침입자를 차단하고 싶지만 psadHTTP와 HTTPS는 차단하면 안 됩니다. 예를 들어, 누군가가 내 전용 서버 nmap를 검색하면 psad그 사람은 2시간 동안 차단되어야 하지만 내 도메인의 콘텐츠는 계속 볼 수 있어야 합니다.
AUTO_BLOCK_TIMEOUT나를 스캔하는 모든 사람이 2시간 동안 완전히 차단되도록 값을 7200으로 설정했습니다 . 불행하게도 공격자는 내 페이지를 볼 수 없도록 차단되었으며 이는 내 의도가 아닙니다.
부분 봉쇄를 설정할 수 있나요 psad?
답변1
SCAN_TIMEOUT 사용
psad일부 악성 IP 주소로부터의 스캐닝 공격이 감지 되면 AUTO_BLOCK_TIMEOUT.
스캐닝 공격만 방지하려는 경우 매뉴얼에 따르면 이 시간 제한을 사용하는 것이 좋습니다.
SCAN_TIMEOUT 3600;
발췌
스캔 시간 초과
psad가 개별 IP 주소와 관련된 검색(또는 기타 의심스러운 트래픽)을 시간 초과하는 데 사용하는 시간(초)을 정의합니다. 기본값은 3600초(1시간)입니다. SCAN_TIMEOUT은 ENABLE_PERSISTENCE가 "N"으로 설정된 경우에만 사용됩니다.
psad를 사용하여 자동 차단
탐색하면자주하는 질문psad실제로 이런 방식으로 사용하는 것을 권장하지 않는 섹션이 있습니다 .
3.3. 자동으로 검사를 방지하려면 ENABLE_AUTO_IDS="Y"를 설정하는 것이 좋은 생각입니까?
일반적으로 그렇지 않으며 이 기능은 기본적으로 비활성화되어 있습니다. 그 이유는 모든 IP 주소가 스캔을 스푸핑할 수 있기 때문입니다(nmap의 -S 옵션 참조). psad가 자동으로 스캔을 차단하도록 구성되어 있으면 공격자는 www.yahoo.com의 스캔과 같은 스캔을 스푸핑할 수 있으며 그러면 사용자는 방화벽 규칙 세트를 구문 분석하여 Yahoo 웹사이트를 탐색할 수 없는 이유를 알아낼 수 있습니다. 자동으로 생성된 방화벽 규칙을 삭제하려면 " psad --Flush"를 수행하십시오. 또한 "TCP 유휴 검색"이라는 고급 검색 기술을 사용하려면 공격자가 대상의 관점에서 관련이 없어 보이는 IP 주소로 검색 패킷을 스푸핑해야 합니다. Nmap은 -sI 옵션을 사용하여 유휴 스캔을 구현합니다. 이 기술에 대한 좋은 설명을 찾을 수 있습니다.여기.
그러면 포트 80/443을 영향을 받지 않은 채로 둘 수 있습니까?
문서를 볼 때 공격이 감지될 때 사용되는 자체 규칙을 만드는 것 외에는 이를 달성하는 방법을 모릅니다.
발췌
IPTABLES_AUTO_RULENUM
psad가 INPUT, OUTPUT 및 FORWARD 체인에 자동으로 생성된 iptables 차단 규칙을 추가하는 데 사용할 특정 규칙 번호를 정의합니다(이 키워드를 사용하려면 ENABLE_AUTO_IDS를 "Y"로 설정해야 함). 기본값은 "1"입니다.