Einzelnen Beitrag anzeigen
 
Alt 06.02.2009, 05:56
nikosch nikosch ist offline
Registered User
 
Registriert seit: 12.2008
Beiträge: 52
Einen Portscan kannst du auch mit iptables "erkennen" und den Angreifer blocken.
Ich habe dafür was zusammengebastelt, es funktioniert wie ein "honeypot", wird ein bestimmter Port angesprochen (natürlich ein, von dir, ungenutzter), schnappt die Falle zu, der Angreifer wird geblockt.
Ich finde das deswegen sinnvoll, weil ich davon ausgehe, dass jemand, der einen Portscan ausführt und damit den Port anspricht, sowieso nichts gutes im Schilde führt.
Hier ein Auszug:
Code:
$IPT -N honeypot
$IPT -A INPUT -s ! 127.0.0.1 -j honeypot
$IPT -A honeypot -m recent --update --seconds 6000 --name portscan -j DROP
$IPT -A honeypot -p tcp -m tcp --dport 21 -m recent --name portscan --set -j LOG --log-prefix "IPTABLES -- HONEYPOT -- P 21 " --log-level 6 --log-ip-options
$IPT -A honeypot -p tcp -m tcp --dport 21 -m recent --name portscan --set -j DROP
$IPT -A honeypot -j RETURN
Die Log Zeile ist nur drin, damit ich einen einfachen Überblick über die Auslösungen habe.
Hier ist die Block Zeit 6000 Sekunden.
Für den Angreifer sieht es dann so aus, als ob der Host nicht mehr antworten würde. (DROP)
Mit Zitat antworten