网络安全防护:psad与fwsnort的应用与优势
1. 网络攻击与psad的应对
1.1 TCP连接与FIN扫描响应
在网络环境中,通过80端口与目标建立TCP连接本身并不一定意味着存在可疑活动。从传输层及以下来看,这种连接可能看似正常,iptables也不会记录任何信息。然而,盲FIN数据包则不同。
攻击者在确认目标运行着可访问的TCP服务器后,可能会测试主动响应软件在TCP方面的严格程度。例如,某些软件可能缺乏跟踪TCP连接状态的方法,从而让盲FIN数据包通过到达服务器。但iptables不会这样,在FORWARD链开头记录并丢弃匹配INVALID状态的数据包的规则,会阻止盲FIN数据包到达内部Web服务器。
以下是使用Nmap进行FIN扫描的示例:
[ext_scanner]# nmap -sF -P0 -p 80 -n 71.157.X.X Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2007-03-05 20:50 EST Interesting ports on 71.157.X.X: PORT STATE SERVICE 80/tcp open|filtered http Nmap finished: 1 IP address (1 host up) scanned in 0.812 seconds在这个例子中,Nmap没有从目标TCP栈收到任何数据包,因此它只能认为端口要么是开放的(开放端口收到孤立的FIN数据包时不会响应,如之前章节所
)