企业官网建设流程全解析

深入了解psad：端口扫描攻击检测器与可疑流量检测

1. psad配置文件详解

psad（Port Scan Attack Detector）是一款用于Linux系统的端口扫描攻击检测工具，在使用过程中，有多个重要的配置文件需要我们关注。

1.1 FW_MSG_SEARCH变量配置

若要让psad仅分析包含字符串“DROP”的iptables日志消息，可对FW_MSG_SEARCH变量进行如下配置：

FW_MSG_SEARCH DROP;

1.2 /etc/psad/auto_dl文件

如同任何入侵检测系统（IDS）一样，psad也存在较高的误报概率。因此，它具备白名单和黑名单功能。/etc/psad/auto_dl文件用于设置这些规则，其语法如下：

ip/network danger level optional protocol/optional ports

当危险级别设置为0时，psad会完全忽略该IP地址或网络；若某IP地址或网络被认定为极其恶意，危险级别可设置为最高的5。例如：

192.168.10.3 0; 10.10.1.0/24 5 tcp/22;

<