18、网络安全防护：psad与fwsnort的应用

网络安全防护：psad与fwsnort的应用

1. psad的主动响应机制

1.1 端口扫描监测与规则添加

psad会对网络中的端口扫描行为进行监测，并根据监测到的情况添加 iptables 阻塞规则。例如，当监测到来自 144.202.X.X 的扫描，在扫描间隔内监测到 66 个 UDP 数据包后，psad 会添加针对该 IP 地址的 iptables 自动阻塞规则，阻塞时长为 3600 秒。

Mar 5 18:55:55 iptablesfw psad: added iptables auto-block against 144.202.X.X for 3600 seconds Mar 5 18:56:00 iptablesfw psad: scan detected: 144.202.X.X -> 71.157.X.X tcp=0 udp=66 icmp=0 dangerlevel: 4

1.2 不同扫描类型的响应

• Nmap 版本扫描：攻击者在 SYN 扫描后，使用 Nmap 对 TCP 端口 80 进行版本扫描，以获取服务器的更多信息。单纯建立 TCP 连接本身并不表明有可疑活动，iptables 不会记录任何信息。

[ext_scanner]# nmap -sV -P0 -p 80 -n 71.157.X.X Starting Nmap 4.01 ( http://www.