Moderators Gi0 Δημοσ. 22 Μαρτίου 2010 Moderators Share Δημοσ. 22 Μαρτίου 2010 Εκανα ενα portscan με nmap το desktop(ubuntu 9.10),απο pc εκτος τοπικου δικτυου. Υποθετω πως σε καποιο log file φαινεται οτι η ταδε ip την x ωρα εκανε scan ή τουλαχιστον ειχε καποια επικοινωνια με το pc.Η κανω λαθος?Χρειαζομαι καποια εξτρα ρυθμιση/καποιο πακετο για να εχω τις παραπανω πληροφοριες?Στο system log viewer γινεται να βγαλω ακρη? (Αν παιζει ρολο,το scan ηταν αρκετα"εμφανες"στο pc,μια και ελεχθηκαν ολες οι ports με οσο το δυνατον γρηγοροτερο ρυθμο) Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
angmar Δημοσ. 23 Μαρτίου 2010 Share Δημοσ. 23 Μαρτίου 2010 από έξτρα εργαλεία διαθέτουμε το fiaif και το psad. Μαζεύουν τα δεδομένα τους από logs του συστήματος, οπότε αν σκάψεις θα βρεις logs του scan που έκανες, αλλά μάλλον το fiaif φαίνεται ιδανικό για την περίπτωση και εύκολο. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Moderators Gi0 Δημοσ. 23 Μαρτίου 2010 Μέλος Moderators Share Δημοσ. 23 Μαρτίου 2010 από έξτρα εργαλεία διαθέτουμε το fiaif και το psad. Μαζεύουν τα δεδομένα τους από logs του συστήματος, οπότε αν σκάψεις θα βρεις logs του scan που έκανες, αλλά μάλλον το fiaif φαίνεται ιδανικό για την περίπτωση και εύκολο. Thumbs up boy,ευχαριστω!Θα τα δοκιμασω και τα 2. Βρηκα και τα snort και prelude απο synaptic αλλα δεν νομιζω πως χρειαζομαι κατι τοσο "σοβαρο"(δεν θελω και εγκατασταση mysql) Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
angmar Δημοσ. 23 Μαρτίου 2010 Share Δημοσ. 23 Μαρτίου 2010 ε ναι κι εγώ πιστεύω ότι γι αυτή τη δουλειά δε χρειάζεται και τόσο. Το μόνο κακό που έχουν αυτά είναι ότι δουλεύουν κατόπιν εορτής, δηλαδή το scan που έκανες ήδη δε νομίζω να το δουν. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Moderators Gi0 Δημοσ. 23 Μαρτίου 2010 Μέλος Moderators Share Δημοσ. 23 Μαρτίου 2010 Ναι,το φανταστηκα.Καλα,δεν μ απασχολει ουτε η αυτοματη ενημερωση-προς το παρον τουλαχιστον-ουτε το συγκεκριμενο scan. ...χελγκα:lol: Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
gtroza Δημοσ. 23 Μαρτίου 2010 Share Δημοσ. 23 Μαρτίου 2010 στα logs του router σου δεν φαίνεται κάτι ; . Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Moderators Gi0 Δημοσ. 23 Μαρτίου 2010 Μέλος Moderators Share Δημοσ. 23 Μαρτίου 2010 Καλη ιδεα,αλλα απ οτι βλεπω το thomson δεν κραταει μεγαλα logs.Το scan εγινε χτες απογευμα και οτι βλεπω τωρα στο security του router ειναι σημερινο.Εχω και την εντυπωση πως τα παντα σβηνονται οταν κανει reboot,γι αυτο και θα θελα κατι "χειροπιαστο"στο σκληρο στο οποιο θα μπορω να ψαξω με ενα grep. Thanx gtroza,οτι μπορεις να προσθεσεις/διορθωσεις,καλοδεχουμενο Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
gtroza Δημοσ. 23 Μαρτίου 2010 Share Δημοσ. 23 Μαρτίου 2010 είμαι άσχετος με το θέμα απλά μιά μέρα είχα μιά διανομή με ένα πρόγραμμα που έδειχνε (γραφικά) την κίνηση δικτύων (είχα ανοιχτό ασύρματο) μετά είδα τα logs στο router και πρόσεξα ότι είχε ιστορικό συνδέσεων πιό μετά είδα ότι δεν βγάζω άκρη και άφησα μόνο σύνδεση με καλώδιο ! . Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
NullScan Δημοσ. 23 Μαρτίου 2010 Share Δημοσ. 23 Μαρτίου 2010 Καταρχάς το snort σίγουρα θα σου δείξει όχι μόνο connection attempts αλλά θα σου αναγνωρίσει και το είδος του scan που έκανες (Xmas scan, fin scan, null scan κτλ), αυτή είναι η δουλειά του άλλωστε σαν Intrusion Detection System (IDS). Την sql την χρειάζεται γιατί δεν φτιάχτηκε για "οικιακή" χρήση αλλά για να κάνει αυτή τη δουλειά σε τεράστια και αρκετά πιό πολύπλοκα δίκτυα οπου τα data που παράγονται είναι πραγματικά ατελείωτα, εξ' ού και η database. Υπάρχουν και πιό light λύσεις όπως ο Port Scan Attack Detector που δέν χρειάζονται DBs αν είναι αυτό το πρόβλημά σου και μόνο. Όσον αφορά λύσεις χωρίς κάποιο εξειδικευμένο πρόγραμμα και λόγω της φύσης του port scanning ο μόνος τρόπος να πάρεις log που να σου δίνει μιά ιδέα για το τί συμβαίνει στο IP stack του λειτουργικού σου είναι τα iptables χωρίς συγκεκριμένα rules αλλά με log του πού γίνεται forward το κάθε incomming πακέτο. Και για να μήν γεμίσεις το σύμπαν με logs θα μπορούσες να το κάνεις λίγο πιό συγκεκριμένο ψάχνοντας λίγο τα βασικά είδη port scanning και φτιάχνοντας rules γι αυτά και μόνο. Επειδή πλέον το iptables είναι statefull μπορείς πολύ άνετα να φτιάξεις πχ ένα rule που να λέει οτι αν έρθει TCP FIN πακέτο ενώ δεν υπάρχει προηγούμενη "συζήτηση" με την συγκεκριμένη IP ή/και MAC address τότε μόνο κάνε log το event. Πολύ χοντρικά και από μνήμης κάτι τέτοιο θα μπορούσε να γραφτεί ώς: >iptables -N scanning iptables -A scanning -p tcp --state NEW --tcp-flags FIN -j LOG Αυτά σε γενικές γραμμές. Μήν τον χρησιμοποιήσεις έτσι όπως είναι τον παραπάνω κώδικα το πιθανότερο είναι να έχω ξεχάσει κάποιο switch Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Moderators Gi0 Δημοσ. 23 Μαρτίου 2010 Μέλος Moderators Share Δημοσ. 23 Μαρτίου 2010 Πολυτιμες πληροφοριες. Ευχαριστω πολυ NullScan Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
NullScan Δημοσ. 23 Μαρτίου 2010 Share Δημοσ. 23 Μαρτίου 2010 Παρακαλώ. Ψάξου αν ενδιαφέρεσαι, το θέμα είναι ωραίο. Και για οτιδήποτε περισσότερο εδώ είμαστε Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.