我想通过 阻止入侵者psad
,但不应阻止 HTTP 和 HTTPS。例如,如果有人通过 扫描我的专用服务器nmap
,psad
应该阻止他 2 小时,但他仍然应该看到我域中的内容。
我设置AUTO_BLOCK_TIMEOUT
的值为7200,这样所有扫描我的人都被完全屏蔽了2个小时。不幸的是,攻击者也被阻止查看我的网页,这不是我的意图。
是否有可能通过 设置部分封锁psad
?
答案1
使用SCAN_TIMEOUT
我假设如果psad
检测到来自某些恶意 IP 地址的扫描攻击,它会在 中设置的持续时间内批量阻止它AUTO_BLOCK_TIMEOUT
。
如果您只是想阻止扫描攻击,那么从手册中我会说您可能想使用此超时:
SCAN_TIMEOUT 3600;
摘抄
扫描超时
定义 psad 用于使与各个 IP 地址关联的扫描(或其他可疑流量)超时的秒数。默认值为 3600 秒(一小时)。请注意,仅当 ENABLE_PERSISTENCE 设置为“N”时才使用 SCAN_TIMEOUT。
使用 psad 自动阻止
如果你浏览常问问题实际上有一个部分不鼓励您psad
以这种方式使用。
3.3.设置 ENABLE_AUTO_IDS="Y" 来自动阻止扫描是个好主意吗?
一般情况下不会,并且此功能默认处于禁用状态。原因是任何 IP 地址都可以欺骗扫描(请参阅 nmap 的 -S 选项)。如果 psad 配置为自动阻止扫描,那么攻击者可以欺骗扫描,例如来自 www.yahoo.com 的扫描,然后您将解析您的防火墙规则集以发现为什么您无法浏览 Yahoo 的网站,(或者您可以执行“psad --Flush”删除任何自动生成的防火墙规则)。此外,一种称为“TCP 空闲扫描”的高级扫描技术要求攻击者从目标的角度来看看似不相关的 IP 地址来欺骗扫描数据包。 Nmap 使用 -sI 选项实现空闲扫描,可以找到对该技术的很好的解释这里。
那么我可以让端口 80/443 不受影响吗?
在查看文档时,我不知道如何实现这一目标,除非制定自己的规则,在检测到攻击时使用这些规则。
摘抄
IPTABLES_AUTO_RULENUM
定义 psad 将用于在 INPUT、OUTPUT 和 FORWARD 链中添加自动生成的 iptables 阻止规则的特定规则号(ENABLE_AUTO_IDS 必须设置为“Y”才能使用此关键字)。默认值为“1”。