企业官网建设流程全解析

深入探索psad：从签名匹配到主动响应

1. 基于签名匹配的操作系统指纹识别

psad可以通过将SYN数据包中的TCP选项与p0f签名进行匹配，识别出正在探测iptables防火墙的特定远程操作系统。不过，这一功能需要使用--log-tcp-options参数才能实现。因此，在将默认的LOG规则添加到iptables策略时，建议使用该选项。

例如，一组选项匹配了p0f指纹S4:64:1:60:M*,S,T,N,W2，对应的是Linux 2.5（有时是2.4）。这是正确的，因为从运行2.6.11内核的机器发起了对TCP端口23的连接尝试，而2.5系列是2.6内核的开发系列。

2. DShield报告

2.1 DShield简介

DShield分布式入侵检测系统（http://www.dshield.org）是收集和报告安全事件数据的重要工具。它是来自开源和商业世界的各种软件（包括入侵检测系统、路由器和防火墙）提供的数据的集中存储库。许多产品可以通过电子邮件或Web界面向DShield提交安全警报。能向DShield提交事件数据的客户端程序完整列表可在http://www.dshield.org/howto.php找到。

2.2 适合提交的数据

并非所有防火墙或入侵检测系统记录的事件数据都适合纳入DShield数据库，因为有些数据并不代表开放互联网上的恶意流量。例如，内部网络中RFC 1918地址空间内主机之间的攻击，或者从外部站点（如Shield’s Up，https://www.grc.com）故意发起的用于测试本地安全的端口扫描。