Hver dag er vi prisgitt personer eller maskiner som ønsker å få tilgang til informasjonen vår, datamaskiner eller rett og slett ønsker å kjenne trinnene våre på Internett, det er derfor vi alltid må ta hensyn til de teknologiske risikoene vi er utsatt for. En av de mest populære sårbarhetene vi står overfor i dag er havneskanningsangrep, så det er praktisk å lære å beskytte oss mot det, og dette kan gjøres enkelt takket være et skript som heter PortScanDetector.
Hva er portskanangrepet?
Havneskanningsangrepet (havnescan) er prosessen der portene til en maskin som er koblet til nettverket automatisk analyseres for å verifisere hvilke porter som er åpne, lukkede eller har en sikkerhetsprotokoll, vil resultatet av denne analysen tillate inntrengere å kjenne informasjon som sammensetningen av vår arkitektur, operativsystemet til datamaskinene våre og de mulige sikkerhetshullene som senere vil bli utnyttet av angripere.
Det er viktig å merke seg at nettverksadministratorer også bruker portskanning for å lage kart over sårbarheter som da må rettes, blant de mange verktøyene for portskanning er høydepunktene arp-skanning, Nmap y Angry IP Scanner.
Tidligere ble det skrevet et par veldig interessante artikler som gjør det mulig for oss å beskytte oss mot havneskanningsangrepet, disse artiklene er Fremgangsmåte for å sikre vår VPS y Sikkerhetstips for Linux (Server) der praktiske råd er gitt for å sikre serverne våre. Denne gangen vil vi lære hvordan vi kan utføre disse prosessene på en mer automatisk måte.
Hva er PortScanDetector?
Det er et open source-skript, utviklet i python av Jacob Rickerd som gjør det mulig å oppdage portskanning i Linux, er dette mulig takket være skriptet som legger til regler i iptables eller firewallld som registrerer TCP-pakkene som overføres og automatisk blokkerer dem i de tilfeller der mer enn 10 har blitt konsultert porter, i dette enkel måte vi sørger for at ingen prøver å skanne alle portene våre.
Hvordan bruker jeg PortScanDetector?
PortScanDetector trenger python 2.7 for å fungere, så må vi bare klone det offisielle depotet til verktøyet og kjøre python-skriptet, det vil automatisk analysere nettverket kontinuerlig og blokkere alle mulige angrep. Kommandoene for å utføre trinnene nevnt ovenfor er som følger:
git clone https://github.com/Rickerd0613/PortScanDetector.git cd PortScanDetector / sudo python scanDetector.py
PortScanDetector master sudo python scanDetector.py
Sporing (siste samtale sist):
Fil "scanDetector.py", linje 48, inn
firewalld ()
Fil "scanDetector.py", linje 20, i brannmur
["Firewall-cmd", "–list-all-zones"]):
Fil "/usr/lib/python2.7/subprocess.py", linje 566, i sjekkoutput
prosess = Popen (stdout = PIPE, * popenargs, ** kwargs)
Fil "/usr/lib/python2.7/subprocess.py", linje 710, i __init__
feiler, feiler
Fil "/usr/lib/python2.7/subprocess.py", linje 1335, i _execute_child
oppdra barnets unntak
OSError: [Errno 2] Ingen slik fil eller katalog
Noen ideer?
https://github.com/Rickerd0613/PortScanDetector/issues/2
God ettermiddag, da kloning og utførelse ga meg disse feilene:
python scanDetector.py
Sporing (siste samtale sist):
Fil "scanDetector.py", linje 48, inn
firewalld ()
Fil "scanDetector.py", linje 20, i brannmur
["Firewall-cmd", "–list-all-zones"]):
Fil "/usr/lib/python2.7/subprocess.py", linje 566, i sjekkoutput
prosess = Popen (stdout = PIPE, * popenargs, ** kwargs)
Fil "/usr/lib/python2.7/subprocess.py", linje 710, i __init__
feiler, feiler
Fil "/usr/lib/python2.7/subprocess.py", linje 1335, i _execute_child
oppdra barnets unntak
OSError: [Errno 2] Ingen slik fil eller katalog
Du må installere firewalld
hei, min feil i dette tilfellet er:
Fil "scanDetector.py", linje 12
skriv ut "Regel ikke der"
^
SyntaxError: Manglende parenteser i samtalen for å 'skrive ut'. Mente du utskrift (int "Regel ikke der")?
Jumi Jeg tror feilen gir deg er relatert til versjonen av python du bruker, skriptet er basert på python 2.7 og ut fra det du rapporterer ser det ut til at du har installert python 3.0-versjonen (+).
Først og fremst må du lage reglene i Firewalld - http://www.firewalld.org/documentation/ , dette skriptet fungerer bare når Firewalld er konfigurert og kjører på datamaskinen eller serveren din.
Et spørsmål Lizard, når du har kjørt skriptet, ble endringene i brannmuren (i mitt tilfelle firewalld) permanent konfigurert? Kjenner du på en eller annen måte en måte å reversere det i tilfelle det er slik?
Jeg mener, er det ikke bedre å bruke iptables, lese litt, lage reglene og voila?
Hei, jeg er halvt nobel, men dette skriptet tar bare handlinger i tilfelle portskanningen er tcp, eller savnet jeg noen viktig del av skriptkoden der den tar handlinger for en udp-skanning?
Kan den også brukes til rutere? For eksempel en mikrotik-ruter? (Jeg mener, det ville være flott; D), hvis du vet hvordan du kan sende meg en melding til jazz21103@gmail.com hvis de kan gi meg noen ressurs eller noe.