13、深入了解psad：端口扫描攻击检测器与可疑流量检测

深入了解psad：端口扫描攻击检测器与可疑流量检测

1. psad配置文件详解

psad（Port Scan Attack Detector）是一款用于检测端口扫描攻击的工具，在Linux系统上结合iptables使用，能有效识别网络中的可疑流量。以下是psad几个关键配置文件的详细介绍：

1.1 FW_MSG_SEARCH变量配置

若要让psad仅分析包含字符串“DROP”的iptables日志消息，可按如下方式配置FW_MSG_SEARCH变量：

FW_MSG_SEARCH DROP;

1.2 /etc/psad/auto_dl文件

与其他入侵检测系统（IDS）一样，psad也存在误报的可能性。为解决这一问题，psad提供了白名单和黑名单机制，这些设置可在/etc/psad/auto_dl文件中完成，其语法格式如下：

ip/network danger level optional protocol/optional ports

若危险级别设置为0，psad将完全忽略该IP地址或网络；若某个IP地址或网络被确认为极具恶意，危险级别最高可设为5。例如：

192.168.10.3 0; 10.10.1.0/24