Детекторы атакЧто такое детекторы атак?

Май 29, 2010 → 10 Comments


Раньше для защиты от анализаторов достаточно было использовать протоколы шиф­рования команд, например SSH, и подключить все компьютеры сети к коммутаторам. Для современных анализаторов этого уже недостаточно. Однако кое-что все же можно сделать. Прежде всего, везде, где только возможно, применяйте самые современные про­токолы шифрования. В настоящее время вполне безопасен протокол SSH2. Но помните: любые преграды лишь усложняют задачу хакерам, но не останавливают их. Хакеры тру­дятся с такой же интенсивностью, как и системные администраторы, иногда опережая их на шаг. В следующем разделе будут рассмотрены программы, позволяющие обнаружить сканирование портов и перехват трафика.

Иногда нам остается лишь надеяться, что установленных средств защиты достаточно для отражения атак большинства хакеров, а злобное меньшинство никогда не будет нас атаковать. Но правда в том, что если кто-то действительно хочет взломать систему, то, по­старавшись, он сможет это сделать. Ни одна система не является полностью безопасной, даже если она находится в закрытом помещении и выключена.

Зато есть программы, помогающие выявлять некоторые виды атак.

В дальнейшем мы погово­рим о таких из них, как:

  • Neped — находит системы, в которых работают сетевые анализаторы.
  • PortSentry — контролирует деятельность сканеров портов.

На самом деле детекторов много, и ниже представлены еще одни представители этой линейки программ:

  • Courtney — это первая программа-детектор, разработанная для выявления процессов SATAN. Программа последний раз обновлялась в 1995 году, но ее все еще можно загрузить по адресу ftp://coast.cs.purdue.edu/pub/tools/unix/logutils/courtney/.
  • Klaxon — это детектор сканеров, замещающий службы в файле конфигурации демона inetd, подобно программе TCPWrappers. У программы возникают проблемы, если она применяется к большому числу протоколов, но в остальном она вполне полезна. Программа доступна по адресу ftp.eng.auburn.edu/pub/doug.
  • Scan-Detector — это Perl-сценарий, который можно загрузить по адресу http: //www.securityfocus.com/tools/395.



Если Вам понравилась эта статья,
!

Comments

  • http://zolter-blog.ru/ Zolter

    Сорри за оффтоп, но картинка зачётная..

  • http://nebolet.blogspot.com/ myworld

    Очень познавательная статья- прошу присылать в такой же тематике.

  • http://paveldev.blogspot.com/ PavelDev

    «В дальнейшем мы погово­рим о таких из них, как:»
    Когда ждать статей о двух перечисленных программах?

    • carerakjan

      скоро… в этом месяце

  • http://odevice.ru/ Денис

    Обычно пользуюсь PortSentry. Никаких нареканий, часто помогала.

  • Tanushka77

    Что-то понятно не стало, как использовать и нужны ли детекторы обычному пользователю на домашнем компьютере.

    • carerakjan

      Tanushka77:
      наверно обычному нет, а обычному любопытному — да…))

  • tayler

    Я не понял, что значит функция PortSentry? Она т.е записывает IP того кто сканирует твои порты или что?

    • carerakjan

      tayler:
      PortSentry — это утилита.

  • http://karkaspro.com.ua/ Sebastian

    Хм. Спасибо. Узнал много нового. Никогда не слышал о подобных атаках.