18、网络安全防护：psad与fwsnort的应用与集成

网络安全防护：psad与fwsnort的应用与集成

一、psad应对网络攻击的机制

1.1 FIN扫描响应

当攻击者确认目标运行着可访问的TCP服务器后，可能会测试主动响应软件对TCP的严格程度，例如发送盲FIN数据包。使用Nmap进行FIN扫描时：

[ext_scanner]# nmap -sF -P0 -p 80 -n 71.157.X.X

Nmap可能接收不到目标TCP栈的数据包，此时端口可能是开放（开放端口收到孤立FIN包不响应）或被过滤（防火墙阻止响应）。而iptables会过滤盲FIN数据包，psad会添加针对攻击者的阻止规则。

1.2 恶意伪造扫描

攻击者为触发目标的阻止响应，会伪造扫描源地址。如使用Nmap进行伪造源地址扫描：

[ext_scanner]# nmap -sS -P0 -S 68.142.X.X -e eth0 -n 71.157.X.X

扫描系统上的Nmap看不到目标返回的数据包，因为iptables拦截且目标生成的数据包发往伪造地址。psad会根据扫描情况，在达到危险级别3时添加阻止规则：

Mar 5 21:34:46 iptablesfw psad: added iptables auto-block against 68.142.X.X for 3600 seconds Mar 5 21:34:5