良玉的博客 点点滴滴,积水成河_良玉的博客_页游、手游linux运维工程师之路

psad使用指纹/etc/psad/pf.os

psad使用来自p0f的操作系统数据库来被动地识别远程操作系统的指纹。psad将该数据库安装为/etc/psad/pf.os文件并在启动时导入它(或者当psad通过kill命令或psad -H命令接收到挂起或HUP信号时导入它)。

阅读全文...

常用的IP选项及其相应的识别号/etc/psad/ip_options

IP通信通常不使用IP首部中的选项部分,但iptables可以使用--log-ip-options命令行参数记录IP选项。如果iptables日志信息包含IP选项,psad将解析这些选项以便发现可疑行为,如源站选路企图。有些Snort规则定义了对IP选项的可疑用法,psad将参考/etc/psad/ip_options文件以便对iptables日志信息中的IP选项进行解码。该文件定义了常用的IP选项及其相应的识别号,其语法格式如下所示:

阅读全文...

psad的黑、白名单/etc/psad/auto_dl


对任何IDS来说,总是存在着误报的可能性。因此,每个IDS都会配备白名单的功能,它可以将某些系统、网络、端口或协议排除在任何检测机制和任何自动回应功能(最重要的)之外。因为某些IP地址或网络还可能是已知的不良行为者,所以IDS还应配备黑名单功能。

阅读全文...

/etc/psad/psad.conf配置详细

所有的psad守护进程都使用/etc/psad/psad.conf配置文件,该文件遵循一个简单的约定:注释行以字符(#)开头,配置参数使用的是键-值格式。例如,psad.conf配置文件中的HOSTNAME变量定义了部署psad的系统主机名:


阅读全文...

标签: psadconf配置

作者:良玉 分类:psad 浏览:823 评论:0

免费DDOS攻击测试工具大合集

DoS(Denial Of Service)攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃(关于DDoS更多认识请点击这里)。然而随着网络上免费的可用DDOS工具增多,Dos攻击也日益增长,下面介绍几款Hacker常用的Dos攻击工具。

特别提示:仅用于攻防演练及教学测试用途,禁止非法使用


阅读全文...

标签: DDOS攻击

作者:良玉 分类:DDOS 浏览:609 评论:0

搭建开源入侵检测系统Snort,并实现与防火墙联动

Snort作为一款优秀的开源网络入侵检测系统,在windows和Linux平台上均可安装运行。BT5作为曾经的一款经典的渗透神器,基于Ubuntu,里面已经预装很多的应用,比如Mysql、Apache、Snort等等。Guardian是snort的插件,通过读取snort报警日志将入侵IP加入到Iptables中。Iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。

本文详细介绍了BT5中安装snrot NIDS并实现与iptables防火墙联动的过程。


阅读全文...

psad的安装

在安装psad之前,需要首先从http://www.cipherdyne.org/psad/download上下载最新版本的psad。在http://www.cipherdyne.org上发布的所有程序(包括psad)都在它们各自的源代码树中捆绑了一个安装程序install.pl。一旦下载了tarball文件,最好同时验证它的MD5 sum和GnuPG签名 。可以在http://www.cipherdyne.org/public_key上找到我的GnuPG公钥。下面显示的是如何针对版本2.0.8执行这些步骤:

install.pl脚本在运行时将提示进行一些输入,包括电子邮件警报将发送给哪个电子邮件地址、目前运行在系统中的syslog守护进程的类型(syslogd、syslog-ng或metalog)、是否要求psad只分析包含特定日志前缀的iptables日志信息,以及是否将日志数据发送到DShield分布式IDS。可以手工输入相应的信息,也可以使用默认值(只需按下回车键),这样很快就将拥有一个可以正常运作的psad了。

阅读全文...

标签: linuxpsad

作者:良玉 分类:psad 浏览:492 评论:0

Linux平台四大IDS入侵检测工具

如果你只有一台电脑,那么对你而言花费大量的工夫仔细审查系统的弱点和问题是完全可能的。可能你并不真得希望这样,但却有此可能。不过,在现实世界中,我们需要一些好的工具来帮助我们监视系统,并向我们发出警告,告诉我们哪里可能出现问题,因此我们可以经常地轻松一下。入侵检测可能是一种令我们操心的问题之一。不过,事情总有两方面,幸好Linux的管理员们拥有可供选择的强大工具。最佳的策略是采用分层的方法,即将“老当益壮”的程序,如Snort、iptables等老前辈与psad、AppArmor、SELinuxu等一些新生力量结合起来,借助强大的分析工具,我们就可以始终站在技术的前沿。 

阅读全文...

标签: IDS

作者:良玉 分类:IDS 浏览:344 评论:0

DenyHosts

DenyHosts可以阻止试图猜测SSH登录口令,会分析/var/log/secure等日志文件,当发现同一IP在进行多次SSH密码尝试时就会记录IP到/etc/hosts.deny文件,从而达到自动屏蔽该IP的目的。

       vim/usr/share/denyhosts/denyhosts.cfg       #编辑配置文件,另外关于配置文件一些参数,通过grep -v"^#" denyhosts.cfg查看

SECURE_LOG =/var/log/secure               #ssh 日志文件,redhat系列根据/var/log/secure文件来判断;Mandrake、FreeBSD根据 /var/log/auth.log来判断

#SUSE则是用/var/log/messages来判断,这些在配置文件里面都有很详细的解释。

HOSTS_DENY =/etc/hosts.deny               #控制用户登陆的文件

PURGE_DENY =30m                           #过多久后清除已经禁止的,设置为30分钟;


阅读全文...

标签: linuxdenyhosts

作者:良玉 分类:系统安全 浏览:385 评论:0