PSAD:网络安全监测与主动响应的利器
一、PSAD基础特性
1.1 扫描数据筛选
PSAD 在工作时十分谨慎,不会将源自 RFC 1918 地址或因/etc/psad/auto_dl中危险等级设置为零而应被忽略的地址的扫描数据纳入其中。
1.2 DShield 报告功能
1.2.1 启用建议
虽然 PSAD 默认未启用 DShield 报告功能,但在安装时,install.pl脚本会专门询问是否启用该功能。除非安全策略明确禁止向 DShield 传输安全事件数据,否则强烈建议启用此功能。
1.2.2 报告格式
为减轻 DShield 服务器的处理负担,建议以特定格式提交数据。每个安全事件需单独成行,以制表符分隔,包含以下字段:
- Author:DShield 用户 ID,若未在 http://www.dshield.org 注册,PSAD 默认设为零。
- Count:事件计数。
- Date:日期,格式为 YYYY - MM - DD HH24:MI:SS Z,Z 为时区。
- Protocol:协议,可从/etc/protocols中获取数字编号或使用文本表示,如 TCP。
- Source IP address:源 IP 地址。
- Source port(or ICMP type):源端口或 ICMP 类型。
- Target IP address:目标 IP 地址。
- Target port
