psad：不阻止对 HTTP 的访问

Question

使用SCAN_TIMEOUT

我假设如果psad检测到来自某些恶意 IP 地址的扫描攻击，它会在中设置的持续时间内批量阻止它AUTO_BLOCK_TIMEOUT。

如果您只是想阻止扫描攻击，那么从手册中我会说您可能想使用此超时：

SCAN_TIMEOUT                        3600;

摘抄

扫描超时

定义 psad 用于使与各个 IP 地址关联的扫描（或其他可疑流量）超时的秒数。默认值为 3600 秒（一小时）。请注意，仅当 ENABLE_PERSISTENCE 设置为“N”时才使用 SCAN_TIMEOUT。

使用 psad 自动阻止

如果你浏览常问问题实际上有一个部分不鼓励您psad以这种方式使用。

3.3.设置 ENABLE_AUTO_IDS="Y" 来自动阻止扫描是个好主意吗？

一般情况下不会，并且此功能默认处于禁用状态。原因是任何 IP 地址都可以欺骗扫描（请参阅 nmap 的 -S 选项）。如果 psad 配置为自动阻止扫描，那么攻击者可以欺骗扫描，例如来自 www.yahoo.com 的扫描，然后您将解析您的防火墙规则集以发现为什么您无法浏览 Yahoo 的网站，（或者您可以执行“psad --Flush”删除任何自动生成的防火墙规则）。此外，一种称为“TCP 空闲扫描”的高级扫描技术要求攻击者从目标的角度来看看似不相关的 IP 地址来欺骗扫描数据包。 Nmap 使用 -sI 选项实现空闲扫描，可以找到对该技术的很好的解释这里。

那么我可以让端口 80/443 不受影响吗？

在查看文档时，我不知道如何实现这一目标，除非制定自己的规则，在检测到攻击时使用这些规则。

摘抄

IPTABLES_AUTO_RULENUM

定义 psad 将用于在 INPUT、OUTPUT 和 FORWARD 链中添加自动生成的 iptables 阻止规则的特定规则号（ENABLE_AUTO_IDS 必须设置为“Y”才能使用此关键字）。默认值为“1”。

Answer 1

使用SCAN_TIMEOUT

我假设如果psad检测到来自某些恶意 IP 地址的扫描攻击，它会在中设置的持续时间内批量阻止它AUTO_BLOCK_TIMEOUT。

如果您只是想阻止扫描攻击，那么从手册中我会说您可能想使用此超时：

SCAN_TIMEOUT                        3600;

摘抄

扫描超时

定义 psad 用于使与各个 IP 地址关联的扫描（或其他可疑流量）超时的秒数。默认值为 3600 秒（一小时）。请注意，仅当 ENABLE_PERSISTENCE 设置为“N”时才使用 SCAN_TIMEOUT。

使用 psad 自动阻止

如果你浏览常问问题实际上有一个部分不鼓励您psad以这种方式使用。

3.3.设置 ENABLE_AUTO_IDS="Y" 来自动阻止扫描是个好主意吗？

一般情况下不会，并且此功能默认处于禁用状态。原因是任何 IP 地址都可以欺骗扫描（请参阅 nmap 的 -S 选项）。如果 psad 配置为自动阻止扫描，那么攻击者可以欺骗扫描，例如来自 www.yahoo.com 的扫描，然后您将解析您的防火墙规则集以发现为什么您无法浏览 Yahoo 的网站，（或者您可以执行“psad --Flush”删除任何自动生成的防火墙规则）。此外，一种称为“TCP 空闲扫描”的高级扫描技术要求攻击者从目标的角度来看看似不相关的 IP 地址来欺骗扫描数据包。 Nmap 使用 -sI 选项实现空闲扫描，可以找到对该技术的很好的解释这里。

那么我可以让端口 80/443 不受影响吗？

在查看文档时，我不知道如何实现这一目标，除非制定自己的规则，在检测到攻击时使用这些规则。

摘抄

IPTABLES_AUTO_RULENUM

定义 psad 将用于在 INPUT、OUTPUT 和 FORWARD 链中添加自动生成的 iptables 阻止规则的特定规则号（ENABLE_AUTO_IDS 必须设置为“Y”才能使用此关键字）。默认值为“1”。

psad：不阻止对 HTTP 的访问

答案1

使用SCAN_TIMEOUT

使用 psad 自动阻止

那么我可以让端口 80/443 不受影响吗？

相关内容