深入探索psad:从签名匹配到主动响应
1. 基于签名匹配的操作系统指纹识别
psad可以通过将SYN数据包中的TCP选项与p0f签名进行匹配,识别出正在探测iptables防火墙的特定远程操作系统。不过,这一功能需要使用--log-tcp-options参数才能实现。因此,在将默认的LOG规则添加到iptables策略时,建议使用该选项。
例如,一组选项匹配了p0f指纹S4:64:1:60:M*,S,T,N,W2,对应的是Linux 2.5(有时是2.4)。这是正确的,因为从运行2.6.11内核的机器发起了对TCP端口23的连接尝试,而2.5系列是2.6内核的开发系列。
2. DShield报告
2.1 DShield简介
DShield分布式入侵检测系统(http://www.dshield.org)是收集和报告安全事件数据的重要工具。它是来自开源和商业世界的各种软件(包括入侵检测系统、路由器和防火墙)提供的数据的集中存储库。许多产品可以通过电子邮件或Web界面向DShield提交安全警报。能向DShield提交事件数据的客户端程序完整列表可在http://www.dshield.org/howto.php找到。
2.2 适合提交的数据
并非所有防火墙或入侵检测系统记录的事件数据都适合纳入DShield数据库,因为有些数据并不代表开放互联网上的恶意流量。例如,内部网络中RFC 1918地址空间内主机之间的攻击,或者从外部站点(如Shield’s Up,https://www.grc.com)故意发起的用于测试本地安全的端口扫描。
