ポートスキャンのログ

ポートスキャンを受けているかチェックしたいんですが
apacheの場合は/var/log/access.logなんですが
ポートスキャンはどこのログを見れば良いのでしょう？
/var/log/messageを見ましたが載ってないみたいです
OSはdebianです

No.1 ベストアンサー 回答者： Wr5 回答日時： 2007/09/28 00:32

Debianはあまり触っていないので、流儀については判りませんが…

普通、ポートスキャンは１つのログだけ見れば判る。
ということはないと思います。
80番ポートならapacheが記録しますし、22番ならトトクシがコネクションがあったと記録します。
25番や110番ならmaillogに残るでしょうし、複数のログファイルにまたいで記録されます。
# 3wayハンドシェークが成立した場合だけかも知れませんが。

iptablesの設定で、とにかくログを残す。としていれば、
/var/log/messageに残っているかも知れません。
ウチの自宅サーバはCentOS5.0ですが、
-A INPUT -i eth0 -s ! 192.168.1.0/24 -p tcp -m tcp --sport ! 80 --syn -j LOG
でログを取るように設定して、/var/log/messageには
Sep 28 00:23:20 server kernel: IN=eth0 OUT= MAC=00:xx:xx:2d:xx:20:xx:16:xx:20:xx:xx:xx:00 SRC=190.54.36.173 DST=192.168.1.1 LEN=60 TOS=0x00 PREC=0x00 TTL=36 ID=15860 DF PROTO=TCP SPT=45854 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
こんな感じでログが残ります。(80番ポートをログから落としているのはSquid動かしていた頃の名残です)
# ちなみにsshdに対するアタックのログです。
# もちろん/var/log/secureにもログ残ってます。

ポートスキャンの場合、DPTの値がイロイロかわったものが記録される筈です。
PROTOは場合によってはUDPだったりするかも知れませんが。
# ウチの自宅サーバはBBルータより内側なのでルータで開けているパケットしか来ませんが。

この回答へのお礼

「iptablesの設定で、とにかくログを残すが気になるので」
これを調べてみようかと思います。
とても参考になりました返答ありがとうございました。

お礼日時：2007/09/28 20:35