31、可视化 iptables 日志与攻击欺骗分析

可视化 iptables 日志与攻击欺骗分析

在网络安全领域，对 iptables 日志进行可视化分析以及了解攻击欺骗的原理和防范措施至关重要。下面将详细介绍如何通过可视化工具分析 iptables 日志，以及如何利用脚本进行攻击欺骗和相应的防范方法。

1. iptables 日志可视化分析

1.1 端口扫描与端口扫描器检测

端口扫描通常是蠕虫或攻击者寻找系统漏洞的手段。通过 psad 和 Gnuplot 工具，我们可以对端口扫描行为进行可视化分析。
-外部 IP 与本地目标地址关系图：

# psad -m iptables.data --gnuplot --CSV-fields "src:!not11.11.0.0/16 dst:11.11.0.0/16,!countuniq" --gnuplot-graph points --gnuplot-xrange 0:26000 --gnuplot-yrange 0:27 --gnuplot-file-prefix fig14-5 $ gnuplot fig14-5.gnu

此命令生成的图展示了外部 IP 地址与它们发送数据包的唯一本地地址数量之间的关系。大部分外部地址只向一两个目标地址发送数据包，但部分范围（如 18000 - 26000）的外部地址会连接多达 24 个蜜网网络地址。

• 外部源地址、目标端口与数据包计数的三维图：