网络安全工具:psad与fwsnort的应用与集成
1. psad主动响应机制
1.1 端口扫描监测与响应
psad可监测iptables日志,当检测到可疑端口扫描时,会自动添加阻止规则。例如,针对144.202.X.X的IP地址,在扫描间隔内监测到66个UDP数据包后,psad会添加3600秒的阻止规则:
Mar 5 18:55:55 iptablesfw psad: added iptables auto-block against 144.202.X.X for 3600 seconds Mar 5 18:56:00 iptablesfw psad: scan detected: 144.202.X.X -> 71.157.X.X tcp=0 udp=66 icmp=0 dangerlevel: 4攻击者后续进行Nmap版本扫描、FIN扫描等操作时,psad也会做出相应响应。如FIN扫描时,iptables会过滤盲FIN数据包,psad则添加针对攻击者的阻止规则。
1.2 恶意IP欺骗扫描
攻击者可能会恶意伪造扫描源IP地址,如使用Yahoo!网络的IP地址。只要本地网络或ISP未部署反欺骗措施,攻击者就能轻易伪造IP地址进行扫描。例如:
[ext_scanner]# nmap -sS -P0 -S 68.142.X.X -e eth0 -n 71.157.X.Xpsad会根据扫描的危
