深入了解psad:从DShield报告到主动响应
1. DShield报告系统简介
DShield分布式入侵检测系统(http://www.dshield.org )是收集和报告安全事件数据的重要工具。它作为一个集中的数据仓库,接收来自开源和商业软件(如入侵检测系统、路由器和防火墙)提供的数据。许多相关产品可通过电子邮件或Web界面向DShield提交安全警报,具体的客户端程序列表可在http://www.dshield.org/howto.php 查看。DShield数据库是一个全球性资源,任何人都能利用它了解攻击目标数量最多的IP地址、最常被攻击的端口和协议等信息。
不过,提交给DShield的事件数据格式很重要。部分防火墙或入侵检测系统记录的事件数据不适合纳入DShield数据库,因为它们不能表明是开放互联网上的恶意流量,比如内部网络中RFC 1918地址空间内主机之间的攻击,或者像Shield’s Up(https://www.grc.com )等外部站点为测试本地安全性而发起的端口扫描。
2. psad与DShield报告集成
psad支持自动通过电子邮件向DShield提交扫描数据。在DShield网站注册后,可通过编辑etc/psad/psad.conf文件中的DSHIELD_USER_ID变量在邮件提交中包含用户名。但DShield也接受匿名来源的日志信息,所以注册并非必需。默认情况下,启用DShield报告后,psad每六小时发送一次提交邮件,可通过调整DSHIELD_ALERT_INTERVAL变量控制该间隔。同时,psad会注意不包含来自RFC
