使用 psad 进行主动响应
1. 阻止 Witty 蠕虫的方法
要真正阻止 Witty 蠕虫,唯一的方法是使用一个内联设备,该设备能够对是否转发数据包的内容做出精细的决策。以内联模式运行的 Snort 和运行转换后的 Snort 规则的 iptables 都可以提供此功能。由于在单个数据包攻击转发到目标系统后再做出响应是无用的,因此这类攻击凸显了主动响应和入侵预防机制之间的差异。
2. 主动响应的权衡
通过生成破坏会话的流量或修改防火墙策略来自动响应攻击并非没有后果。攻击者可能很快会注意到与目标系统的 TCP 会话被终止,或者与目标的所有连接都被切断。最合理的结论是,某种主动响应机制已被部署来保护目标。如果主动响应系统被配置为对相对无害的流量(如端口扫描或端口扫描)做出响应,攻击者就很容易滥用该响应机制并将其用于攻击目标。这也适用于那些不需要与目标进行双向通信(从而可以进行欺骗攻击)的恶意流量,Witty 蠕虫就是一个很好的例子。
3. 攻击类型
许多提供主动响应功能的软件(包括 psad)都提供了将特定主机或网络列入白名单的功能,这样即使攻击者从这些网络伪造端口扫描或其他恶意流量,响应机制也不会采取任何行动。然而,此类软件的管理员不太可能将每个重要系统都列入此列表,因此攻击者仅受个人创造力的限制。TCP 空闲扫描甚至需要伪造扫描才能正常工作。
更好的攻击响应策略是使响应机制仅对需要攻击者与目标之间进行双向通信的攻击做出响应。通常,这意味着攻击者已经建立了 TCP 连接并使用它来发动攻击(例如针对 Web 应用程序的 SQL 注入攻击,或试图通过监听 TCP 端口的应用程序中的缓冲区溢出漏洞迫使目标执行 she
)
