psad高级应用:攻击检测与指纹识别
超级会员免费看
高级psad主题:从签名匹配到操作系统指纹识别
1. psad_ip_len关键字
psad_ip_len 关键字用于指定 iptables 日志消息中 LEN 字段的匹配标准。它与 psad_dsize 关键字类似,但不会减去网络层和传输层头部的长度。和 psad_dsize 一样, psad_ip_len 也支持范围匹配,如 n:m 、 <n 和 >n 。例如,要测试 LEN 字段是否大于100字节但小于200字节,可以在签名中添加 psad_ip_len: 100:200 。
2. 特定Snort规则检测
以下介绍psad如何检测由特定Snort规则代表的流量。
2.1 检测ipEye端口扫描器
ipEye端口扫描器(http://ntsecurity.nu/toolbox/ipeye)是一款运行在Windows系统上的软件,用于对远程主机进行端口扫描。Snort规则ID 622可检测网络中是否使用了ipEye扫描器:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN ipEye SYN scan";
flags:S; seq:1958810375; reference:arachnids
订阅专栏 解锁全文
扫一扫
48
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
