网络扫描检测与psad应用全解析
1. UDP扫描特性与检测
UDP扫描相较于TCP扫描,由于UDP协议本身比TCP简单,且不存在类似TCP“连接”的概念,因此其扫描表现没有TCP扫描丰富。不过,iptables仍能追踪与UDP通信相关的数据包,这有助于区分合法的UDP回复和构成UDP扫描的数据包。
使用nmap的-sU选项对运行iptables的系统进行扫描,命令如下:
[ext_scanner]# nmap -sU -n 71.157.X.X --max-rtt-timeout 500扫描输出示例:
Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2007-07-13 15:24 EDT Interesting ports on 71.157.X.X: (The 1481 ports scanned but not shown below are in state: open|filtered) PORT STATE SERVICE 53/udp closed domain Nmap finished: 1 IP address (1 host up) scanned in 23.721 seconds从输出可知,除UDP端口53处于关闭状态外,其他端口状态为开放或过滤。Nm
