slackware下配置portsentry死活不成功。

万里北国

本机上开了20、21、22、80、123、554 几个端口，
装了portsentry后，用别的机器上的nmap -P0扫描，发现portsentry不生效，
还是能扫出来。
我的portsentry.conf配置如下，烦请大家看看：

TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,
12345,12346,20034,31337,32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,32770,32771,32772,
32773,32774,31337,54321"
ADVANCED_PORTS_TCP="1023"
ADVANCED_PORTS_UDP="1023"
ADVANCED_EXCLUDE_TCP="113,139"
ADVANCED_EXCLUDE_UDP="520,138,137,67"
IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore"
HISTORY_FILE="/usr/local/psionic/portsentry/portsentry.history"
BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked"
BLOCK_UDP="1"
BLOCK_TCP="1"
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"
KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"
SCAN_TRIGGER="0"

寂寞烈火

启动portsentry服务了么？我用redhat装没问题~，至于slackware就不知道了，赫赫~

万里北国

启动了，我又看了一下日志，确实成功启动了，
试验了一下，凡是TCP_PORTS和UDP_PORTS里的端口都不能正常连接，我用21端口还做了一次试验，结果确实不能正常连接FTP了，看来配置是成功了，连虽然连不上了，但用nmap扫描还是能扫出结果来。


怎么才能达到nmap扫不出来的效果呢？

kenduest

nmap ? nmap 有一堆特殊的 port scan 方式，考慮先使用 firewall 阻擋吧。

提供參考:

1. 
   
2. 
   
3. # NMAP FIN/URG/PSH
   
4.   iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
   
5. 
   
6.   # Xmas Tree
   
7.   iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
   
8. 
   
9.   # Another Xmas Tree
   
10.   iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    
11. 
    
12.   # Null Scan(possibly)
    
13.   iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
    
14. 
    
15.   # SYN/RST
    
16.   iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    
17. 
    
18.   # SYN/FIN -- Scan(possibly)
    
19.   iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    
20. 
    

复制代码

==

万里北国

我试了一下，iptables 的这些语句好象对nmap -P0 无效啊。

$IPTABLES -A INPUT -p TCP --tcp-flags ALL NONE -j DROP
$IPTABLES -A INPUT -p TCP --tcp-flags ALL ALL -j DROP
$IPTABLES -A INPUT -p TCP --tcp-flags ALL SYN,FIN -j DROP
$IPTABLES -A INPUT -p TCP --tcp-flags ALL URG,PSH,FIN -j DROP
$IPTABLES -A INPUT -p TCP --tcp-flags ALL FIN -j DROP
$IPTABLES -A INPUT -p TCP --tcp-flags ALL URG,PSH,SYN,FIN -j DROP
$IPTABLES -A INPUT -p TCP --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
$IPTABLES -A INPUT -p TCP --tcp-flags SYN,ACK,FIN,RST RST -j DROP

[ 本帖最后由 万里北国 于 2006-4-2 16:58 编辑 ]

kenduest

原帖由 万里北国 于 2006-4-2 16:57 发表
我试了一下，iptables 的这些语句好象对nmap -P0 无效啊。

档 -P0 的意义作啥用？要一堆奇怪的配置您不嫌累吗？

怕被 port scan，请先自己看一下 iptables manpage，里面有个 psd 的 MATCH EXNTENSION 可以使用，请自己测试。

1. 
   
2. psd
   
3.        Attempt  to  detect TCP and UDP port scans. This match was derived from Solar Designer's scanlogd.
   

复制代码

==

[ 本帖最后由 kenduest 于 2006-4-2 20:43 编辑 ]

platinum

昨天分析了一下 portsentry 的原理，感觉弱得很
执行 portsentry 后，根据配置文件里面的端口，产生 N 多个端口绑定，让扫描程序认为那些端口都开放了服务
当那些端口收到 syn 包后，可以返回 syn/ack，让扫描程序认为端口开放
但是随之以后，portsentry 会再次发送一个 fin，来主动结束这个 connection

经过试验，比如我配置了 TCP/80，而系统没有开启 apache，则 TCP/80 被 portsentry 占用
若此时启动 apache 则会报错，告知 80 端口已被占用
若系统早已启动了 apache，此时执行 portsentry 的话，他会判断出 80 端口已被占用，不再监听该端口
netstat -lnp 的话，会看到 N 多端口都被 listen

portsentry 实际就是一个利用占用端口监听来实现欺骗，感觉比较弱。。。。。。。。

ayazero

他是端口扫描的HIDS，而不是系统防护软件

万里北国

有些网站能挡住nmap -P0，
不知道怎么实现的。
有资料说portsentry可以，我却试验不成。

[ 本帖最后由 万里北国 于 2006-4-3 11:02 编辑 ]