psad:检测可疑流量与高级应用
1. 不同类型扫描检测
1.1 TCP头部选项差异
在Nmap的SYN扫描中,TCP头部的选项部分显著缩短。它仅使用一个选项——最大段大小(Maximum Segment Size),并将其设置为1460。而大多数真实的TCP栈除了最大段大小外,还会发送多个选项,如时间戳(Timestamp)、无操作(No Operation,NOP)以及是否支持选择性确认(Selective Acknowledgment,SACK)。
1.2 TCP FIN、XMAS和NULL扫描
- 扫描特点:Nmap的FIN、XMAS和NULL扫描在iptables日志消息中表现相似,主要区别在于所使用的TCP标志组合,这在iptables日志格式的TCP标志部分体现。
- 检测方式:由于这些扫描都有特定的Snort规则,且无需应用层检查,psad可通过单个数据包检测这些扫描,而非依赖数据包计数和端口范围。
- 操作步骤:可使用Nmap的
-sF、-sN和-sX命令行参数分别发起FIN、NULL和XMAS扫描。例如,发起FIN扫描的命令如下:
[ext_scanner]# nmap -sF -n 71.157.X.X --max-rtt-timeout 5
