psad:检测可疑流量与高级应用
1. psad 对不同扫描类型的检测
1.1 TCP 选项差异
在 Nmap SYN 扫描中,TCP 头部的选项部分显著缩短。它仅使用一个选项,即最大段大小(Maximum Segment Size),并将其设置为 1460。而大多数真实的 TCP 栈除了最大段大小外,还会发送多个选项,如时间戳(Timestamp)、无操作(No Operation,NOP)以及是否支持选择性确认(Selective Acknowledgment,SACK)。
1.2 TCP FIN、XMAS 和 NULL 扫描
Nmap 的 FIN、XMAS 和 NULL 扫描在 iptables 日志消息中的表现颇为相似。这些扫描类型的主要区别在于所使用的 TCP 标志组合,这一差异会在 iptables 记录 TCP 数据包的日志格式中的 TCP 标志部分体现出来。
由于 FIN、XMAS 和 NULL 扫描各自对应一个无需应用层检查的特定 Snort 规则,因此 psad 可以通过单个数据包来检测这些扫描,而无需依赖数据包计数和端口范围。可以使用 Nmap 的 -sF、-sN 和 -sX 命令行参数分别发起 FIN、NULL 和 XMAS 扫描。以下是一个 FIN 扫描的示例:
[ext_scanner]# nmap -sF -n 71.157.X.X --max-rtt-timeout 5 Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2007-07-13 14:39
