OpenSource Tripwire와 같은 다른 유형의 침입 탐지 도구를 사용하고 싶습니다. Tripwire가 제공하는 것 이상의 추가 정보를 제공할 수 있는 도구를 추천해 주세요. 둘째, 내 서버의 모든 클라이언트의 IP 주소를 어떻게 얻습니까? 셋째, 이러한 모든 도구에서 생성된 로그를 병합할 수 있습니까?
답변1
첫째, 일반성: 타임스탬프가 중요합니다. 시계가 흔들리지 않도록 NTP를 사용하여 시스템 시계를 동기화합니다. 그 후에는 기본으로 넘어갈 수 있습니다.
Michal Zalewski의 p0f를 실행하고 들어오는 TCP 요청에 대한 추측을 기록하는 것이 좋습니다. 나는 그것을 사용하고 있다버전 2, 하지만 Zalewski는 av를 가지고 있습니다.버전 3나가.
카네기 멜론 대학의 CERT에는실질적으로 업데이트된 p0f v2.x 지문 파일.
다음을 호출하여 백그라운드에서 p0f v2.x를 실행할 수 있습니다.
p0f -f $FPRINTS -d -t -l -o $LOGFILE
$FPRINTS지문 파일의 이름을 지정하고 $LOGFILE출력이 끝나는 파일의 이름을 지정합니다.
p0f는 공격자가 어떤 운영 체제를 사용하고 있는지에 대해 꽤 좋은 추측을 제공합니다. p0f 추측을 수집한 다른 데이터와 조정해야 합니다.
대안:심 FP3. 비표준 Perl 모듈 종속성이 있기 때문에 설치가 약간 까다롭다는 것을 알았습니다.