可视化 iptables 日志与攻击欺骗分析
在网络安全领域,对 iptables 日志进行可视化分析以及了解攻击欺骗的原理和防范措施至关重要。下面将详细介绍如何通过可视化工具分析 iptables 日志,以及如何利用脚本进行攻击欺骗和相应的防范方法。
1. iptables 日志可视化分析
1.1 端口扫描与端口扫描器检测
端口扫描通常是蠕虫或攻击者寻找系统漏洞的手段。通过 psad 和 Gnuplot 工具,我们可以对端口扫描行为进行可视化分析。
-外部 IP 与本地目标地址关系图:
# psad -m iptables.data --gnuplot --CSV-fields "src:!not11.11.0.0/16 dst:11.11.0.0/16,!countuniq" --gnuplot-graph points --gnuplot-xrange 0:26000 --gnuplot-yrange 0:27 --gnuplot-file-prefix fig14-5 $ gnuplot fig14-5.gnu此命令生成的图展示了外部 IP 地址与它们发送数据包的唯一本地地址数量之间的关系。大部分外部地址只向一两个目标地址发送数据包,但部分范围(如 18000 - 26000)的外部地址会连接多达 24 个蜜网网络地址。
- 外部源地址、目标端口与数据包计数的三维图:
)