网络安全防护:psad与fwsnort的应用与集成
一、psad应对网络攻击的机制
1.1 FIN扫描响应
当攻击者确认目标运行着可访问的TCP服务器后,可能会测试主动响应软件对TCP的严格程度,例如发送盲FIN数据包。使用Nmap进行FIN扫描时:
[ext_scanner]# nmap -sF -P0 -p 80 -n 71.157.X.XNmap可能接收不到目标TCP栈的数据包,此时端口可能是开放(开放端口收到孤立FIN包不响应)或被过滤(防火墙阻止响应)。而iptables会过滤盲FIN数据包,psad会添加针对攻击者的阻止规则。
1.2 恶意伪造扫描
攻击者为触发目标的阻止响应,会伪造扫描源地址。如使用Nmap进行伪造源地址扫描:
[ext_scanner]# nmap -sS -P0 -S 68.142.X.X -e eth0 -n 71.157.X.X扫描系统上的Nmap看不到目标返回的数据包,因为iptables拦截且目标生成的数据包发往伪造地址。psad会根据扫描情况,在达到危险级别3时添加阻止规则:
Mar 5 21:34:46 iptablesfw psad: added iptables auto-block against 68.142.X.X for 3600 seconds Mar 5 21:34:5
