问如何检测局域网/PC中的不规则活动？

EN

这里一个可能的解决方案是使用OSSEC。

它可以从这里下载。

默认情况下，它不会执行问题中列出的所有六个所需的功能，必须安装一些额外的软件，默认情况下，OSSEC会监视这四种情况(对于较低级别的通知，可能必须单独启用电子邮件警报)：

1)身份验证尝试失败

2)端口扫描，您可以从文档这里中了解更多有关它的信息。

3)设备启动

4)登录

这两者必须单独启用或配置：

5) ARP中毒检测

6)启用arpwatch (以前的)规则集时，也应该启用网络上的新主机。

您可以在安装的arpwatch规则集这里或规则集文件夹中找到。

有很多你可以做的安全，这一切都将是伟大的教育！

我使用Fail2ban来防止重复的访问尝试，主要是针对http黑客的尝试。它读取日志文件，所以是非常可配置的，它有点复杂，但值得一读。

您可以看到最后一次使用lastlog命令登录的人。

命令sudo将显示您网络上的地址，这样您就可以用无法识别的MAC地址识别潜在的欺骗。

fail2ban还可以使用iptables来拒绝特定的IP地址或协议。(不过，要小心，除非您有实际的访问权限)。

进入更多的网络，你可以查找wireshark，这可以捕获流量和显示ARP请求。

所有这些都是很好的实践，但我发现最需要的是使用WPA2，在WiFi上使用一个长密码，将其从可能打印在路由器上的密码更改。

使用SSH上的私钥认证。(这里也要非常小心)

希望它涵盖了你想要的大部分。这需要做很多工作，所以无法解释如何在这里使用所有的东西。