Assine a Lista Dicas-L
Receba diariamente por email as dicas
de informática publicadas neste site
Para se descadastrar, clique aqui.
scanlogd - IDS Port Scan Detection Tool
Colaboração: Claudemir P. da Luz Jr.
Data de Publicação: 18 de Dezembro de 2005
O scanlogd é um daemon escrito para a Phrack Magazine. Ele faz uso de diversas libs para isto como a Libpcap, libnet e a libnids. Podendo detectar "fingerprints", assim ele irá detectar todos os chamados "Ports Scans" que chegarem em seu Servidor. Logando os dados via syslog.
Existe até um port dele para o windows. Para baixar a ferramenta acesse o site:
http://www.openwall.com/scanlogd/scanlogd-2.2.5.tar.gz
Primeiro descompacte o arquivo em um diretorio:
tar zxvf scanlogd-2.2.5.tar.gz
Depois acesse o diretório criado:
cd scanlogd-2.2.5 **
E por final podemos usar o make para gerar o programa. E neste caso usamos a libnids. E para usar por exmplo a libpcap, podemos utilizar o make libpcap. Maiores informações, poderão ser encontradas no man do scanlog:
make libnids
NOTA.: Se desejar ja existe pacotes RPM no fr2.rpmfind.net para o Conectiva e SUSE.
Depois, teremos que criar um usuário chamado 'scanlogd':
adduser scanlogd
A seguir, colocamos a entrada do scanlogd dentro do syslog. Edite o arquivo:
vi /etc/syslog.conf
E adicione a seguinte linha:
# scanlogd daemon.alert /var/log/alert
Salve e reincie o seu syslog.
Você pode copiar o binario para um diretorio no path do sistema ou ate criar um script init para ele. E executa-lo.
./scanlogd
ou
service scanlogd start
Basta escolher como executar.
E para monitorar o scanlogd em ação, basta executar:
tail -F /var/log/alert
Referências Adicionais
Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.
