深入解析PSAD:从端口扫描检测到高级攻击识别
1. UDP扫描及其检测
1.1 UDP扫描特点
UDP服务扫描与TCP服务扫描有所不同,因为UDP比TCP简单得多,且没有像TCP那样的“连接”概念。不过,iptables仍能跟踪与UDP通信相关的数据包,这有助于区分合法的UDP回复和构成UDP扫描的数据包。
1.2 UDP扫描操作示例
使用-sU选项对运行iptables的系统进行扫描,示例命令如下:
[ext_scanner]# nmap -sU -n 71.157.X.X --max-rtt-timeout 500扫描输出结果显示:
Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2007-07-13 15:24 EDT Interesting ports on 71.157.X.X: (The 1481 ports scanned but not shown below are in state: open|filtered) PORT STATE SERVICE 53/udp closed domain Nmap finished: 1 IP address (1 host up) scanned in 23.721 seconds从输出可知,只有UDP端口53处于非开放或过滤状态,这是因
