深入解析psad:高级功能与主动响应策略
1. psad基础特性与DShield报告
psad在分析iptables日志时十分谨慎,不会包含源自RFC 1918地址或因/etc/psad/auto_dl中零危险级别设置而应被忽略的扫描数据。
虽然psad默认未启用DShield报告功能,但安装脚本install.pl会询问是否启用。除非安全策略明确禁止向DShield传输安全事件数据,否则建议启用该功能。
DShield报告有特定格式要求,以减少DShield服务器的处理负担。每个安全事件需单独成行,以制表符分隔,包含以下字段:
- 作者(DShield用户ID,若未在http://www.dshield.org注册,psad默认设为零)
- 计数
- 日期(格式为YYYY - MM - DD HH24:MI:SS Z,Z为时区)
- 协议(来自/etc/protocols的数字条目或文本等价物,如TCP)
- 源IP地址
- 源端口(或ICMP类型)
- 目标IP地址
- 目标端口(或ICMP代码)
- TCP标志(仅TCP警报数据需要)
以下是一个示例DShield报告:
For 2007 - 07 - 17 you submitted 53 packets from 23 sources hitting 1 targets. Port | Packets | Source
——236.二叉树的最近公共祖先)
