考虑让linux发现有端口扫描的时候自动报警,debian上看到有一个psad,就先试用一下,顺带把iptables配置成支持ulog的日志输出。
-A INPUT -p TCP --dport 22 -j ULOG --ulog-prefix "SSH connection attempt: "
-A INPUT -p TCP -j ULOG --ulog-prefix "TCP connect"
-A INPUT -p icmp -j ULOG --ulog-prefix "ICMP"
ulog输出日志在:/var/log/ulog/syslogemu.log
psad分析如下:
psad --CSV --CSV-fields "SRC SPT DST DPT" --CSV-max 1000 -m /var/log/ulog/syslogemu.log
-A INPUT -p TCP --dport 22 -j ULOG --ulog-prefix "SSH connection attempt: "
-A INPUT -p TCP -j ULOG --ulog-prefix "TCP connect"
-A INPUT -p icmp -j ULOG --ulog-prefix "ICMP"
ulog输出日志在:/var/log/ulog/syslogemu.log
psad分析如下:
psad --CSV --CSV-fields "SRC SPT DST DPT" --CSV-max 1000 -m /var/log/ulog/syslogemu.log