PortSentry:入侵检测工具实战！！！

项目背景：

我们需要对于我们的服务器的安全有一定的安全手段，需要又能力检测已经对我们的服务器发起过攻击的主机和正在对我们进行攻击的人的IP。而且可以采取手段让我们在攻击下可以保证我们主机的安全。

软件介绍：

PortSentry是一款配置简单、效果直接的防入侵检测工具，现已被思科收购。PortSentry可以实时检测几乎所有类型的网络扫描，并对扫描行为做出反应。    一旦检测到恶意扫描，PortSentry可以向攻击者发出虚假的路由信息，把所有的信息流都重定向到一个不存在的主机;或者自动将对服务器进行端口扫描的主机加到TCP-Wrappers的/etc/hosts.deny文件中去，利用Netfilter机制，用包过滤程序，比如iptables和ipchain等，或者把所有非法数据包(来自对服务器进行端口扫描的主机)都过滤掉;或者通过syslog()函数给出一个目志消息，甚至可以返回给扫描者一段警告信息

实验环境：

vmware workstation 11

centos6.5的系统下  

Cobbler服务器：ip：192.168.0.32  

SecureCRT （ssh远程连接软件）

项目流程：

一、软件下载

[root@Master ~]#  wget http://fm.linzhennan.cn/portsentry-1.2.tar.gz

二 、软件安装

1、解压缩

[root@Master ~]# tar zxvf portsentry-1.2.tar.gz 

2、编译

[root@Master ~]# cd portsentry_beta/   #先切换到结出来的目录里面

3、安装

遇到问题，好事 可以帮我们成长。

问题解决了吗？我们先make linux ，再make install 安装

接下来我们安装一下看看

三、查看我们安装成功的软件监视的端口清单，当然你可以自定义。只要按照配置文件的默认格式就行

[root@Master portsentry_beta]# vim /usr/local/psionic/portsentry/portsentry.conf

四、查看一些记录重要信息的文件位置

查看/usr/local/psionic/portsentry/portsentry.ignore文件

五、路由重定向设置

设置路由重定向，可以保护我们的主机。

六、定制警告信息，警示攻击者

七、启动我们的服务

我们的启动模式一共有以下几种：

portsentry -tcp： TCP的基本端口绑定模式

portsentry -udp： UDP的基本端口绑定模式

portsentry -stcp： TCP的秘密扫描检测模式

portsentry -sudp： UDP的秘密扫描检测模式

portsentry -atcp：TCP的高级秘密扫描检测模式

portsentry -audp：UDP的高级秘密扫描检测模式

我们采用TCP的高级秘密扫描检测模式

[root@Master portsentry_beta]#  /usr/local/psionic/portsentry/portsentry -atcp

查看系统的日志文件

八、设置我们的入侵检测系统开机自启动

项目总结：部署简单，当然如果你想看下它的能力 你可以下个端口扫描工具进行攻击测试，看portsentry如何反应！！！谢谢大家，希望大家都有所得。

本文出自 “积少成多” 博客，谢绝转载！