psad:Linux实时检测和阻止端口扫描攻击
时间:2020-01-09 10:41:27 来源:igfitidea点击:
问题描述:如何通过分析Debian Linux防火墙日志文件并实时阻止端口扫描来检测端口扫描攻击?
如何在Linux下检测可疑的网络流量?
解决方法:端口扫描程序(例如nmap)是一款旨在搜索网络主机上开放端口的软件。
攻击者可以在开始攻击之前使用nmap扫描您的网络。
您始终可以通过访问/var/log/messages查看扫描模式。
但是,我建议在Linux下使用名为psad的自动化工具端口扫描攻击检测程序,它是在Linux机器上运行并分析iptables日志消息以检测端口扫描和其他可疑流量的轻量级系统守护程序的集合。
psad利用Netfilter日志消息来检测,警告和(可选)阻止端口扫描以及其他可疑流量。
对于tcp扫描,psad分析tcp标志以确定扫描类型(syn,fin,xmas等),以及可以提供给nmap生成此类扫描的相应命令行选项。
另外,psad利用了Snort入侵检测系统中包含的许多tcp,udp和icmp签名。
在Debian/Ubuntu Linux下安装psad
输入以下命令以安装psad,执行:
$ sudo apt-get update $ sudo apt-get install psad
配置psad
打开/etc/syslog.conf文件,执行:
# vi /etc/syslog.conf
追加以下代码
kern.info |/var/lib/psad/psadfifo
或者,您可以执行以下命令来更新syslog.conf:
echo -e ’kern.info\t|/var/lib/psad/psadfifo’ >> /etc/syslog.conf
psad Syslog需要配置为将所有kern.info消息写入命名管道/var/lib/psad/psadfifo。
关闭并保存文件。
重新启动系统日志:
# /etc/init.d/sysklogd restart # /etc/init.d/klogd
缺省psad文件位于/etc/psad/psad.conf中:
# vi /etc/psad/psad.conf
您需要设置正确的电子邮件ID,以获取端口扫描检测消息和其他设置,如下所示:
EMAIL_ADDRESSES [email protected];
设置机器主机名(FQDN):
HOSTNAME server.theitroad.com;
如果框上只有一个接口(例如colo Web服务器或邮件服务器),则将HOME_NET发送给任何接口:
HOME_NET NOT_USED; ### only one interface on box
您可能还需要根据设置调整危险等级。
您还可以定义一组要忽略的端口,例如,使psad忽略udp端口53和5000,请使用:
IGNORE_PORTS udp/53, udp/5000;
您还可以通过设置以下两个变量来启用实时iptables阻止:
ENABLE_AUTO_IDS Y; IPTABLES_BLOCK_METHOD Y;
psad还有更多选项,请阅读手册页以获取更多信息。
保存并关闭文件。
重新启动psad:
# /etc/init.d/psad restart
更新iptables规则
psad需要遵循以下两个启用日志记录的规则:
iptables -A INPUT -j LOG iptables -A FORWARD -j LOG
这是我的示例Debian Linux桌面防火墙脚本,最后启用了日志记录:
#!/bin/bash
IPT="/sbin/iptables"
echo "Starting IPv4 Wall..."
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
modprobe ip_conntrack
BADIPS=$(egrep -v -E "^#|^$" /root/scripts/blocked.fw)
PUB_IF="eth0"
#unlimited
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# DROP all incomming traffic
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
# block all bad ips
for ip in $BADIPS
do
$IPT -A INPUT -s $ip -j DROP
$IPT -A OUTPUT -d $ip -j DROP
done
# sync
$IPT -A INPUT -i ${PUB_IF} -p tcp ! --syn -m state --state NEW -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Drop Syn"
$IPT -A INPUT -i ${PUB_IF} -p tcp ! --syn -m state --state NEW -j DROP
# Fragments
$IPT -A INPUT -i ${PUB_IF} -f -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Fragments Packets"
$IPT -A INPUT -i ${PUB_IF} -f -j DROP
# block bad stuff
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL ALL -j DROP
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL NONE -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "NULL Packets"
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL NONE -j DROP # NULL packets
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "XMAS Packets"
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP #XMAS
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Fin Packets Scan"
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags FIN,ACK FIN -j DROP # FIN packet scans
$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
# Allow full outgoing connection but no incomming stuff
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# allow ssh only
$IPT -A INPUT -p tcp --destination-port 22 -j ACCEPT
$IPT -A OUTPUT -p tcp --sport 22 -j ACCEPT
# allow incoming ICMP ping pong stuff
$IPT -A INPUT -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p icmp --icmp-type 0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# No smb/windows sharing packets - too much logging
$IPT -A INPUT -p tcp -i eth0 --dport 137:139 -j REJECT
$IPT -A INPUT -p udp -i eth0 --dport 137:139 -j REJECT
# Log everything else
# *** Required for psad ****
$IPT -A INPUT -j LOG
$IPT -A FORWARD -j LOG
$IPT -A INPUT -j DROP
# Start ipv6 firewall
# echo "Starting IPv6 Wall..."
/root/scripts/start6.fw
exit 0
如何查看端口扫描报告?
只需执行以下命令:
# psad -S
输出示例:
[+] psad (pid: 2524) %CPU: 0.0 %MEM: 0.8
Running since: Sun Jul 27 07:14:55 2008
Command line arguments: -c /etc/psad/psad.conf
Alert email address(es): [email protected]
src: dst: chain: intf: tcp: udp: icmp: dl: alerts: os_guess:
117.32.xxx.149 xx.22.zz.121 INPUT eth0 1 0 0 2 2
118.167.xxx.219 xx.22.zz.121 INPUT eth0 1 0 0 2 2
118.167.xxx.250 xx.22.zz.121 INPUT eth0 1 0 0 2 2
118.167.xxx.5 xx.22.zz.121 INPUT eth0 1 0 0 2 2
Netfilter prefix counters:
"SPAM DROP Block": 161519
"Drop Syn Attacks": 136
Total packet counters:
tcp: 5868
udp: 164012
icmp: 2
如何删除自动阻止的ips?
只需执行以下命令即可删除任何自动生成的防火墙块
# psad -F
如何查看每个IP地址的详细日志?
转到/var/log/psad/ip.address/目录。
例如,查看IP地址11.22.22.33的日志,执行:
# cd /var/log/psad/11.22.22.33 # ls -l
