使用psad应对网络攻击:原理、配置与实例
1. TCP连接攻击检测
在已建立的TCP连接中检测攻击,需要检测系统维护一个已建立连接的表,并在这些连接中查找攻击。虽然可以伪造具有逼真序列号和确认号的TCP数据包,但这些数据包并非真正已建立连接的一部分,检测机制需要判断这一点。
2. 误报与漏报问题
所有入侵检测系统都有产生误报的可能性,即把正常活动误判为恶意活动。同时,漏报(存在真正的恶意流量时未生成事件)也较为常见。psad也不例外,在运行过程中会为良性流量生成事件。虽然可以通过仔细调整来减少误报,但误报始终有可能发生,因此自动响应被误判为恶意的流量不利于维护网络的整体连通性。不过,许多安全管理员认为,某些类型的事件,即使是由误判的活动产生的,也可能具有足够的潜在危害,值得采取严厉的响应措施。例如,一些蠕虫爆发可能会对网络及其组成系统造成毁灭性破坏,因此如果有感染此类蠕虫的可能性,可以使用主动响应来减轻爆发的影响。
3. psad的主动响应机制
psad应对攻击的主要方法是动态重新配置本地过滤策略,在可配置的时间内阻止来自攻击者源IP地址的所有访问。
3.1 TCPWRAPPERS与iptables对比
psad也支持重新配置/etc/hosts.deny文件,让tcpwrappers拒绝来自攻击者源IP地址的访问,但这种机制不如使用iptables,原因如下:
-tcpwrappers只能阻止访问配置为使用tcpwrappers
