OpenSource Tripwireのような他のタイプの侵入検知ツールを使用したいと思います。 Tripwireが提供する以上の追加情報を提供できるツールをお勧めします。第二に、私のサーバー上のすべてのクライアントのIPアドレスをどのように取得しますか?第三に、これらすべてのツールで生成されたログをマージできますか?
答え1
まず、一般性:タイムスタンプが重要です。時計が揺れないように、NTPを使用してシステムクロックを同期します。その後、基本に進むことができます。
Michal Zalewskiのp0fを実行し、着信TCP要求の推測を記録することをお勧めします。私はそれを使用していますバージョン2しかし、Zalewskiはavを持っています。バージョン3出て。
カーネギーメロン大学のCERTに実質的に更新されたp0f v2.xフィンガープリントファイル。
以下を呼び出して、バックグラウンドでp0f v2.xを実行できます。
p0f -f $FPRINTS -d -t -l -o $LOGFILE
$FPRINTS
指紋ファイルの名前を指定し、出力が$LOGFILE
終了するファイルの名前を指定します。
p0fは、攻撃者がどのオペレーティングシステムを使用しているかについてかなり良い推測を提供します。 p0f推測を収集した他のデータと調整する必要があります。
代替:シムFP3。非標準のPerlモジュールの依存関係があるため、インストールが少し難しいことがわかりました。