linux端口攻击检测,Linux防火墙 第5章端口扫描攻击检测程序psad简介

Linux防火墙 第5章端口扫描攻击检测程序psad简介

Linux防火墙 第5章端口扫描攻击检测程序psad简介

本章将简要介绍端口扫描攻击检测程序psad，主要涵盖psad的安装、管理和配置，而psad的操作和自动回应等主要任务会在下两章里讲述。

5.1 5.1 发展历史 发展历史

最终成为psad的软件项目一开始只是作为Bastille Linux的一个组成部分。1999年秋季，Bastille开发团队决定为Bastille提供一个轻量级的网络入侵检测组件。正好那时候Peter Watkins在开发一个优秀的防火墙脚本(该脚本现在仍然和Bastille捆绑在一起)，所以下一步工作任务自然就是开发一个基于防火墙日志所提供信息的IDS工具。此外，在那个时候，PortSentry(见http://sourceforge. net/projects/sentrytools)存在一些架构设计问题，因而它不太适合与一个已被配置为默认丢弃的防火墙相结合使用 。

虽然我们也可以只开发一个Snort(见http://doc.xuehai.net)的配置工具，但Jay Beale、Peter Watkins和我最终还是决定开发一个全新的，并且与Linux内核中的防火墙代码紧密结合的工具。其结果是诞生了被称为Bastille-NIDS的Bastille组件，它可以同时分析2.2系列内核中的ipchains日志和2.4、2.6系列内核中的iptables日志。

2001年，我决定将Bastille-NIDS项目作为一个独立的项目从Bastille中分离出来，这样它可以独立运行而不需要先安装Bastille，我将它命名为psad(PortScan Attack Detector，端口扫描攻击检测程序)。psad的开发相当活跃，平均每三四个月就会发布一个新版本。

5.2 5.2 为何要分析防火墙日志 为何要分析防火墙日志

良好的网络安全首先要正确配置防火墙，它应该只允许绝对必需的基本网络连接和服务通过。防火墙是一种线内设备，因此非常适合于针对网络流量应用过滤逻辑。在计算机网络的术语中，线内设备指的是位于数据包必经之路上的硬件设备。如果线内设备中的硬件或软件出现故障，并影响到它转发网络数据的能力，就会导致网络通信的中断。线内设备包括路由器、交换机、网桥、防火墙和网络入侵防御系统(IPS) 等。

随着防火墙的功能变得越来越齐备，结构变得越来越复杂，它们正在逐步开始提供传统上一直属于入侵检测系统范畴的功能(如应用层检查)。通过将这些功能与过滤数据包的能力结合使用，防火墙可以提供有价值的入侵检测数据，利用这些数据可以形成有效的机制来保护服务免遭入侵和侦察，并且限制蠕虫所带来的潜在破坏。像iptables这样提供了丰富的日志记录和过滤功能的防火墙可以提供宝贵的安全数据，这些数据是不应该被忽视的。

像Snort这样的专用入侵检测系统提供了大型的功能集和全面的规则语言来描述网络攻击，而iptables则总是直接连到网络流量上并且提供了详细的数据包首部日志(它可以和应用层测试结合，正如将在第9章中讲述的那样)。深度防御的原则使得我们有必要去倾听iptables所叙述的故事。

5.3 5.3 psad特性 特性