Portsentry - это программа, предназначенная для обнаружения и ответа на сканирование портов на целевом хосте в режиме реального времени. Это можно сделать двумя способами - прослушивая набор выбранных портов (основной режим) или отслеживая все порты ниже номера выбора. При обнаружении соединения на одном из отслеживаемых портов Portsentry записывает событие в журналы и при необходимости предпринимает действия, чтобы заблокировать весь дальнейший трафик с подключающегося хоста. Варианты на этой странице:
- TCP-порты для мониторинга
В базовом режиме Portsentry будет прослушивать все TCP-порты, перечисленные в первой строке для этой опции. В расширенном режиме он будет прослушивать все порты ниже номера, введенного во второй строке, кроме тех, которые указаны в поле «кроме». - UDP-порты для мониторинга
Подобно опции портов TCP, но контролирует, какие порты UDP отслеживаются. - Блок TCP-зондов
Этот параметр определяет, какое действие Portsentry выполняет при обнаружении соединения TCP с одним из отслеживаемых портов. Возможные варианты: Да (заблокировать будущие соединения с хоста), Нет (ничего не делать) или Команда запуска уничтожения (выполнить команду, указанную в файле конфигурации). Во всех случаях соединение будет записано в системные журналы. - Блокировать UDP-зонды
Подобно параметру «Блокировать зонды TCP», но контролирует, что происходит при обнаружении соединения UDP. - Сообщение для заблокированных соединений
Когда Portsentry прослушивает порт, это сообщение будет отправлено любому полученному соединению до его закрытия. - Количество подключений до блокировки
Количество «льготных» подключений, которые хосту разрешено устанавливать с отслеживаемым портом перед блокировкой хоста. Если это значение равно нулю, первое соединение вызовет блокировку. - Хосты, чтобы игнорировать трафик от
IP-адреса, имена хостов или IP-адреса / маски хостов и сетей, из которых трафик игнорируется.
Внизу страницы находится кнопка для запуска Portsentry (если он не запущен) или для его остановки (если он работает). Поскольку Portsentry работает как пара фоновых процессов (или демон), если он не запущен, мониторинг сканирования портов не будет выполняться.