psad 入侵检测系统技术文档

1. 安装指南

1.1 系统要求

psad 是一个轻量级的系统守护进程，设计用于与 Linux 的 iptables、ip6tables 和 firewalld 防火墙代码配合工作，检测可疑流量，如端口扫描、后门、僵尸网络命令和控制通信等。psad 支持 IPv4 和 IPv6，并且需要一些 Perl 模块来正常运行。

1.2 安装步骤

1.2.1 使用包管理器安装

在 Debian 或 Ubuntu 系统上，可以通过以下命令安装 psad：

apt-get install psad

1.2.2 手动安装

如果 psad 不在包管理器的仓库中，可以通过 install.pl 脚本进行安装。首先，下载 psad 的源代码，然后运行以下命令：

perl install.pl

install.pl 脚本会自动安装所需的 Perl 模块，这些模块包括：

• Bit::Vector
• Date::Calc
• IPTables::ChainMgr
• IPTables::Parse
• NetAddr::IP
• Storable
• Unix::Syslog

1.3 防火墙配置

为了使 psad 正常工作，iptables 必须配置为记录数据包。通常可以通过在 INPUT 和 FORWARD 链中添加以下规则来实现：

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG

这些规则应添加在 INPUT 和 FORWARD 链的末尾，确保在所有合法流量规则之后，但在丢弃规则之前。

2. 项目使用说明

2.1 启动与停止

安装完成后，psad 会自动启动。可以使用以下命令手动启动、停止或重启 psad：

service psad start
service psad stop
service psad restart

2.2 配置文件

psad 的主要配置文件位于 /etc/psad/psad.conf。可以通过编辑此文件来调整 psad 的行为，例如设置警报阈值、邮件通知等。

2.3 日志文件

psad 默认从 /var/log/messages 文件中读取新的 iptables 日志消息，并可以选择将这些消息写入 /var/log/psad/fwdata 文件。可以通过配置文件调整日志文件的位置。

3. 项目API使用文档

3.1 日志分析

psad 通过分析 iptables 日志消息来检测可疑流量。它支持多种扫描类型的检测，包括 TCP SYN、FIN、NULL 和 XMAS 扫描，以及 UDP 扫描。

3.2 警报机制

psad 可以通过电子邮件发送警报，警报内容包括扫描特征、反向 DNS 和 Whois 信息、Snort 规则匹配、远程操作系统猜测信息等。可以通过配置文件调整警报的详细程度和发送频率。

3.3 自动阻止

psad 可以根据扫描的危险级别自动阻止扫描的 IP 地址。此功能默认关闭，可以通过配置文件启用。

4. 项目安装方式

4.1 包管理器安装

如前所述，可以通过包管理器（如 apt-get）安装 psad。

4.2 手动安装

通过下载源代码并运行 install.pl 脚本进行手动安装。

4.3 升级

如果 psad 已经安装，可以通过运行 install.pl 脚本进行升级。

---

通过以上文档，您应该能够顺利安装、配置和使用 psad 入侵检测系统。如有任何问题，请参考项目的 GitHub 页面或联系开发者。