17、使用psad应对网络攻击：原理、配置与实例

使用psad应对网络攻击：原理、配置与实例

1. TCP连接攻击检测

在已建立的TCP连接中检测攻击，需要检测系统维护一个已建立连接的表，并在这些连接中查找攻击。虽然可以伪造具有逼真序列号和确认号的TCP数据包，但这些数据包并非真正已建立连接的一部分，检测机制需要判断这一点。

2. 误报与漏报问题

所有入侵检测系统都有产生误报的可能性，即把正常活动误判为恶意活动。同时，漏报（存在真正的恶意流量时未生成事件）也较为常见。psad也不例外，在运行过程中会为良性流量生成事件。虽然可以通过仔细调整来减少误报，但误报始终有可能发生，因此自动响应被误判为恶意的流量不利于维护网络的整体连通性。不过，许多安全管理员认为，某些类型的事件，即使是由误判的活动产生的，也可能具有足够的潜在危害，值得采取严厉的响应措施。例如，一些蠕虫爆发可能会对网络及其组成系统造成毁灭性破坏，因此如果有感染此类蠕虫的可能性，可以使用主动响应来减轻爆发的影响。

3. psad的主动响应机制

psad应对攻击的主要方法是动态重新配置本地过滤策略，在可配置的时间内阻止来自攻击者源IP地址的所有访问。

3.1 TCPWRAPPERS与iptables对比

psad也支持重新配置/etc/hosts.deny文件，让tcpwrappers拒绝来自攻击者源IP地址的访问，但这种机制不如使用iptables，原因如下：
-tcpwrappers只能阻止访问配置为使用tcpwrappers