psad:检测与防范网络可疑流量
1. 不同扫描类型的特征与检测
1.1 TCP 选项特征
在 Nmap SYN 扫描中,TCP 报头的选项部分显著缩短。它通常仅使用一个选项,即最大段大小(Maximum Segment Size),并将其设置为 1460。而大多数真实的 TCP 栈除最大段大小外,还会发送多个选项,如时间戳(Timestamp)、无操作(No Operation,NOP)以及选择性确认(Selective Acknowledgment,SACK)是否允许等。
1.2 TCP FIN、XMAS 和 NULL 扫描
Nmap 的 FIN、XMAS 和 NULL 扫描在 iptables 日志消息中表现相似。它们的主要区别在于所使用的 TCP 标志组合,这一差异会在 iptables 记录 TCP 数据包的日志格式中的 TCP 标志部分体现出来。由于这些扫描都由特定的 Snort 规则表示,且无需进行应用层检查,因此 psad 可以通过单个数据包检测这些扫描,而无需依赖数据包数量和端口范围。
可以使用以下 Nmap 命令行参数分别发起这些扫描:
- FIN 扫描:nmap -sF -n 目标 IP --max-rtt-timeout 5
[ext_scanner]# nmap -sF -n 71.157.X.X --max-rtt-timeout 5 Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2007-07-13 14:39
