实战观察 fwsnort
在网络安全领域,fwsnort 是一款强大的工具,它能将 Snort 规则转换为 iptables 规则,从而有效检测和应对各种网络攻击。下面我们通过具体的攻击示例,来深入了解 fwsnort 的工作原理和使用方法。
1. fwsnort 默认策略
默认情况下,fwsnort 构建的策略类似于入侵检测系统(IDS),仅通过 LOG 目标记录攻击信息,不会尝试丢弃数据包、重置 TCP 连接或生成 ICMP 错误代码数据包。不过,我们可以使用--ipt-reject或--ipt-drop命令行参数,将这种被动策略转变为主动策略。
2. 检测 Trin00 DDoS 工具
Trin00 是一种经典的分布式拒绝服务(DDoS)攻击工具,它通过多个攻击节点同时向目标发送大量 UDP 数据包来实施攻击。Snort 签名集包含多个用于检测 Trin00 管理通信的签名,例如 Snort ID 237 会查找发往家庭网络端口 27444 的 UDP 数据包中是否包含字符串 “l44adsl”。
Snort 规则如下:
alert udp $EXTERNAL_NET any -> $HOME_NET 27444 (msg:"DDOS Trin00 Master to Daemon default password attempt"; content:"l44adsl"; reference:arachnids,197; classtype: attempted-dos;
