高级psad主题:从签名匹配到操作系统指纹识别
在网络安全领域,psad是一款强大的工具,它在检测和防范各种网络攻击方面发挥着重要作用。本文将深入探讨psad的高级主题,包括签名匹配和操作系统指纹识别。
1. psad_ip_len关键字
psad_ip_len关键字用于指定iptables日志消息中LEN字段的匹配条件。它与psad_dsize关键字类似,但不会减去网络和传输层报头的长度。该关键字支持范围匹配,如n:m、 n。例如,要测试LEN字段是否大于100字节但小于200字节,可以在签名中添加psad_ip_len: 100:200。
2. 特定Snort规则的检测
2.1 检测ipEye端口扫描器
ipEye端口扫描器是一款运行在Windows系统上的软件,类似于Nmap,但功能相对较少。Snort规则ID 622用于检测ipEye扫描器的使用:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN ipEye SYN scan"; flags:S; seq:1958810375; reference:arachnids,236; classtype:attempted-recon; sid:622; psad_id:100197; psad_dl:2;)要使用psad检测ipEye扫描器,需要在iptables命令行中使用--log-tcp-sequence选项
