网络安全工具:psad与fwsnort的应用与实践
在网络安全领域,及时有效地应对恶意网络流量是保障系统安全的关键。psad和fwsnort是两款功能强大的工具,它们分别在主动响应恶意流量和规则转换方面发挥着重要作用。
psad主动响应恶意流量
psad是一个用于主动响应恶意网络流量的工具,它可以结合iptables规则,对可疑的IP地址进行动态的封锁和解除封锁。
1. 攻击场景分析
- UDP扫描:psad在检测到针对144.202.X.X IP地址的扫描时,会添加iptables封锁规则。在添加规则前的扫描间隔内,psad监测到了66个UDP数据包。
Mar 5 18:55:55 iptablesfw psad: added iptables auto-block against 144.202.X.X for 3600 seconds Mar 5 18:56:00 iptablesfw psad: scan detected: 144.202.X.X -> 71.157.X.X tcp=0 udp=66 icmp=0 dangerlevel: 4- Nmap版本扫描:攻击者在等待一小时后,使用Nmap对目标TCP端口80进行版本扫描,以获取服务器的更多信息。
[ext_scanner]# nmap -s
