)
Advanced psad Topics: From Signature Matching to OS Fingerprinting(上)
在网络安全领域,psad(Port Scan Attack Detector)是一款强大的工具,它能够帮助我们检测各种潜在的网络攻击。本文将详细介绍psad的高级主题,包括签名匹配和操作系统指纹识别。
1. psad_ip_len关键字
psad_ip_len关键字用于指定iptables日志消息中LEN字段的匹配条件。它与psad_dsize关键字类似,但不会减去网络层和传输层头部的长度。和psad_dsize一样,psad_ip_len也支持范围匹配,如n:m、<n和>n。例如,要测试LEN字段是否大于 100 字节但小于 200 字节,可以在签名中添加psad_ip_len: 100:200。
2. 特定 Snort 规则检测
下面我们将介绍如何使用 psad 检测特定的 Snort 规则所代表的流量。
2.1 检测 ipEye 端口扫描器
ipEye 端口扫描器(http://ntsecurity.nu/toolbox/ipeye)是一款运行在 Windows 系统上的软件,用于对远程主机进
