Port Scan Attack Detector

Port Scan Attack Detector (psad) - это набор из трех небольших системных демонов, написанных на Perl и C, которые предназначены для взаимодействия со средствами межсетевой защиты программы iptables в Linux-системах для обнаружения сканирования портов и другого подозрительного трафика. Программа отличается набором хорошо настраиваемых порогов безопасности (с чувствительными настройками по умолчанию), подробными предупреждениями, включающими источник, назначение, номера просканированных портов, время начала и конца, флаги TCP и соответствующие параметры nmap, почтовыми предупреждениями, отчетами Dshield и автоматической блокировкой запрещенных IP-адресов с помощью динамической настройки политики iptables. Кроме того, программа содержит множество подписей TCP, UDP и ICMP, включенных в программу Snort для обнаружения очень подозрительного сканирования различными backdoor-программами (например, EvilFTP, GirlFriend, SubSeven), средств DDoS-атак (mstream, shaft) и усложненного сканирования портов (syn, fin, Xmas), которое осуществляется с помощью nmap. Программа также учитывает TTL пакета, IP id, размеры окон TOS и TCP для пассивной идентификации удаленной операционной системы, с которой осуществляется сканирование.

Домашняя страница