我想使用不同类型的入侵检测工具,例如 OpenSource Tripwire。请推荐一些工具,除了 Tripwire 提供的信息之外,还可以为我提供一些额外的信息?其次,如何获取我的服务器所有客户端的IP地址?第三,我可以合并所有这些工具创建的日志吗?
答案1
首先是一般性:时间戳至关重要。使用 NTP 同步系统时钟,确保时钟不会到处晃动。之后,您可以继续基础知识。
我建议运行 Michal Zalewski 的 p0f 并记录其对传入 TCP 请求的猜测。我在用着版本 2,但扎莱夫斯基有 av版本3出去。
卡内基梅隆大学的 CERT 有一个大幅更新的 p0f v2.x 指纹文件。
您可以通过如下调用在后台运行 p0f v2.x:
p0f -f $FPRINTS -d -t -l -o $LOGFILE
$FPRINTS命名指纹文件并$LOGFILE命名输出最终所在的文件。
p0f 会让你对攻击者使用的操作系统有一个相当不错的猜测。您必须将 p0f 猜测与您收集的任何其他数据进行协调。
替代:辛FP3。我发现安装起来有点棘手,因为它有一些非标准的 Perl 模块依赖项。