24、网络攻击防护:fwsnort与psad的协同应用
网络攻击防护:fwsnort与psad的协同应用
在网络安全领域,有效检测和抵御攻击是至关重要的。Snort社区为检测网络攻击提供了有效的语言,fwsnort基于此使用Snort签名集来描述攻击。而iptables作为防火墙,主要负责网络流量的控制。
1. fwsnort与psad的基础作用
当在Linux系统上运行的关键任务服务器软件发现漏洞时,在安排停机时间进行补丁修复之前,系统容易受到攻击。借助Snort社区的力量,一旦开发并发布了相应的签名,fwsnort可以告知Linux内核如何在恶意数据包造成实际危害之前将其丢弃。不过,fwsnort虽然能构建丢弃数据包的iptables规则集,但无法动态地对恶意IP地址实施持久的阻止规则,这需要用户空间进程来完成。
psad具备检测、警报和自动响应功能,但其检测引擎的有效性受到iptables日志格式特性的根本限制。而fwsnort在攻击检测方面表现更优,尤其是对应用层攻击的检测。并且由于iptables始终处于网络流量的在线状态,fwsnort可以(可选地)阻止恶意数据包到达其目标。然而,fwsnort衍生的iptables策略完全在内核中运行,无法执行通常在用户空间应用程序中可行的各种警报功能。因此,需要一种机制将fwsnort的签名检测能力与psad的多种功能(如发出whois查询、反向DNS查找、发送电子邮件警报、关联危险级别和向DShield传达攻击信息)结合起来。
2. 结合fwsnort与psad应对攻击示例
以针对MediaWiki软件的“WEB - PHP Setup.php访问攻击”为例,Snort规则ID 2281用于检测利用MediaWiki软件输入验证弱点的尝试。