在Linux下建立VPN服务器来做加密代理

B：在server的eth0口抓目标地址包，以检测转发是否有问题。

[root@RH9 root]# tcpdump -n -i eth0 dst host baoz.net 
tcpdump: listening on eth0

C：

这个时候我们telnet一下baoz.net看看

C:\>telnet baoz.net

　　两边都看到有包就对了。如果有一边看不到包，就自己折腾一下好了。看看一路过来是不是都没搞错。

五、肉鸡中的隐藏

1：肉鸡哪来？

A：web app漏洞，awstat什么的，没事就留意一下milw0rm.com的webapp部分，出新漏洞了就google hacking一把。

B：ssh or telnet弱口令，没事就找几个A BLOCK扫扫看。推荐xfocus冰河的X-Scan。

C：0day exp ? 这个我就不清楚了。

D：蜜罐，上面三种情况都可能是蜜罐，不过没关系，就做个代理上上网嘛，蜜罐就蜜罐了，只要网速快就行。

2：日志

日志的处理上面在服务端配置部分已经提到了的，小心处理就是。

3：进程、端口和连接

A：sk2一装，用sk2的client进去启动openvpn，动态隐藏进程端口和网络连接。

B：adore，大概要改改才行，不过我暂时没这个需求，sk2已经很不错了。

C：shv5，最近抓到的一个rootkit，替换ELF文件的，很容易被查出来，没啥意思，他的特征是默认有个/usr/lib/libsh目录。

4：ifconfig

这个是最关键的也是最麻烦的，因为一般的人都会ifconfig敲着玩玩的，一不小心就会被发现多了个tun0。呵呵，我想了想办法有两：

A：使用awk or sed脚本替换/sbin/ifconfig，过滤掉tun0相关的输出，但这个比较容易被chkrootkit这样的东西发现，不过即使被人家用 chkrootkit发现了也挺光荣的，至少用chkrootkit的人还稍微比较专业点，总比被人家ifconfig发现了好。

B：修改ifconfig的源程序，让他输出的时候不显示tunX设备，这个相对稳妥，因为一般检查ifconfig都是对比那混杂模式而已的，当然还有文件类型。

[root@RH9 root]# rpm -q --whatprovides /sbin/ifconfig 
net-tools-1.60-12

六、写在最后

信息安全是一把双刃剑，自己知道了可以尽可能怎么攻击，该怎么攻击，其中会有什么地方可以被发现，才有可能知道了人家想怎么攻击，会怎么攻击，也才有机会发现入侵企图或入侵者，进而把入侵者赶出去或拦在门外，否则被人家root了几年还不知道怎么回事。