18、网络安全工具：psad与fwsnort的应用与集成

网络安全工具：psad与fwsnort的应用与集成

1. psad主动响应机制

1.1 端口扫描监测与响应

psad可监测iptables日志，当检测到可疑端口扫描时，会自动添加阻止规则。例如，针对144.202.X.X的IP地址，在扫描间隔内监测到66个UDP数据包后，psad会添加3600秒的阻止规则：

Mar 5 18:55:55 iptablesfw psad: added iptables auto-block against 144.202.X.X for 3600 seconds Mar 5 18:56:00 iptablesfw psad: scan detected: 144.202.X.X -> 71.157.X.X tcp=0 udp=66 icmp=0 dangerlevel: 4

攻击者后续进行Nmap版本扫描、FIN扫描等操作时，psad也会做出相应响应。如FIN扫描时，iptables会过滤盲FIN数据包，psad则添加针对攻击者的阻止规则。

1.2 恶意IP欺骗扫描

攻击者可能会恶意伪造扫描源IP地址，如使用Yahoo!网络的IP地址。只要本地网络或ISP未部署反欺骗措施，攻击者就能轻易伪造IP地址进行扫描。例如：

[ext_scanner]# nmap -sS -P0 -S 68.142.X.X -e eth0 -n 71.157.X.X

psad会根据扫描的危