能够通过更改/etc/portsentry/portsentry.conf来改变portsentry的运行的方式.能够选择监控
哪个端口,用哪个模式监控,连同检测到扫描后的响应方式,这些响应包括:
@阻塞远程主机的访问
@将从远程主机发来的信息重新路由到没响应的主机
@添加防火墙规则来拒绝远程主机发来的包
/etc/protsentry/portsentry.modes这个文档只包括能运行的模式
更改这些文档,必须作为根用户编辑
1) 选择端口
文档protsentry.conf定义了在basic和stealth模式下哪些端口被监控.默认条件下,只有基本的TCP和
UDP模式是被激活遏,所以,只有这些端口被监控,TCP_PORTS和UDP_PORTS选项定义了一些被监控的端口:
grep -E '^TCP_PORTS|^UDP_PORTS' portsentry.conf
用grep来察看
linux中的网络服务从/etc/services中得到分配的端口号.因此,通常我们能够检查/etc/services来找到
指定给被扫描端口的大多数服务
选择要监控的端口基于两个不同的标准,选择低端口号来捕获在端口1开始的连同对几百个端口扫描的扫描器,
假如扫描器在访问完端口1后被阻塞,那么他就不可能得到本地主机上可能开着的其他端口信息.
另外一个标准是包括被入侵者特别的检查端口,因为那些服务最容易被攻击,他们包括ststat和netstat服务
假如担心被攻击,想要覆盖更多的端口,会希望增加端口到portsentry.conf的列表中.假如从basic到stealth扫描
,被监控的端口是被ADVANCED_PORTS_TCP和ADVANCED_PORTS_UDP选项定义的那些.见默认状态配置:
ADVANCED_PORTS_TCP="1023"
ADVANCED_PORTS_UDP="1023"
这表明,1~1023的任何端口将被监控.
监控高端口号会引起更多的误报,能够通过
ADVANCED_EXCLUDE_TCP="111,113,139"
ADVABCED_EXCLUDE_UDP="520,138,137,67"
排除出错的端口
默认情况,使用TCP(111,113,139)的ident和NetBIOS服务连同UDP(520,138,137,67)的route,NetBIOS和Bootp服务将
被排除在高级扫描之外
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
