18、网络安全工具psad与fwsnort的应用与集成

网络安全工具psad与fwsnort的应用与集成

1. psad的主动响应机制

psad是一款强大的网络安全工具，它能够根据监测到的网络活动动态添加和删除iptables规则，以实现对恶意IP地址的主动响应。

1.1 规则添加示例

在一次扫描中，psad监测到来自144.202.X.X的66个UDP数据包后，添加了针对该IP地址的iptables自动阻止规则，阻止时间为3600秒。以下是相关日志信息：

Mar 5 18:55:55 iptablesfw psad: added iptables auto-block against 144.202.X.X for 3600 seconds Mar 5 18:56:00 iptablesfw psad: scan detected: 144.202.X.X -> 71.157.X.X tcp=0 udp=66 icmp=0 dangerlevel: 4

1.2 常见扫描类型及响应

• Nmap版本扫描：攻击者在等待一小时后，使用Nmap对目标TCP端口80进行版本扫描。例如：

[ext_scanner]# nmap -sV -P0 -p 80 -n 71.157.X.X Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2007-03-05 20:40 EST