结合psad和fwsnort保障网络安全
1. 网络攻击与响应机制
在网络环境中,我们经常会面临各种攻击。通过tcpdump工具可以捕获网络数据包,例如:
[iptablesfw]# tcpdump -i eth0 -l -nn port 80 13:32:24.839585 IP 144.202.X.X.59651 > 71.157.X.X.80: S 653660994:653660994(0) win 5840 <mss 1460,sackOK,timestamp 3239999666 0,nop,wscale 2> ...当检测到攻击时,fwsnort会采用DROP响应,而psad会针对攻击者创建一组阻塞规则。我们可以使用psad --fw-list查看这些规则:
[iptablesfw]# psad --fw-list [+] Listing chains from IPT_AUTO_CHAIN keywords... Chain PSAD_BLOCK_INPUT (1 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 144.202.X.X 0.0.0.0/0 ...这些规则被添加到psad的三个阻塞链中,从内置的INPUT、OUTPUT和FORWARD过滤链跳转过来,从而有效阻止攻击者的IP地
