15、网络安全检测与防护：psad的功能与应用

网络安全检测与防护：psad的功能与应用

1. psad对异常流量的检测

psad在网络安全检测中发挥着重要作用，它能够检测多种异常流量，以下是几种常见的检测场景：
-LAND攻击检测：psad通过检查iptables日志中的SRC和DST字段是否相同来进行sameip测试。为减少误报，会排除环回接口上记录的流量。由于iptables日志消息中总会包含SRC和DST字段，所以在构建LOG规则时，无需为psad检测LAND攻击相关流量而给iptables添加特殊命令行参数。例如：

Jul 11 20:31:35 iptablesfw kernel: DROP IN=eth0 OUT= MAC=00:13:d3:38:b6:e4:00:13:46: c2:60:44:08:00 SRC=192.168.10.3 DST=192.168.10.3 LEN=60 TOS=0x10 PREC=0x00 TTL=63 ID=46699 DF PROTO=TCP SPT=57278 DPT=15001 WINDOW=5840 RES=0x00 SYN URGP=0 Jul 11 20:31:38 iptables psad: src: 192.168.10.3 signature match: "BAD-TRAFFIC same SRC/DST" (sid:527)ip

• TCP端口0流量检测：合法的TCP连接通常不会使用端口0，但有人可能会发送目的端口为0的TCP数据包，Nmap在3.50版本就具备了扫