网络安全工具psad与fwsnort的应用与集成
1. psad的主动响应机制
psad是一款强大的网络安全工具,它能够根据监测到的网络活动动态添加和删除iptables规则,以实现对恶意IP地址的主动响应。
1.1 规则添加示例
在一次扫描中,psad监测到来自144.202.X.X的66个UDP数据包后,添加了针对该IP地址的iptables自动阻止规则,阻止时间为3600秒。以下是相关日志信息:
Mar 5 18:55:55 iptablesfw psad: added iptables auto-block against 144.202.X.X for 3600 seconds Mar 5 18:56:00 iptablesfw psad: scan detected: 144.202.X.X -> 71.157.X.X tcp=0 udp=66 icmp=0 dangerlevel: 41.2 常见扫描类型及响应
- Nmap版本扫描:攻击者在等待一小时后,使用Nmap对目标TCP端口80进行版本扫描。例如:
[ext_scanner]# nmap -sV -P0 -p 80 -n 71.157.X.X Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2007-03-05 20:40 EST
