16、使用psad进行主动响应

使用psad进行主动响应

在网络安全领域，主动响应机制对于抵御攻击至关重要。本文将详细介绍如何使用psad进行主动响应，包括其原理、特性、配置变量以及实际应用示例。

1. 阻止特定攻击的方法

要真正阻止像Witty蠕虫这样的攻击，需要一个能够对数据包内容进行细粒度决策的在线设备。Snort的在线模式和运行转换后的Snort规则的iptables都能提供这种功能。由于在单个数据包攻击转发到目标系统后再进行响应是无用的，这类攻击凸显了主动响应和入侵预防机制之间的区别。

2. 主动响应的权衡

通过生成破坏会话的流量或修改防火墙策略来自动响应攻击并非没有后果。攻击者可能很快会注意到与目标系统的TCP会话被终止，或者与目标的所有连接都被切断。最合理的结论是，某种主动响应机制已被部署来保护目标。如果主动响应系统被配置为对相对无害的流量（如端口扫描或端口扫描）做出响应，攻击者就很容易滥用响应机制并将其针对目标。这也适用于那些不需要与目标进行双向通信的恶意流量（这使得攻击可以被伪造），Witty蠕虫就是一个很好的例子。

3. 攻击类型及应对策略

许多提供主动响应功能的软件（包括psad）都允许对特定主机或网络进行白名单设置，这样即使攻击者从这些网络伪造端口扫描或其他恶意流量，响应机制也不会采取行动。然而，软件管理员不太可能将所有重要系统都列入此列表，而攻击者仅受个人创造力的限制。TCP空闲扫描甚至需要伪造扫描才能正常工作。

更好的应对攻击策略是让响应机制仅对攻击者和目标之间需要双向通信的攻击做出响应。通常，这意味着攻击者已经建立了TCP连接并使用它来发动攻击（如对Web应用程序的SQL注入攻击，或通过监听TC