网络安全检测与防护:psad的功能与应用
1. psad对异常流量的检测
psad在网络安全检测中发挥着重要作用,它能够检测多种异常流量,以下是几种常见的检测场景:
-LAND攻击检测:psad通过检查iptables日志中的SRC和DST字段是否相同来进行sameip测试。为减少误报,会排除环回接口上记录的流量。由于iptables日志消息中总会包含SRC和DST字段,所以在构建LOG规则时,无需为psad检测LAND攻击相关流量而给iptables添加特殊命令行参数。例如:
Jul 11 20:31:35 iptablesfw kernel: DROP IN=eth0 OUT= MAC=00:13:d3:38:b6:e4:00:13:46: c2:60:44:08:00 SRC=192.168.10.3 DST=192.168.10.3 LEN=60 TOS=0x10 PREC=0x00 TTL=63 ID=46699 DF PROTO=TCP SPT=57278 DPT=15001 WINDOW=5840 RES=0x00 SYN URGP=0 Jul 11 20:31:38 iptables psad: src: 192.168.10.3 signature match: "BAD-TRAFFIC same SRC/DST" (sid:527)ip- TCP端口0流量检测:合法的TCP连接通常不会使用端口0,但有人可能会发送目的端口为0的TCP数据包,Nmap在3.50版本就具备了扫
