超级会员免费看
深入解析psad:高级功能与主动响应策略
1. psad基础特性与DShield报告
psad在分析iptables日志时十分谨慎,不会包含源自RFC 1918地址或因 /etc/psad/auto_dl 中零危险级别设置而应被忽略的扫描数据。
虽然psad默认未启用DShield报告功能,但安装脚本 install.pl 会询问是否启用。除非安全策略明确禁止向DShield传输安全事件数据,否则建议启用该功能。
DShield报告有特定格式要求,以减少DShield服务器的处理负担。每个安全事件需单独成行,以制表符分隔,包含以下字段:
- 作者(DShield用户ID,若未在http://www.dshield.org注册,psad默认设为零)
- 计数
- 日期(格式为YYYY - MM - DD HH24:MI:SS Z,Z为时区)
- 协议(来自 /etc/protocols 的数字条目或文本等价物,如TCP)
- 源IP地址
- 源端口(或ICMP类型)
- 目标IP地址
- 目标端口(或ICMP代码)
- TCP标志(仅TCP警报数据需要)
以下是一个示例DShield报告:
For 2007 - 07 - 17 you submitted 53 packets from 23 sources hitting 1 targets.
Port | Packets | Source
订阅专栏 解锁全文
扫一扫
7
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
