可视化 iptables 日志与攻击欺骗技术解析
在网络安全领域,对日志数据进行有效分析和可视化是及时发现潜在威胁的关键。同时,攻击者也会利用一些手段来干扰入侵检测系统(IDS),其中攻击欺骗是一种较为常见的手段。下面将详细介绍 iptables 日志可视化以及攻击欺骗的相关内容。
1. iptables 日志可视化
在网络安全监控中,iptables 日志记录了大量网络流量信息。通过对这些日志进行可视化处理,可以更直观地发现潜在的攻击行为。
-端口扫描分析
-外部 IP 与本地目标地址关系:端口扫描往往是蠕虫或攻击者寻找系统漏洞的前奏。通过以下命令可以绘制外部 IP 地址与它们发送数据包的唯一本地地址数量的关系图:
# psad -m iptables.data --gnuplot --CSV-fields "src:!not11.11.0.0/16 dst:11.11.0.0/16,!countuniq" --gnuplot-graph points --gnuplot-xrange 0:26000 --gnuplot-yrange 0:27 --gnuplot-file-prefix fig14-5 $ gnuplot fig14-5.gnu从生成的图中可以看到,大多数外部地址只向一两个目标地址发送数据包,但也有部分外部地址(如范围在 18000 - 26000 对应的 IP 地址 63.236.244.77 - 221.140.82.123)会连接多达 24 个蜜网网络中的地
