我正在运行scanlogd以检测端口扫描。我观察到以下内容以在中生成日志消息/var/log/syslog。
- 当我使用
zenmap(nmap gui)从同一子网上的另一台计算机对此系统进行端口扫描时 - 使用
nmap127.0.0.1 作为目标从本地主机扫描系统 - 使用
nmap外部 IP 作为目的地从本地主机扫描系统。 - 来自同一组织(一所大学)中不同子网上的我的手机。
/var/log/syslog:
Aug 16 15:38:59 LIVE272675 scanlogd: 208.75.19.79 to 208.75.19.139 ports 22, 17500, 256, 135, 143, 113, 53, ..., ?????uxy, TOS 00 @14:57:26
Aug 16 15:40:20 LIVE272675 scanlogd: 127.0.0.1 to 127.0.0.1 ports 6010, 6011, 48153, 49681, 52321, 33819, 60076, ..., ?????uxy, TOS 00, TTL 64 @16:24:06
Aug 16 15:41:13 LIVE272675 scanlogd: 208.75.19.139 to 208.75.19.139 ports 80, 443, 993, 143, 256, 1720, 8080, 1723, ..., fSrpauxy, TOS 00, TTL 64 @20:41:13
Aug 16 15:49:07 LIVE272675 scanlogd: 208.75.243.17 to 208.75.19.139 ports 1, 2, 3, 7, 9, 11, ..., fSrpauxy, TOS 00, TTL 63 @20:49:07
但是,从组织网络外部的计算机扫描此计算机不会生成任何日志,即使扫描检测到打开的端口和系统上正确运行的服务。我的某些设置有误吗?或者这是意料之中的事情?
为什么scanlogd扫描不见了?有没有办法检测所有端口扫描?
答案1
这里他们说:
scanlogd 的目标不是检测所有端口扫描,而是检测尽可能多的端口扫描同时仍然足够可靠。Scanlogd 使用 syslog(3) 机制每次扫描写入一行。它还会记录源地址在短时间内向多个不同端口发送大量数据包的情况。由于 scanlogd 仅用于检测扫描,因此在您的系统上运行它是完全安全的。它必须能够访问原始 IP 数据包才能运行,并且可以捕获进出系统接口或系统所连接网络的数据包。