监视你的网络是否受到攻击

　　作者：Joshua Drake 编译：许坚明 2002-6-10 14:26:38你想让你的Linux计算机变得更加牢固吗？其实这不难，这里有五个工具可以帮助你来达成这个目标。 Chkrootkit 首先要介绍 chkrootkit ，这个程序是设计用来检查许多广为人知的rootkit 的（在chkrootkit的网站有这些rootkit的列表）。运行chkrookit非常简单：下载源代码，解开软件包，在文件被解开的路径里敲入 make 。完成后，chkrootkit就随时侯命了。这是在我的机器上chkrootkit的一个输出的例子： [root@jd chkrootkit-0.34]# ./chkrootkit ROOTDIR is `/’ Checking `amd’… not found Checking `basename’… not infected Checking `biff’… not found Checking `chfn’… not infected Checking `chsh’… not infected Checking `cron’… not infected Checking `date’… not infected Checking `du’… not infected Checking `dirname’… not infected Checking `echo’… not infected Checking `egrep’… not infected Checking `env’… not infected Checking `find’… not infected […] chkrootkit是一个很不错的实用工具，它可以进一步让我们确信：我们的机器并没有被黑。 可以这样说，我一直在寻找这样一组好的工具，可以实现网络监视和基本的网络安全。在做这种研究的过程中我遇到以下几个程序，包括NetSaint，，OpenNMS，nmap， Bastille Linux，and Snort。 NetSaint NetSaint 是一个简单的，用于监视你网络的基于Web的实用工具。它甚至具有一个WAP（Wireless Access Protocol）接口。它支持一个强有力的插件机制来增加附加的功能和特性。当我摆弄NetSaint的时候，唯一一点我不太喜欢的是它自称是开放源代码社区的一个副项目。 假如符合以下几个特征，NetSaint作为开放源代码社区的一个副项目可能会出现问题： 1.有许多特点 2.没有太多的文档 3.零散的发布计划 4.没有技术支持 5.安装困难 6.没有打包成RPM文件 我对第6点特别感到恼火，但是我已经陷身在开放源代码里好长一段时间了，在编译PostgreSQL 或 Apache 来定制参数和优化性能的同时，我也对应付所有这些源代码感到疲倦。我只想敲入 rpm -i 来把工作完成。无论如何，我似乎把话题扯远了。 OpenNMS 继续我们的介绍，OpenNMS看来是一个很好的程序。我以前曾下载和安装过它，但是不能让它正常工作起来，但这毕竟是以前的事了，我想自那之后它已经作了很多改进。 假如你熟悉Hp的OpenView网络节点管理产品，你将会喜欢OpenNMS。OpenNM S需要Java，SNMP和PostgreSQL的支持。安装OpenNMS完全不用你费神，因为开发者使这个产品成熟至可以和商业软件竞争（有时候甚至比商业软件更好）。 Nmap 假如你想在网络里执行端口扫描，看看是否该锁的端口都锁定了，我建议你用nmap，以下是nmap的一些输出例子： Interesting ports on (192.168.1.1): (The 1545 ports scanned but not shown below are in state: closed) Port????State???Service 22/tcp???open ???ssh 53/tcp???open ???domain 2030/tcp??open ???device2 32778/tcp ?filtered? sometimes-rpc19 Remote operating system guess: Linux 2.1.19 – 2.2.17 Uptime 10.959 days (since Sun Oct 7 16:26:15 2001) Nmap运行完成了 — 平均扫描一个IP地址（一个主机）要3秒。 Nmap支持几种不同类型的扫描，包括Stealth，Fin和基于连接的扫描。你可以把它运用到操作系统检测和不同类型协议的扫描里，例如TCP ping和ICMP ping。 你也可以让nmap报告你正在扫描的机器的漏洞信息。关于运行nmap的一个警告：如果你要用nmap扫描 – 你要确定执行扫描的主机在被扫描主机的portsentry.ignore 文件里。假如不是，你会发现你的机器被你正在扫描的机器阻塞了。 Bastille Linux Bastille Linux 是一个软件包，设计用于保护和加强Linux。Bastille Linux支持基于Red Hat和Mandrake的系统。我过去就用过Bastille，它工作得很好。关于Bastille有一件事我很欣赏的，就是你使用它的同时它会教你。在这个程序中你执行的每一步都有说明。它会告诉你为什么这是好的，和将影响那些潜在的地方。这些特性使得Bastille不只是一个强大的安全加强工具，而且也是一个教学工具。 Snort 我要介绍的最后一个工具是Snort。Snort是一个开放源代码，并且支持一系列特性的网络入侵检测系统，它在网络安全的圈子里倍受重视。它有定制的规则集，有把日志纪录到数据库的功能，也能和其它程序例如tcpdump 一起工作。 那段雨骤风狂。人生之旅本就是风雨兼程，是要说曾经拥有，