Portsentry -программа для обнаружения попыток сканирования портов и организации ответа

В продолжение темы Средства обнаружения и защиты от вторжения
Установка программы sudo apt-get install portsentry
Основной конфигурационный файл - portsentry.conf. Его содержимое состоит из нескольких строк, каждая из которых имеет вид:
Опция =”значение”
Ниже приведен список основных поддерживаемых функций
TCP_PORTS - в этой опции через запятую перечисляются TCP-порты, которые проверяются программой. При обнаружения подключения к перечисленным портам Portsentry записывает информацию об этом в системный журнал и выполняет команду, заданную пользователем, а после этого блокирует хост посредством брандмауэра. TCP-порты, открытые на защищаемом компьютере другими программами, в этот список включаться не должны;
UDP_PORTS - то же, что и TCP_PORTS, но для UDP-портов;
ADVANCED_PORTS_TCP - определяет верхнюю границу множества TCP-портов, которые проверяются при работе в режиме Advanced Stealth Scan Detection Mode. Нижней границей является 1, т.е. при значении этой опции равном 2048, проверяется подключение к любому порту в промежутке от 1 до 2048;
ADVANCED_PORTS_UDP - то же, что и ADVANCED_PORTS_TCP, но для UDP-портов;
ADVANCED_EXCLUDE_TCP - TCP-порты, которые исключаются из промежутка проверяемых портов, заданного параметром ADVANCED_PORTS_TCP. Здесь перечисляются TCP-порты, открытые работающими на защищаемом ПК программами;
ADVANCED_EXCLUDE_UDP - то же, что и ADVANCED_EXCLUDE_TCP, но для UDP-портов;
IGNORE_FILE - имя и путь к файлу с IP-адресами хостов, которые не блокируются при подключении к портам, проверяемым программой.
HISTORY_FILE - имя и путь к файлу с историей работы программы. В файл запичывается время блокирования, имя и IP хоста, атакованный порт, протокол;
BLOCKED_FILE - строка, из которой формируется имя и путь к файлам, куда записывается информация о блокированных хостах;
BLOCK_TCP - опция в зависимости от значения задает ответную реакцию программы на сканирование портов (0 – не блокировать хост, не запускать заданную пользователем команду; 1 – блокировать хост и запустить программу; 2 – только запустить заданную команду). Команда задается при помощи опции KILL_RUN_CMD;
BLOCK_UDP - то же, что и BLOCK_TCP, но для UDP;
KILL_ROUTE - задает команду, которую надо выполнить для блокирования
атакующего хоста. Для указания IP-адреса используется переменная $TARGET$. Переменная $PORT$ используется для указания порта, к которому было подключение;
KILL_HOSTS_DENY - опция задает строку, которая записывается в /etc/hosts.deny для блокирования к сервисам, запускаемым через inetd;
KILL_RUN_CMD - с помощью этой опции можно задать команду, запускаемую до блокирования хоста.
SCAN_TRIGGER - задает количество разрешенных подключений к проверяемым программой портам одного и того же хоста, прежде чем Portsentry начнет действовать. 0 определяет немедленную реакцию;
PORT_BANNER - задает сообщение, которое будет выводиться при подключении к проверяемому программой порту.
В файле portsentry.ignore перечисляются IP-адреса компьютеров, которые не должны быть блокированы программой при подключении к проверяемому порту.
Программу можно запускать в 3 различных режимах, которые задаются в командной строке при вызове Portsentry. Одновременно можно задать только один режим работы для одного протокола.
Classic - при работе в этом режиме программа открывает порты, указанные в TCP_PORTS или UDP_PORTS, и ждет соединения. При попытке подключиться к такому порту происходит блокировка удаленного хоста. Задается опциями командной строки –tcp для TCP-портов и –udp – для UDP-портов;
Enchanced Stealth Scan Detection - режим используется для проверки перечисленных в TCP_PORTS или UDP_PORTS портов на предмет подключения или сканирования. Выявляет почти все виды Stealth-сканирования, а не только сканирование подключения. В отличие от режима Classic, не держит открытыми порты, поэтому сканировщик получает достоверную информацию об открытых портах. Задается опциями командной строки –stcp для TCP-портов и –sudp – для UDP-портов;
Advanced Stealth Scan Detection - режим используется для проверки всех портов в прмежутке от 1 до ADVANCED_PORTS_TCP или ADVANCED_PORTS_UDP. Порты, открытые другими программами и перечисленные в ADVANCED_PORTS_TCP или ADVANCED_PORTS_UDP, исключаются из проверки. Любой компьютер, попытавшийся подключиться к порту в этом промежутке, тут же блокируется. Задается опциями командной строки –atcp для TCP-портов и –audp – для UDP-портов.
Источник - книга Linux в подлиннике 2-е издание, описание программы,гугл