Security Forum Archiv  
IDS Firewall Honeypot Honeynet Web Security Linux Security Microsoft Security Virus - Wurm Backdoors - Trojaner Links
Security Exploit Security Dokumentationen Security Online Scanner Security Scanner Security Scanner Trojaner Portliste Impressum


PortSentry     (IDS)
PortSentry ist ein Programm welches in der Lage ist Portscanns aufzuspüren und automatisch Gegenmaßnamen zu ergreifen. Als Gegenmaßnamen kann zum Beispiel der Administrator des Servers benachrichtigt werden oder aber auch eine Iptables Regel hinzugefügt werden um sämtlichen Netzwerkverkehr von der betroffenen IP Adresse zu unterbinden. PortSentry kann neben vollständigen Verbindungen auch halboffene Verbindungsversuche erkennen. Diese nur sehr schwer zuerkennenden Verbindungsversucher werden zum Beispiel von dem sehr beliebten Tool NMAP produziert.

BanerSammler     (Scanner)
Mit Hilfe von Banner Sammler wird der Webserver bestimmt und deren exakte Version. Anhand dieser Angaben ist es möglich zu bestimmen in wie weit ein Webserver sicher ist. Das Programm Banner Sammler ist in der Lage ganze Netzwerke in wenigen Sekunden zuscannen und die Ergebnisse anzuzeigen.

AMAP     (Scanner)
AMAP ist ein Programm das in der Lage ist Dienste zu identifizieren auch wenn diese nicht an den Standard Ports laufen. Ein Administrator der auch nur Einbisschen beim Verstand ist wird bestimmte Dienste an anderen Ports laufen lassen. Zum Beispiel läuft SSH Dienst standardmäßig am Port 22 da aber außer den Administrator keiner auf SSH zugreifen darf wird er den Dienst nach Hinten verlegen zum Beispiel auf Port 65000. Das gilt natürlich nicht für alle Dienste den HTTP Server wird man dort lassen wo er ist am Port 80 bei FTP Server ist es unterschiedlich wenn dieser Dienst auch von anderen Usern genutzt wird läst man in am Standart Port 21 laufen. Es ist natürlich möglich den Dienst selbst zu identifizieren in dem man den Banner des Dienstes betrachtet, aber das kostet Zeit und ist unsinnig wenn man ein Programm wie AMAP besitzt.

ARPwatch     (IDS)
ARPwatch zählt nicht zur den Vollwertigen IDS Programmen sondern zur der Software die sich auf eine spezielle Art von Angriffen spezialisiert haben. So ist ARPwatch nur in der Lage solche Angriffe zuerkennen die durch eine Manipulation des ARP Protokolls durchgeführt werden. Zur solchen Angriffen zählt zum Beispiel ARP Spoofing.

ngrep     (IDS)
Ngrep ist an sich kein IDS Programm, aber es ist möglich dieses als solches zu benutzen. Ngrep lauscht an einem Netzwerkinterface und vergleicht die Daten aus dem Datenpaketen mit dem von Benutzer eingegebenen Suchstring. Das bedeutet wenn wir wissen wollen in welchen Paketen und damit auch Verbindungen was Wort “exploit“ vorkommt, dann kann man mit Hilfe von ngrep die entsprechenden Pakete abfangen und zu späteren Analyse in eine Datei speichern.