Incoming Portscans loggen

Rund um die Sicherheit des Systems und die Applikationen
skep
Posts: 13
Joined: 2003-03-07 11:42

Incoming Portscans loggen

Post by skep » 2003-03-10 03:55

Hallo zu später Stunde...

Ich würde gerne eine Statistik erstellen wollen die alle eingehenden Portscans (und Verbindungen) mitloggt und sie in einem 10min Intervall auswertet (per cronjob). Nu meine Frage:
Gibt es Systemeigene Tools die alle Portscans mitloggen (iptables oder so) ?
Sprich..ich such ein programm ect. welches mir kontinuirlich die Scans loggt..ich lese sie alle 10min aus und lösche dabei das Logfile (nicht das ich überlaufe..).
Geht sowas mit iptables oder ähnlichen Tools ?

Wäre nett wenn mir dabei jemand einen Tipp geben könnte (ich lese mir dann den Rest an).

Ach ja...bei dem System handelt es sich um einen üblichen 1&1 Root-Server mit Suse 7.2.


P.S. Ich glaub ich hab was gefunden: "iplog"...oh..doch nicht..scheinbar nicht für Linux..

skep
Posts: 13
Joined: 2003-03-07 11:42

Re: Incoming Portscans loggen

Post by skep » 2003-03-10 04:17

Ok..hab die Lösung für mich gefunden. Ich werde das System wie http://www.taedium.net/rrd-iptraf/ beschrieben nehmen.
Ich sollte wohl doch öfter erst mal googlen..... :wink:

sascha
Posts: 1325
Joined: 2002-04-22 23:08

Re: Incoming Portscans loggen

Post by sascha » 2003-03-10 17:50

Hi,

eine Alternative wäre eventuell noch Portsentry (siehe FAQ) :wink:

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Incoming Portscans loggen

Post by floschi » 2003-03-10 21:59

wobei dir da ziemlich schnell die Lust vergeht - ich bekomme zur Zeit pro Stunde 4 bis 5 Portscans :(

skep
Posts: 13
Joined: 2003-03-07 11:42

Re: Incoming Portscans loggen

Post by skep » 2003-03-10 22:03

olfi wrote:wobei dir da ziemlich schnell die Lust vergeht - ich bekomme zur Zeit pro Stunde 4 bis 5 Portscans :(
Naja..habs jetzt umgeändert. Hab ne Anzeige mit rrdtool für incoming und outgoing "traffic" bestimmter Ports wie ftp, http, ssh, telnet, domain, ident, pop3, smtp und nochmal extra udp und tcp. Da wird einem nicht so langweilig ;)

Ist ja auch mehr oder weniger zum Spaß das Ganze....