17、使用psad进行主动响应

使用psad进行主动响应

在网络安全领域，主动响应机制对于抵御各类攻击至关重要。本文将深入探讨使用psad进行主动响应的相关内容，包括其原理、特性、配置以及实际应用示例。

1. 阻止特定攻击的方法

要真正阻止像Witty蠕虫这样的攻击，需要一个能够对数据包内容进行精细决策的在线设备，判断数据包是否应该被转发。Snort的在线模式和运行转换后的Snort规则的iptables都能提供这种功能。由于在单包攻击转发到目标系统后再做出响应是无用的，这类攻击凸显了主动响应和入侵预防机制之间的差异。

2. 主动响应的权衡

通过生成破坏会话的流量或修改防火墙策略来自动响应攻击并非没有后果。攻击者可能很快会注意到与目标系统的TCP会话被终止，或者与目标的所有连接都被切断。最合理的结论是，某种主动响应机制已被部署来保护目标。如果主动响应系统被配置为对相对无害的流量（如端口扫描或端口扫描器）做出响应，攻击者就很容易滥用该响应机制，将其转向目标。对于那些不需要与目标进行双向通信的恶意流量（这使得攻击可以被伪造）也是如此，Witty蠕虫就是一个很好的例子。

3. 攻击类型与应对策略

许多提供主动响应功能的软件（包括psad）允许将特定主机或网络列入白名单，这样即使攻击者从这些网络伪造端口扫描或其他恶意流量，响应机制也不会采取任何行动。然而，软件管理员不太可能将所有重要系统都列入此列表，因此攻击者仅受个人创造力的限制。例如，TCP空闲扫描甚至需要伪造扫描才能正常工作。

更好的应对攻击策略是让响应机制仅对攻击者和目标之间需要双向通信的攻击做出响应。通常，这意味着攻击者已经建立了TCP连接，并使用它来发动攻击（如针对Web