ポートスキャンのログ

Debianはあまり触っていないので、流儀については判りませんが… 普通、ポートスキャンは１つのログだけ見れば判る。 ということはないと思います。 80番ポートならapacheが記録しますし、22番ならトトクシがコネクションがあったと記録します。 25番や110番ならmaillogに残るでしょうし、複数のログファイルにまたいで記録されます。 # 3wayハンドシェークが成立した場合だけかも知れませんが。 iptablesの設定で、とにかくログを残す。としていれば、 /var/log/messageに残っているかも知れません。 ウチの自宅サーバはCentOS5.0ですが、 -A INPUT -i eth0 -s ! 192.168.1.0/24 -p tcp -m tcp --sport ! 80 --syn -j LOG でログを取るように設定して、/var/log/messageには Sep 28 00:23:20 server kernel: IN=eth0 OUT= MAC=00:xx:xx:2d:xx:20:xx:16:xx:20:xx:xx:xx:00 SRC=190.54.36.173 DST=192.168.1.1 LEN=60 TOS=0x00 PREC=0x00 TTL=36 ID=15860 DF PROTO=TCP SPT=45854 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 こんな感じでログが残ります。(80番ポートをログから落としているのはSquid動かしていた頃の名残です) # ちなみにsshdに対するアタックのログです。 # もちろん/var/log/secureにもログ残ってます。 ポートスキャンの場合、DPTの値がイロイロかわったものが記録される筈です。 PROTOは場合によってはUDPだったりするかも知れませんが。 # ウチの自宅サーバはBBルータより内側なのでルータで開けているパケットしか来ませんが。