Portsentry ist ein Programm, mit dem Port-Scans gegen einen Zielhost in Echtzeit erkannt und beantwortet werden können. Dies kann auf zwei Arten geschehen: durch Abhören einer Reihe ausgewählter Ports (Basismodus) oder durch Überwachen aller Ports unterhalb einer Auswahlnummer. Wenn eine Verbindung an einem der überwachten Ports erkannt wird, zeichnet Portsentry das Ereignis in den Protokollen auf und ergreift optional Maßnahmen, um den gesamten weiteren Datenverkehr vom Verbindungshost zu blockieren. Die Optionen auf dieser Seite sind:
- Zu überwachende TCP-Ports
Im Basismodus überwacht Portsentry alle in der ersten Zeile aufgeführten TCP-Ports für diese Option. Im erweiterten Modus überwacht es alle Ports unterhalb der in der zweiten Zeile eingegebenen Nummer, mit Ausnahme der im Feld "Ausgenommen" aufgeführten. - Zu überwachende UDP-Ports
Wie die Option TCP-Ports, steuert jedoch, welche UDP-Ports überwacht werden. - Blockieren Sie TCP-Sonden
Diese Option steuert, welche Aktion Portsentry ausführt, wenn eine TCP-Verbindung zu einem der überwachten Ports erkannt wird. Die Auswahlmöglichkeiten sind Ja (zukünftige Verbindungen vom Host blockieren), Nein (nichts tun) oder Befehl kill ausführen (Befehl ausführen, der in der Konfigurationsdatei angegeben ist). In allen Fällen wird die Verbindung in den Systemprotokollen aufgezeichnet. - Blockieren Sie UDP-Sonden
Wie die Option TCP-Tests blockieren, steuert jedoch, was passiert, wenn eine UDP-Verbindung erkannt wird. - Meldung für blockierte Verbindungen
Wenn Portsentry einen Port abhört, wird diese Nachricht bei jeder empfangenen Verbindung zurückgesendet, bevor die Verbindung geschlossen wird. - Anzahl der Verbindungen vor dem Auslösen der Blockierung
Die Anzahl der "Grace" -Verbindungen, die ein Host zu einem überwachten Port herstellen darf, bevor der Host blockiert wird. Wenn dies auf Null gesetzt ist, löst die erste Verbindung eine Blockierung aus. - Hosts, von denen der Datenverkehr ignoriert werden soll
Die IP-Adressen, Hostnamen oder IP-Adressen / Netzmasken von Hosts und Netzwerken, von denen der Datenverkehr ignoriert wird.
Am unteren Rand der Seite befindet sich eine Schaltfläche zum Starten von Portsentry (falls es nicht ausgeführt wird) oder zum Stoppen (falls es ausgeführt wird). Da Portsentry als ein Paar von Hintergrundprozessen (oder Daemon) ausgeführt wird, wird keine Überwachung der Port-Scans durchgeführt, wenn es nicht ausgeführt wird.