24、结合 psad 和 fwsnort 增强网络安全防护

结合 psad 和 fwsnort 增强网络安全防护

1. 结合 psad 和 fwsnort 应对攻击

在网络安全防护中，psad 和 fwsnort 是两个强大的工具，它们可以协同工作来抵御各种攻击。当检测到攻击时，fwsnort 会采取 DROP 响应，而 psad 则会立即创建一组针对攻击者的阻塞规则。

1.1 利用 tcpdump 捕获数据包

我们可以使用tcpdump命令捕获网络数据包，以下是一个示例：

[iptablesfw]# tcpdump -i eth0 -l -nn port 80 13:32:24.839585 IP 144.202.X.X.59651 > 71.157.X.X.80: S 653660994:653660994(0) win 5840 <mss 1460,sackOK,timestamp 3239999666 0,nop,wscale 2> # 其他数据包信息...

通过这些数据包信息，我们可以分析攻击的特征和行为。

1.2 psad 阻塞规则

psad 会切断与攻击者 IP 地址的所有通信，持续时间为一小时。这些 DROP 规则会被添加到 psad 的三个阻塞链中，分别是PSAD_BLOCK_INPUT、PSAD_BLOCK_OUTPUT和PSAD_BLOCK_FORWARD，从而有效地阻止攻击者的 IP 地址进行通信。以下是查看这些规则的