруживать как можно больше сканирований портов. при этом оставаясь достаточно надежным. Scanlogd записывает одну строку за одно сканирование, используя механизм syslog (3). Он также регистрирует, когда адрес источника отправляет много пакетов на несколько разных портов за короткий промежуток времени. Поскольку scanlogd предназначен только для обнаружения сканирований, его можно запускать в вашей системе. Для работы он должен иметь доступ к необработанным IP-пакетам и может захватывать пакеты, входящие и исходящие из системного интерфейса или по сети, к которой подключена система.