PSAD 在 Debian 8 上的安装和配置 (Jessie)PSAD 在 Debian 8 上的安装和配置 (Jessie)PSAD 在 Debian 8 上的安装和配置 (Jessie)PSAD 在 Debian 8 上的安装和配置 (Jessie)
  • 文章
  • 正则表达式
    • 工具
  • 登录
找到的结果: {phrase} (显示: {results_count} 共: {results_count_total})
显示: {results_count} 共: {results_count_total}

加载更多搜索结果...

搜索范围
模糊匹配
搜索标题
搜索内容
发表 admin at 2025年2月28日
类别
  • 未分类
标签

PSAD 在 Debian 8 上的安装和配置 (Jessie)

在此页

  1. PSAD 安装
  2. PSAD 和防火墙配置
  3. 结论

在本教程中,我将向您展示 PSAD(端口扫描攻击检测)工具在 Debian 8 (Jessie) 上的安装和配置。根据 Guardian 项目,它的功能非常有限。 PSAD 将安装在 Debian-8 (Jessie) VM 上,扫描工具“Nmap”将用于检查 VM 上的开放端口。最后,将在 Web 服务器 (Apache) 上发起 DOS 攻击以查看 PSAD 工具的行为。

PSAD安装

Debian Jessie 将使用网络安装程序 (debian-8.3.0-i386-netinst.iso) 安装在 VMware VM 上。

Debian的安装过程在上一篇文章中有介绍。 PSAD机器的IP地址是192.168.1.102/24。

PSAD 工具可以从源代码或 Debian 软件包存储库安装。我将从 Debian 存储库安装它。首先,在 sources.list 文件中添加以下内容(或检查这些行是否已经存在)并运行 apt 命令来更新存储库列表。

deb http://httpredir.debian.org/debian jessie main
deb-src http://httpredir.debian.org/debian jessie main

deb http://httpredir.debian.org/debian jessie-updates main
deb-src http://httpredir.debian.org/debian jessie-updates main

deb http://security.debian.org/ jessie/updates main
deb-src http://security.debian.org/ jessie/updates main

Debian Jessie 的源列表

apt-get update

运行以下命令以在 VM 中安装 PSAD。

apt-get install psad

安装 PSAD 工具时需要几个 Perl 包。软件包依赖项将由 Debian 软件包管理器自动解析。

Linux 平台上的防火墙功能由 IPtables 包提供。它是一个众所周知的 Linux 防火墙,已经安装在所有 Linux 发行版中。

PSAD 和防火墙配置

默认情况下,Debian 平台上的 IPtables 链中没有规则。运行以下命令以列出链规则。

iptables -L

在 IPtables 的输入和转发链上启用日志记录,以便 PSAD 守护程序可以检测到任何异常活动。

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG

\iptables -L\ 命令的输出现在与下图类似。

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             LOG level warning

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             LOG level warning
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

在 Debian 发行版中,PSAD 工具将配置文件和规则存储在 /etc/psad 目录中。

主要的 PSAD 配置文件是 /etc/psad/psad.conf。 在本教程中,IPS 功能将用于检测对 Web 服务器的 DOS 攻击。

PSAD 的基本设置如下。

EMAIL_ADDRESSES   ; 
HOSTNAME          PSAD-box;
HOME_NET          any;
EXTERNAL_NET      any;

默认的危险级别设置、PSAD 检查间隔和 SID 的使用如下图所示。

默认情况下,PSAD 守护程序在 /var/log/messages 文件中搜索日志。因此,更改 PSAD 配置中的 IPT_SYSLOG_FILE 参数。

基于 Debian 的发行版将系统日志消息存储在 /var/log/syslog 文件中。

 ENABLE_SYSLOG_FILE   Y;
 IPT_WRITE_FWDATA      Y;
 IPT_SYSLOG_FILE       /var/log/syslog;

PSAD默认工作在IDS模式,IPS参数在配置文件中是关闭的。启用以下参数以启用 IPS 功能和危险级别。在配置文件中启用该参数后,PSAD 守护程序将通过将攻击者的 IP 地址添加到 IPtables 链中来自动阻止攻击者。

ENABLE_AUTO_IDS Y;
AUTO_IDS_DANGER_LEVEL 1;

现在运行以下命令来更新特征库以检测攻击。

psad --sig-update

目前,Apache 服务器正在侦听端口 80,如下所示。

使用以下命令启动 PSAD 并检查状态。

psad start
psad -S

使用 LOIC(低轨道离子炮)工具在 VM 上发起 DOS 攻击以测试 PSAD,如下所示。

Syslog 显示使用 LOIC 工具生成的 DOS 流量。

模拟攻击者的 IP 地址 192.168.1.100 被 PSAD 守护程序阻止,如下所示。运行以下命令查看PSAD添加的动态规则。

psad --fw-list

下面的截图显示攻击者无法再ping通受害者的IP地址,所以他已经被PSAD成功拦截了。

运行以下命令以查看 PSAD 的详细输出。

psad -S

1.签名匹配和攻击者IP地址

2.特定端口的流量

3. IPtables 链中的攻击者 IP 地址。

4. 有关攻击者和受害者之间通信的详细信息。

结论

PSAD 是一个著名的开源工具,用于阻止对 Linux 服务器的端口扫描攻击。它同时具有 IDS 和 IPS 功能,并且能够使用 IPtables 动态阻止恶意 IP 地址。

©2015-2025 艾丽卡 support@alaica.com