RHS333-11 入侵检测

Linux入侵检测

一、iptables实现日志记录网络流量

[root@station2 aide]# iptables -A INPUT -p tcp --dport 80 -j LOG --log-prefix="80"

[root@station2 aide]# tail /var/log/messages

Apr 5 23:23:35 station2 kernel: 80IN=eth0 OUT= MAC=54:52:00:67:6f:33:00:18:8b:7c:67:87:08:00 SRC=192.168.32.221 DST=192.168.32.32 LEN=353 TOS=0x00 PREC=0x00 TTL=127 ID=3155 DF PROTO=TCP SPT=56663 DPT=80 WINDOW=4420 RES=0x00 ACK PSH URGP=0

Apr 5 23:23:35 station2 kernel: 80IN=eth0 OUT= MAC=54:52:00:67:6f:33:00:18:8b:7c:67:87:08:00 SRC=192.168.32.221 DST=192.168.32.32 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=3156 DF PROTO=TCP SPT=56663 DPT=80 WINDOW=4302 RES=0x00 ACK URGP=0

Apr 5 23:23:35 station2 kernel: 80IN=eth0 OUT= MAC=54:52:00:67:6f:33:00:18:8b:7c:67:87:08:00 SRC=192.168.32.221 DST=192.168.32.32 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=3157 DF PROTO=TCP SPT=56663 DPT=80 WINDOW=4302 RES=0x00 ACK FIN URGP=0

二、开发端口监控

1、本地监控：netstat

[root@station2 ~]# netstat -tulpn #监控端口开放

[root@station2 ~]# netstat -tupn #监控活动链接

2、远程监控：nmap （gui工具：nmapfe）

[root@station2 ~]#nmap -P0 station3.example.com #扫描主机

[root@station2 ~]#nmap -sV 192.168.32.0/24 #扫描网段

三、检查文件是否修改

1、md5sum（通过检查文件的hash值变化）

[root@station2 ~]# md5sum install.log

7d0c76c92baf8ec23714e38d99ad48f7 install.log

[root@station2 ~]# echo "1111">>install.log

[root@station2 ~]# md5sum install.log

470d4cd0bbfe77613ecb614fd02e86e0 install.log

2、tripwire

3、

本文出自 “netsword.blogchina.com” 博客,请务必保留此出处http://netsword.blog.51cto.com/13993/536091

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!