14、深入解析PSAD：从端口扫描检测到高级攻击识别

深入解析PSAD：从端口扫描检测到高级攻击识别

1. UDP扫描及其检测

1.1 UDP扫描特点

UDP服务扫描与TCP服务扫描有所不同，因为UDP比TCP简单得多，且没有像TCP那样的“连接”概念。不过，iptables仍能跟踪与UDP通信相关的数据包，这有助于区分合法的UDP回复和构成UDP扫描的数据包。

1.2 UDP扫描操作示例

使用-sU选项对运行iptables的系统进行扫描，示例命令如下：

[ext_scanner]# nmap -sU -n 71.157.X.X --max-rtt-timeout 500

扫描输出结果显示：

Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2007-07-13 15:24 EDT Interesting ports on 71.157.X.X: (The 1481 ports scanned but not shown below are in state: open|filtered) PORT STATE SERVICE 53/udp closed domain Nmap finished: 1 IP address (1 host up) scanned in 23.721 seconds

从输出可知，只有UDP端口53处于非开放或过滤状态，这是因