Что такое детекторы атак?
Раньше для защиты от анализаторов достаточно было использовать протоколы шифрования команд, например SSH, и подключить все компьютеры сети к коммутаторам. Для современных анализаторов этого уже недостаточно. Однако кое-что все же можно сделать. Прежде всего, везде, где только возможно, применяйте самые современные протоколы шифрования. В настоящее время вполне безопасен протокол SSH2. Но помните: любые преграды лишь усложняют задачу хакерам, но не останавливают их. Хакеры трудятся с такой же интенсивностью, как и системные администраторы, иногда опережая их на шаг. В следующем разделе будут рассмотрены программы, позволяющие обнаружить сканирование портов и перехват трафика.
Иногда нам остается лишь надеяться, что установленных средств защиты достаточно для отражения атак большинства хакеров, а злобное меньшинство никогда не будет нас атаковать. Но правда в том, что если кто-то действительно хочет взломать систему, то, постаравшись, он сможет это сделать. Ни одна система не является полностью безопасной, даже если она находится в закрытом помещении и выключена.
Зато есть программы, помогающие выявлять некоторые виды атак.
- Neped — находит системы, в которых работают сетевые анализаторы.
- PortSentry — контролирует деятельность сканеров портов.
- Courtney — это первая программа-детектор, разработанная для выявления процессов SATAN. Программа последний раз обновлялась в 1995 году, но ее все еще можно загрузить по адресу ftp://coast.cs.purdue.edu/pub/tools/unix/logutils/courtney/.
- Klaxon — это детектор сканеров, замещающий службы в файле конфигурации демона inetd, подобно программе TCPWrappers. У программы возникают проблемы, если она применяется к большому числу протоколов, но в остальном она вполне полезна. Программа доступна по адресу ftp.eng.auburn.edu/pub/doug.
- Scan-Detector — это Perl-сценарий, который можно загрузить по адресу http: //www.securityfocus.com/tools/395.
Сорри за оффтоп, но картинка зачётная..
Очень познавательная статья- прошу присылать в такой же тематике.
«В дальнейшем мы поговорим о таких из них, как:»
Когда ждать статей о двух перечисленных программах?
скоро… в этом месяце
Обычно пользуюсь PortSentry. Никаких нареканий, часто помогала.
Что-то понятно не стало, как использовать и нужны ли детекторы обычному пользователю на домашнем компьютере.
Tanushka77:
наверно обычному нет, а обычному любопытному — да…))
Я не понял, что значит функция PortSentry? Она т.е записывает IP того кто сканирует твои порты или что?
tayler:
PortSentry — это утилита.
Хм. Спасибо. Узнал много нового. Никогда не слышал о подобных атаках.