psad - Port Scan Attack Detector,這個工具可以在 Linux 主機遭受駭客當作入侵掃描的對象時即時被偵測到,並且還可以作郵件通知以及阻擋攻擊 IP。
系統環境:CentOS 5.5 (Linux 2.6.18-194.26.1.el5)
下載位址:http://cipherdyne.org/psad/download/
cd /usr/src tar xzf psad-2.1.7.tar.gz cd psad-2.1.7/ ./install.pl
Notes:
開啟 iptables log
iptables -A INPUT -j LOG iptables -A FORWARD -j LOG
檢查 LOG 啟動
#iptables -L Chain INPUT (policy DROP) ... LOG all -- anywhere anywhere LOG level warning ... Chain FORWARD (policy ACCEPT) target prot opt source destination LOG all -- anywhere anywhere LOG level warning
設定服務啟動時自動開啟 LOG
編輯 /etc/sysconfig/iptables,在 *filter 這區段的最後一行 COMMIT 之前加上
.... .... # Enable LOG for psad daemon -A INPUT -j LOG -A FORWARD -j LOG COMMIT
主設定檔是 /etc/psad/psad.conf,參數說明如下:
基本設定:
偵測通知設定:
防護設定:
Ans: 編輯 /etc/psad/auto_dl
# Ignore local subnet 192.168.7.0/24 0; # Ignore a host 192.168.8.10 0;
Ans: 這是因為主機的 iptables 有設定了禁止 ping 的規則,所以從 iptables 的設定裡註解以下的規則:
/etc/sysconfig/iptables:
# Accept responses to our pings -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
Ans: 執行以下指令
iptables -D PSAD_BLOCK_FORWARD -d 123.123.123.123 -j DROP iptables -D PSAD_BLOCK_FORWARD -s 123.123.123.123 -j DROP iptables -D PSAD_BLOCK_INPUT -s 123.123.123.123 -j DROP iptables -D PSAD_BLOCK_OUTPUT -d 123.123.123.123 -j DROP
Ans: 不管是警示通知或封鎖 IP 其原則都是根據所偵測到的連線的危險等級來決定。在 psad.conf 所設定的規則,以連線封包的數量定義了危險等級,預設是
DANGER_LEVEL1 5; ### Number of packets. DANGER_LEVEL2 15; DANGER_LEVEL3 150; DANGER_LEVEL4 1500; DANGER_LEVEL5 10000;
此外,在 auto_dl 檔也可手動設定某個來源 IP 連線為指定的危險等級。
Images 1 | ||
---|---|---|
![]() PSADpsad.png |