深入了解psad:从高级功能到主动响应
1. 基于p0f签名的操作系统指纹识别
psad可以通过将SYN数据包中的TCP选项与p0f签名进行匹配,识别出正在探测iptables防火墙的特定远程操作系统。不过,这一功能需要使用--log-tcp-options参数才能实现。因此,在将默认的LOG规则添加到iptables策略时,建议使用该选项。
2. DShield报告
2.1 DShield系统简介
DShield分布式入侵检测系统(http://www.dshield.org)是收集和报告安全事件数据的重要工具。它作为一个集中的数据仓库,接收来自开源和商业软件(如入侵检测系统、路由器和防火墙)的数据。许多产品可以通过电子邮件或Web界面向DShield提交安全警报,具体的客户端程序列表可在 http://www.dshield.org/howto.php 查看。
2.2 数据提交注意事项
并非所有防火墙或入侵检测系统记录的事件数据都适合提交到DShield数据库,因为有些数据并不代表开放互联网上的恶意流量,例如内部网络中RFC 1918地址空间内主机之间的攻击,或者为测试本地安全而从外部站点(如Shield’s Up)发起的端口扫描。
2.3 psad的支持
psad支持自动通过电子邮件向DShield提交扫描数据。在DShield网站注册后,可以通过编辑/etc/psad/psad.conf中的DSHIELD_USER_ID变量,在电子邮件提交中包含用户名。不过
)
