Added ChangeLog.git file
[psad.git] / ChangeLog
1 psad-2.2 (02/20/2012):
2     - Added support for detection of malicious traffic that is delivered via
3       IPv6.  This is accomplished by parsing ip6tables log messages - these are
4       in a slightly different format than the iptables log messages.  Here is
5       an example:
6
7         Mar 17 13:39:13 linux kernel: [956932.483644] DROP IN=eth0 OUT=
8         MAC=00:13:46:3a:41:36:00:1b:b9:76:9c:e4:86:dd
9         SRC=2001:0db8:0000:f101:0000:0000:0000:0002
10         DST=2001:0db8:0000:f101:0000:0000:0000:0001 LEN=80 TC=0 HOPLIMIT=64
11         FLOWLBL=0 PROTO=TCP SPT=50326 DPT=993 WINDOW=5760 RES=0x00 SYN URGP=0
12
13       Detection of malicious IPv6 traffic can be disabled via a new
14       ENABLE_IPV6_DETECTION config variable.
15
16     - For ICMP6 traffic, added protocol validation for ICMP6 type/code
17       combinations.
18     - Replaced Net::IPv4Addr with the excellent NetAddr::IP module which has
19       comprehensive support for IPv6 address network parsing and comparisons.
20     - Added a new test suite in the test/ directory to validate psad run time
21       operations (scan detection, signature matching, and more).  To support
22       this, a new '--install-test-dir' option was added to the install.pl
23       script.  Once this is executed, the test suite can be run via the
24       test-psad.pl script in the test/ directory.
25     - Added a new MAX_SCAN_IP_PAIRS config variable to allow psad memory usage
26       to be constrained by restricting the number of unique IP pairs that psad
27       This is useful for when psad is deployed on systems with little memory,
28       and is best utilized in conjunction with disabling ENABLE_PERSISTENCE so
29       that old scans will also be deleted (and thereby making room for tracking
30       new scans under the MAX_SCAN_IP_PAIRS threshold).
31     - Bug fix for 'qw(...) usage as parenthesis' warnings for perl > 5.14
32     - Bug fix that caused psad to emit the following:
33
34         Undefined subroutine &main::LOG_DAEMON called at ./psad line 10071.
35
36       This problem was noticed by Robert and reported on the psad mailing list.
37     - Added --install-root to the install.pl script so that psad can be
38       installed in a directory specified by the user as opposed to the normal
39       system default.  This was a suggestion from @pyllyukko.
40     - Added PERL5LIB env variable usage to the install.pl script so that module
41       installs can reference the current install path.
42     - Updated to the latest p0f signatures from OpenBSD.
43     - Altered the 'ET MALWARE Bundleware Spyware CHM Download' Snort rule in
44       the bundled Emerging Threats rule set to make sure that ClamAV does not
45       flag on the pattern "mhtml\:file\://" which is associated with the
46       following ClamAV signature:
47
48         $ grep Exploit.HTML.MHTRedir-8 main.ndb
49         Exploit.HTML.MHTRedir-8:3:*:6d68746d6c3a66696c653a2f2f{1-20}2168
50
51       An analysis of this issue was posted here:
52
53         http://www.cipherdyne.org/blog/2010/08/22.html
54
55     - Bug fix for ICMP packet handling where psad would incorrectly interpret
56       ICMP port unreachable messages as UDP packets because the UDP specifics
57       are included in the iptables log message.  This bug was first reported by
58       Lukas Baxa to the Debian maintainers and was followed up by Franck
59       Joncourt:
60
61         http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=596240
62
63       An example ICMP log message that exposed the bug is included below:
64
65       Sep  8 18:04:26 baxic kernel: [28241.572876] IN_DROP IN=wlan0
66       OUT= MAC=00:1a:9f:91:df:ae:00:21:27:e8:0a:a0:08:00
67       SRC=10.0.0.138 DST=192.168.1.103 LEN=96 TOS=0x00 PREC=0xC0 TTL=254
68       ID=63642 PROTO=ICMP TYPE=3 CODE=3
69       [SRC=192.168.1.103 DST=10.0.0.138 LEN=68 TOS=0x00 PREC=0x00 TTL=0
70       ID=22458 PROTO=UDP SPT=35080 DPT=33434 LEN=48 ]
71
72     - Updated the bundled whois client to 5.0.6.
73     - Removed the ExtUtils::MakeMaker RPM build requirement from the psad.spec
74       file.  This is a compromise which will allow the psad RPM to be built
75       even if RPM dosen't or can't see that ExtUtils::MakeMaker is installed -
76       most likely it will build anyway.  If it doesn't, there are bigger
77       problems since psad is written in perl.  If you want to build the psad
78       RPM with a .spec file that requires ExtUtils::MakeMaker, then use the
79       "psad-require-makemaker.spec" file that is bundled in the psad sources.
80     - Switched to git from svn - comprehensive psad development history can
81       can acquired through gitweb:
82
83         http://www.cipherdyne.org/cgi-bin/gitweb.cgi?p=psad.git;a=summary
84
85       or through git itself:
86
87         $ git clone http://www.cipherdyne.org/git/psad psad.git
88
89     - Updated to IPTables::ChainMgr 1.2 and IPTables::Parse 1.1 in the deps/
90       directory.
91     - In the /var/log/psad/<ip>/ directories, whois information is stored in
92       the <IP>_whois files, the IP in the filename was included as a
93       destination IP under the psad -S output.  This has been fixed.  Here is
94       an example of the invalid output:
95
96         [+] IP Status Detail:
97             SRC:  123.123.123.221, DL: 2, Dsts: 2, Pkts: 1, Unique sigs: 1,
98                     Email alerts: 1
99             DST: 1.2.3.4, Local IP
100                 Scanned ports: TCP 1433, Pkts: 1, Chain: INPUT, Intf: eth0
101                 Signature match: "MISC Microsoft SQL Server communication attempt"
102                     TCP, Chain: INPUT, Count: 1, DP: 1433, SYN, Sid: 100205
103             DST: 123.123.123.221
104
105     - By default the install.pl script records user answers to installation
106       queries so they can be used to install psad in an automated fashion later.
107       A new option --Use-answers makes this possible.  This feature was requests
108       by @pyllyukko.
109
110 psad-2.1.7 (07/14/2010):
111     - (Dan A. Dickey) Added the ability to use the "ip" command from the
112       iproute2 tools to acquire IP addresses from local interfaces.  Dan's
113       description is as follows: "...A main reason for doing this is in the
114       case of multi-homed hosts. ifconfig sets these up on an interface using
115       aliases, iproute2 does not.  So, for a multi-homed interface (eth0 with
116       multiple addresses), ifconfig -a only shows the first one configured and
117       not the rest.  ip addr shows all of the configured addresses...".
118     - Added ENABLE_WHOIS_FORCE_ASCII to replace any non-ascii characters in
119       whois data (which is common with whois lookups against Chinese IP
120       addresses for example) with the string "NA".  This option is disabled by
121       default, but can be useful if errors like the following are seen upon
122       receiving an email alert from psad:
123
124         <<< 554 5.6.1 Eight bit data not allowed
125         554 5.0.0 Service unavailable
126
127     - Updated psad to issue whois lookups against IP addresses that are not
128       directly connected to the local system.  This is useful for example when
129       an internal system is scanning an external destination system, and the
130       scan is logged in the FORWARD chain.  Issuing whois lookups on the
131       internal system (frequently on RFC 1918 address space) is not usually
132       very useful, but issuing the whois lookup against the destination system
133       gives much more interesting data.  This feature can be disabled with the
134       new ENABLE_WHOIS_FORCE_SRC_IP variable.
135
136 psad-2.1.6 (07/09/2010):
137     - Bug fix for Decode_Month() calls used to handle date formats and ensure
138       proper month handling for iptables log message time stamps.  This bug
139       caused psad to die in some cases, and the specific error on the console
140       in --debug mode was:
141         Date::Calc::Decode_Month(): argument is not a string at \
142         /usr/sbin/psad line 1103, <FWDATA> line 2.
143     - (Franck Joncourt) Added --Override-config feature so that alternate
144       configuration files can be specified on the command line to override
145       configuration variables in the standard /etc/psad/psad.conf file.
146     - (Franck Joncourt) Submitted patches to fix stderr redirection for the
147       usage of the mail binary, and to close stdout, stdin, and stderr when
148       running psad as a daemon.
149
150 psad-2.1.5 (02/20/2009):
151     - (Miroslav Grepl) Contributed policy files to make psad compatible with
152       SELinux.  The files are located in a new "selinux" directory in the
153       psad sources.
154     - Bug fix for local server ports not reported correctly under netstat
155       parsing (Franck Joncourt).
156     - (Steve B) Submitted patch to fix a bug in the start() function in the
157       Gentoo init script which caused psad to not be started and the error
158       "* ERROR: psad failed to start" to be generated.
159     - Bug fix when ENABLE_SYSLOG_FILE is enabled to run a preliminary regex
160       match on each syslog message because kmsgsd is not running and therefore
161       has not gone through the kmsgsd tests for a properly structured iptables
162       message.
163     - Updated IPTables::Parse to 0.7.
164     - Updated IPTables::ChainMgr to 0.9.
165
166 psad-2.1.4 (08/21/2008):
167     - Restructured perl module paths to make it easy to introduce a "nodeps"
168       distribution of psad that does not contain any perl modules.  This
169       allows better integration with systems that already have all necessary
170       modules installed (including the IPTables::ChainMgr and IPTables::Parse
171       modules).  The main driver for this work is to make all cipherdyne.org
172       projects easily integrated with distributions based on Debian, and
173       Franck Joncourt has been instrumental in making this process a reality.
174       All perl modules are now placed within the "deps" directory, and the
175       install.pl script checks to see if this directory exists - a separate
176       psad-<ver>-nodeps tarball will be distributed without this directory.
177       The Debian package for psad can then reference the -nodeps tarball, and
178       a new "psad-nodeps.spec" file has been added to build an RPM from the
179       psad sources that does not install any perl modules.
180     - Updated to use the normal system whois client if the /usr/bin/whois_psad
181       path does not exist, and moved the whois/ directory into the deps/
182       directory.  This removes /usr/bin/whois_psad as a strict dependency.
183     - Bugfix to honor the IPT_SYSLOG_FILE variable in --Analyze-msgs mode.
184     - Switched from the deprecated bleeding-all.rules file to the new
185       emerging-all.rules available from Matt Jonkman at Emerging Threats
186       (http://www.emergingthreats.net).
187
188 psad-2.1.3 (06/07/2008):
189     - Updated to enable IPT_SYSLOG_FILE by default.  This is a relatively
190       important change since it changes the method of acquiring iptables log
191       data from reading it out of named pipe from syslog to just parsing the
192       /var/log/messages file.  This implies that kmsgsd does not have to run,
193       and that it is much easier to ensure that psad actually receives
194       iptables log messages.  The most complex and error prone aspect of psad
195       in the past has been the reconfiguration of the various syslog daemons
196       out there (which have very different configuration syntax and features)
197       to write kern.info messages to the /var/lib/psad/psadfifo named pipe.
198     - Updated to version 4.7.26 of the whois client from Marco d'Itri.  This
199       allows whois records for some addresses (such as 116.125.35.98, which
200       which was scanning a system running psad but could not be identified
201       under the older whois client) to be properly queried.
202     - Updated to Bit::Vector 6.4 from 6.3.
203     - Updated to Date::Calc 5.4 from 5.3.
204     - Updated to Storable 2.18 from 2.16.
205
206 psad-2.1.2 (04/03/2008):
207     - Bugfix to not include kernel timestamps in iptables log prefixes that
208       contain spaces like "[   65.026008] DROP" (bug reported by Erik Heidt).
209     - Bugfix to skip non-resolved IP addresses (bug reported by Albert Whale)
210     - Better p0f output in --debug mode to display when a passive OS
211       fingerprint cannot be calculated based on iptables log messages that
212       include tcp options (i.e., with --log-tcp-options when building a LOG
213       rule on the iptables command line).
214
215 psad-2.1.1 (01/25/2008):
216     - Added a new feature whereby psad can acquire iptables log data just by
217       parsing an existing file (/var/log/messages by default) that is written
218       to by syslog.  By default, psad acquires iptables log data from the
219       /var/log/psad/fwdata file which is written to by kmsgsd, but on some
220       systems, having syslog communicate log data to kmsgsd can be problematic
221       since syslog configs and external factors such as Apparmor and SELinux
222       can play a role here.  This new feature is controled by two new
223       configuration variables "ENABLE_SYSLOG_FILE" (to enable/disable the
224       feature) and "IPT_SYSLOG_FILE" to specifiy the path to the file to
225       parse.
226     - Better installation support for various Linux distributions including
227       Fedora 8 and Ubuntu.  The current runlevel is now acquired via the
228       "runlevel" command instead of attempting to read /etc/inittab (which
229       does not even exist on Ubuntu 7.10), and there are new command line
230       arguments --init-dir, --init-name, and --runlevel to allow the init
231       directory, init script name, and the runlevel to be manually specified
232       on the install.pl command line.
233     - Updated psad to automatically handle situations where the either the
234       /var/log/psad/fwdata file or the /var/log/messages file (whichever
235       syslog is writing iptables log messages to) gets rotated.  The
236       filehandle is closed and reopened if the file shrinks or if the inode
237       changes.  This strategy is borrowed from how the fwknop project deals
238       with the filesystem packet capture file.
239     - Minor bugfix to generate syslog message when restarting a psad process.
240     - Updated install.pl to set the LC_ALL environmental variable to "C"
241       This should address some issues with installing psad on non-English
242       locale systems.
243     - Updated install.pl to be compatible with the rsyslog daemon, which is
244       commonly installed on Fedora 8 systems.
245
246 psad-2.1 (10/19/2007):
247     - Changed EMAIL_LIMIT model to apply to scanning source addresses only
248       instead of also factoring in the destination address. The original
249       src/dst email limit behavior can be restored by setting a new variable
250       "ENABLE_EMAIL_LIMIT_PER_DST" to "Y".
251     - Added the patches/iptables-1.3.8_LOG_prefix_space.patch file which can
252       be applied to the iptables-1.3.8 code to enforce a trailing space
253       character before any log prefix when a LOG rule is added. This ensures
254       that the user cannot break the iptables syslog format just by forgetting
255       to include a space at the end of a logging prefix.
256     - Bugfix to ensure that parsing TCP options does not descend into an
257       infinite loop in some some circumstances with obscure or maliciously
258       constructed options.  Also added syslog reporting for broken options
259       lengths of zero or one byte (the minimum option length is two bytes to
260       accomodate the TLV encoding).
261     - Bugfix to enforce the usage of --CSV-fields in --gnuplot mode.
262     - Implemented --get-next-rule-id so that it is easy to assign a new rule
263       ID to a new signature in the /etc/psad/signatures file.
264     - Updated to just call die() if GetOpt fails; this allows erroneous usage
265       of the command line to display informative error messages more clearly.
266
267 psad-2.0.8 (07/27/2007):
268     - Added --gnuplot mode so that psad can output data that is suitable for
269       plotting with gnuplot. All output produced in this mode is integer data
270       with the exception of date stamps that are derived from iptables syslog
271       messages.
272     - Added the ability to negate match conditions on fields specified with
273       the --CSV-fields argument by prepending the string "not" (which plays
274       more nicely with shells like bash than a character like "!"). For
275       example, to graph all packet data in --gnuplot or --CSV modes that
276       originates from the 11.11.0.0/16 subnet and is not destined for port
277       80, the following argument does the trick:
278
279             --CSV-fields "src:11.11.0.0/16 dp:not80"
280
281     - In --gnuplot mode, added the ability to generate the count for a CSV
282       field instead of the field itself. Supported modes are an absolute
283       count (<field>:count) , and a unique count (<field>:uniqcount). This
284       is useful to plot graphs of source IP vs. the number unique ports for
285       example.  Also added the ability to count iptables log fields over
286       various time scales (minutes, hours, and days) with the following
287       switches: <field>:countday, <field>:counthour, <field>:countmin.
288     - In --gnuplot mode, added the ability to specify the view coordinates
289       for 3D graph viewing with --gnuplot-view.
290     - Added the Storable-2.16 module along with the --use-store-file argument
291       so that in --gnuplot mode the Gnuplot data can be stored on disk and
292       retrieve quickly.  This eliminates a large performance bottleneck when
293       Gnuplot configuration directives are tweaked while the same graph is
294       generated multiple times.
295     - Added --gnuplot-template so that a template file can be used for all
296       Gnuplot directives (usually psad creates the .gnu file based on the
297       --gnuplot command line arguments).
298     - Added --gnuplot-grayscale to generate graphs without the default red
299       color for graph points.
300     - Bugfix for regular expressions not being imported correctly from within
301       the --CSV-fields argument.
302     - Added --analysis-fields so the iptables log messages that are parsed in
303       -A mode can be restricted to those that meet certain criteria. For
304       example, to restrict the analyze mode to process packets with a source
305       address of 192.168.10.1, use this command:
306
307             psad -A --analysis-fields "src:192.168.10.1"
308
309     - Added --plot-separator to allow the format of plot data (either in
310       --gnuplot or --CSV modes) to be influenced by the user.
311     - Added the ability to configure the syslog facility and priority via the
312       psad.conf file (see the SYSLOG_FACILITY and SYSLOG_PRIORITY variables).
313     - Updated psad.spec file to respect the %_initrddir RPM macro.
314
315 psad-2.0.7 (05/28/2007):
316     - Bugfix to define a custom 'source' definition for syslog-ng daemons -
317       this fixes a problem on SuSE systems where the existing syslog-ng
318       reconfig caused the daemon to not start.
319     - Bugfix to allow specific signatures to be ignored by setting SID values
320       of zero in /etc/psad/snort_rule_dl.
321     - Added -X command line argument to allow the user to delete any psad
322       chains (in auto-response mode).  This is a synonym for the iptables -X
323       command line argument.
324
325 psad-2.0.6 (03/24/2007):
326     - Better integration with fwsnort; psad signature match syslog messages
327       and email alerts now include the fwsnort rule number (for fwsnort
328       version 0.9.0 and greater) and chain information.
329     - Added the Snort bleeding-all.rules signature file from the Bleeding
330       Snort project (see http://www.bleedingsnort.com).
331     - Bugfix to allow interfaces that have IP aliases.
332     - Added uname, ifconfig, and syslog process information to --Dump-conf
333       output (this can help diagnose various runtime issues).
334     - Changed the --Lib-dir command line argument to --lib-dir, and added
335       --List (similar to iptables) to list the psad auto-blocking chain rules.
336     - Added psad.SlackBuild script contributed by pyllyukko for building psad
337       on Slackware systems.  It uses the Cipherdyne cd_rpmbuilder script to
338       first build and RPM, and then uses it to build a Slackware package.
339
340 psad-2.0.5 (03/01/2007):
341     - Consolidated all configuration variables into the /etc/psad/psad.conf
342       file. The kmsgsd.conf, psadwatchd.conf, alert.conf, and fw_search.conf
343       files were all removed since the daemons just reference the psad.conf
344       now.  Updated install.pl to archive and remove these files if they
345       exist from a previous psad installation.
346     - Bugfix to account for iptables -nL output where the protocol may be
347       reported as "0" instead of "all".
348     - Added a function safe_malloc() for kmsgsd.c and psadwatchd.c to ensure
349       that a single API is used to perform a NULL check on heap-allocated
350       memory.
351     - Bugfix to ensure that the psad_ip_len signature matching keyword is
352       checked withing match_snort_ip_keywords() so that it applies to all
353       protocol packets.  This fixes a bug that would cause the "PSAD-CUSTOM
354       Nachi worm reconnaisannce" signature to fire on normal ICMP packet log
355       messages.
356     - Added version and Subversion file revision numbers to die and warn
357       messages that are written to /var/log/psad/errs/.  This helps when
358       trying to track these messages down to a specific file revisions when
359       psad is being upgraded on the local system.
360     - Added version and Subversion file revision numbers to --Dump-conf
361       output.
362     - Minor update to allow --fw-dump to be used on the command line without
363       also having to use the -D argument.
364     - Updated the default_log() function in the IPTables::Parse module to
365       handle iptables policies that were dumped with -v, such as when
366       --Dump-conf is used.
367
368 psad-2.0.4 (01/27/2007):
369     - Added Snort rule matches to syslog alerts.  Multiple matches can be
370       controlled with new configuration variables in psad.conf:
371       ENABLE_SIG_MSG_SYSLOG, SIG_MSG_SYSLOG_THRESHOLD, and
372       SIG_SID_SYSLOG_THRESHOLD.
373     - Bugfix to include scanned UDP port ranges in syslog alerts.
374     - Bugfix to parse SEQ and ACK iptables log message fields (requires
375       --log-tcp-sequence on the iptables command line).  This allows the ipEye
376       signature to work.
377     - Added --debug-sid to allow a specific Snort rule to be debugged while
378       psad runs it through its detection engine.  A consequence of this is
379       that the -d command line argument must be spelled out, i.e. "psad
380       --debug".
381     - Bugfix to allow logging prefixes to omit trailing spaces.  This is a bug
382       in the iptables logging format to allow this in the first place, but
383       before this gets fixed psad needs to compensate.
384     - Bugfix for syslog-ng init script path in install.pl.
385     - Bugfix to include a "source" definition for /proc/kmsg if not already
386       defined for syslog-ng daemons.
387     - Minor memory handling bugfixes discovered by valgrind the excellent
388       Valgrind project: http://www.valgrind.org
389
390 psad-2.0.3 (12/31/2006):
391     - Removed Psad.pm perl module and kmsgsd.pl and psadwatchd.pl scripts.
392       This is a major change that allows psad to be more flexible and
393       completely derive its config from the psad.conf file and from the
394       command line.  In the previous scheme, psad imported its config with a
395       function within Psad.pm, and this required that psad imported the Psad
396       perl module before reading its config. A consequence was that the
397       PSAD_LIBS_DIR var could not be specified usefully within the config
398       file.
399     - Added the ability to recursively resolve embedded variables from *.conf
400       files (with a limit of 20 resolution attempts).
401     - Added IGNORE_KERNEL_TIMESTAMP so that Linux distros that add a timestamp
402       to all kernel messages (Ubuntu for example) can be ignored.
403     - Consolidated code to import data out of /var/log/psad/<ip> directories
404       with code to display status and analysis output (-S and -A).
405       Essentially the %scan hash is built by the filesystem data import
406       routine and the remainder of the code references this single data
407       structure.
408
409 psad-2.0.2 (12/23/2006):
410     - Added the ability to download the latest signatures from cipherdyne.org
411       in install.pl.
412     - Added the cd_rpmbuilder script to make it easy to build RPM's out of
413       CipherDyne projects by automatically downloading the project .tar.gz and
414       .spec files from http://www.cipherdyne.org/.
415     - Added print statements for @INC array in debug mode so that the user can
416       see the additional /usr/lib/psad/* directories added by
417       import_psad_perl_modules().
418     - Changed Unix::Syslog import strategy from "use" to "require" since the
419       path is not known until import_psad_perl_modules() gets a chance to
420       run (psad ran fine without this, but it is more consistent this way).
421     - Bugfix for not properly including elements of the
422       @connected_subnets_cidr array.
423     - IP subnet bugfix to make sure to get the entire subnet in signature
424       import routine if it is not in CIDR format
425     - Bugfix to not print an IP addresses in the "top attackers" section that
426       do not have at least one packet or signature match (for any reason).
427     - Bugfix to not print more than TOP_IP_LOG_THRESHOLD IP addresses in thet
428       top attackers section.
429     - Updated install.pl to reference configuration paths directly from
430       psad.conf instead of defining them separately.  This should fix Debian
431       bug #403566.
432     - Added -c argument to install.pl so that the path to a psad.conf file
433       can be altered from the command line.
434     - Bugfix to not import any IP from the top_attackers file from a previous
435       psad run that does not have a /var/log/psad/<ip> directory.
436     - Added MIN_DANGER_LEVEL to allow all alerts and /var/log/psad/<ip>
437       tracking to be disabled unless an attacker reaches at least this
438       danger level.
439     - Added text in install.pl to mention ifconfig parsing for HOME_NET
440       derivation.
441
442 psad-2.0.1 (12/12/2006):
443     - Added Nachi worm reconnaisannce icmp signature
444     - Added the psad_ip_len signature keyword to allow the length field in the
445       IP header to be explicitly tested.
446     - Bugfix for inappropriately removing some directories in @INC when
447       splicing in psad perl module paths.
448     - Switched nf2csv installation path in install.pl to /usr/bin/.
449
450 psad-2.0 (12/10/2006):
451     - Completely refactored the Snort rule matching support in psad.  Added
452       many header field tests with full range matching support.  These tests
453       include the following keywords from Snort: ttl, id, seq, ack, window,
454       icmp_id, icmp_seq, itype, icode, ip_proto, ipopts, and sameip.
455     - Refactored all signatures in /etc/psad/signatures to conform to new
456       signature matching support in this release.  There are now about 190
457       signatures that psad can run directly against iptables logging
458       messages (i.e. without the help of fwsnort).
459     - Added the ability to download the latest signatures file from
460       http://www.cipherdyne.org/psad/signatures with the --sig-update command
461       line argument to psad.
462     - Added "MISC Windows popup spam" signature.  This allows psad to detect
463       when attempts are made to send spam via the Windows Messenger service.
464     - Completely reworked --Status and --Analyze output, signature matches
465       are included now, along with a listing of top sig matches, top scanned
466       ports, and top attackers.  Also, scan data is not written to
467       /var/log/psad/ipt_analysis/ before display analysis output in -A mode;
468       analysis results are displayed much faster this way.
469     - Added ipEye, Subversion, Kuang2, Microsoft SQL, Radmin, and Ghostsurf
470       signatures.
471     - Added 'data in TCP SYN packet' signature.
472     - Added --CSV mode so that psad can be used to generate comma-separated
473       value output suitable for the AfterGlow project (see
474       http://afterglow.sourceforge.net/index.html) for graphical
475       representations of iptables logs and associated scan data.  Also added
476       nf2csv so that normal users can take advantage of this feature.
477     - Added emulation of the Snort "dsize" test through the use of the IP
478       length field for TCP/ICMP signatures, and the UDP length field for UDP
479       signatures.  For SYN packets, TCP options are included so psad
480       automatically adds 44 bytes (the maximum length for TCP options) so the
481       dsize test corresponds to the estimated payload length.
482     - Added the psad_id, psad_dsize, and psad_derived_sids fields for the new
483       Snort rule support.
484     - Added the ability to decode IP options, which are included within Snort
485       rules as the "ipopts" keyword.  This functionality requires that the
486       --log-ip-options command line argument is given to iptables when
487       building a rule that uses the LOG target.
488     - Added Snort rules (sids 475, 500, 501, and 502) that detect IP options
489       usage such as source routing and the traceroute IP option with the new
490       IP options decoder.
491     - Enhanced psad email alert output to include sid values that have been
492       derived from existing Snort rules.
493     - Added the ability to expand embedded variables within the psad
494       configuration files.  For example, the path to the FW_DATA_FILE is
495       defined in psad.conf as "$PSAD_DIR/fwdata", which resolves to
496       /var/log/psad/fwdata when the PSAD_DIR variable is expanded.  This
497       feature allows a consistent set of file paths to easily be defined
498       instead of using the full path for each file path.
499     - Better validation of IPT_AUTO_CHAIN{n} variables so that the from_chain
500       cannot be identical to the to_chain.
501     - Added dump_config() to psadwatchd.c and kmsgsd.c when compiled with
502       debugging support.
503     - Added ENABLE_INTF_LOCAL_NETS to have psad automatically treat all IP
504       addresses that are part of the local system as belonging to the HOME_NET
505       for signature matching.
506     - Added ENABLE_SNORT_SIG_STRICT to have psad exit if there are any
507       problems found with Snort rules in the /etc/psad/signatures file.  If
508       this feature is disabled (this is the default), then psad generates
509       syslog warnings for improperly formatted signatures).
510     - Update to print the number of IP addresses at each danger level in -A
511       analysis mode.  This is useful to get a sense for how long the disk IO
512       might take to write out all of the /var/log/psad/ipt_analysis/<IP>
513       directories.
514     - Added code to restart kmsgsd at psad start up if a previous kmsgsd
515       process is still running and TRUNCATE_FWDATA is set to 'Y' (this is the
516       default).  This probably isn't strictly necessary because kmsgsd is
517       capable of writing to the fwdata file even if another process truncates
518       it.
519     - Added code to recreate the AUTO_IPT_SOCK (/var/run/psad/auto_ipt.sock)
520       file if some other process happens to delete it out of /var/run/psad/
521     - Bugfix to allow backwards compatibility with old NOT_USED value
522       for the HOME_NET variable.
523     - Bugfix to cleanup any lost blocking rules from the running psad
524       timeouts (a separate process might have deleted rules from the psad
525       chains).
526     - Bugfix to allow iptables log messages to include the PHYSDEV (i.e.
527       PHYSIN and PHYSOUT) interfaces.
528     - Updated to read architecture-dependent perl module installation
529       directory out of /usr/lib/psad (e.g. "/usr/lib/psad/x86_64-linux")
530       before importing psad perl modules such as IPTables::Parse, etc. These
531       modules are now imported via "require" after the appropriate
532       directories have been added to @INC. This allows the RPM files to be
533       built on one system that builds @INC differently than the system where
534       psad is actually installed since psad can now compensate for this.
535     - Added new code to populate the <dst>_signature file in each of the
536       /var/log/psad/<ip> directories with verbose information including the
537       signature time, sid, protocol, dst port, and packet count.
538     - Changed --interval to --Interval, and added --interface to allow
539       psad's detection to be limited to a specific IN interface for the INPUT
540       and FORWARD chains (or OUT interface for the OUTPUT chain).
541     - Replaced --status-brief with --status-summary, but changed it so that
542       only the detailed IP status information is omitted.
543     - Removed unnecessary --status-sort-dl option.
544     - Added STATUS_OUTPUT_FILE so the --Status and --Analyze output is
545       captured instead of just being lost if the output was not piped to
546       'less' or another similar program.
547     - Added --restrict-ip so that psad will restrict its attack detection
548       operations to a specific IP or network.
549     - Updated psadwatchd.c to parse EMAIL_ADDRESSES out of
550       /etc/psad/psad.conf to avoid duplication of variables.
551     - Bugfix to clear old @ipt_config array after receiving a HUP signal.
552       This bug broke the auto-blocking mode.
553     - Bugfix for syslog-ng config so that any custom source for /proc/kmsg is
554       used for the psadfifo path.
555
556 psad-1.4.8 (10/15/2006):
557     - Added the ability to get the auto-blocking status for a specific IP
558       address in --status-ip mode.
559     - Bugfix to use the IPT_OUTPUT_FILE and IPT_ERROR_FILE configuration
560       variables.
561     - Bugfix to restore "start" functionality in Gentoo init script.
562     - Added the ability to selectively disable psad auto-blocking emails.
563     - Added more rigorous IP matching regex from Sebastien J. (contributed
564       originally for fwknop).
565
566 psad-1.4.7 (09/10/2006):
567     - Completely re-worked IPTables::ChainMgr to support the return of
568       iptables error messages that are collected via stderr.  This is critical
569       to fixing a bug where psad would sometimes die on an iptables command
570       but no information would be returned to the user.
571     - Added the ability to specify the position for both the jump rule into
572       the psad chains as well as the position for new rules within the psad
573       chains via the -I argument to iptables.  This fixes a bug where the user
574       was given the impression that the IPTABLES_AUTO_RULENUM would accomplish
575       this.
576     - Populated the _debug option in the IPTables::ChainMgr module, and also
577       added a _verbose option so that the specific iptables commands can
578       actually be seen as IPTables::ChainMgr functions are called.
579     - Added code to install.pl to ask the user if a manual restart of syslog
580       is ok upon an unsuccessful test of the syslog reconfiguration.  This
581       fixes a bug where some syslog daemons might not re-import their
582       configurations after receiving a HUP signal.
583     - Bugfix for incorrect config variable name that gated iptables
584       prerequisite checks.
585     - Added code to install.pl to update command paths in psad.conf and
586       psadwatchd.conf if any of the paths are broken (i.e. the local system
587       does not conform to the default paths).  By default this only happens if
588       the user does not want old configs to be merged, but to override this
589       use the new --path-update command line argument to install.pl.
590     - Added the --Skip-mod-install command line argument to install.pl to
591       allow all perl module installs to be skipped.
592     - Added the --force-mod-regex command line argument to install.pl to allow
593       a regex match on perl module names to force matching modules to be
594       installed.
595     - Added the logrotate.psad file (contributed by Albert Whale).
596
597 psad-1.4.6 (06/13/2006):
598     - Added ENABLE_AUTO_IDS_REGEX and AUTO_BLOCK_REGEX to allow filtering on
599       logging prefixes.
600     - Added code to save DShield email to a file.
601     - Added IPTABLES_PREREQ_CHECK to allow the administrator to control the
602       frequency of iptables checks (for auto-block compatibility).
603     - Added IGNORE_LOG_PREFIXES to allow certain log prefixes to be completely
604       ignored by psad.
605     - Added classification.config file from Snort-2.3.3 so that psad can
606       assign danger levels based upon Snort rule class type.  This is useful
607       when also running fwsnort.
608     - Added snort_rule_dl to allow specific psad to assign specific danger
609       level values to particular signatures.  This is useful if you want to
610       do define certain Snort rules as being particularly evil (or not).
611       Running fwsnort is also necessary to take advantage of this feature.
612     - Added reference.config so that psad can include reference information in
613       email alerts that are derived from attacks detected by fwsnort.
614     - Updated to Snort-2.3.3 signatures.
615     - Updated to whois-4.7.13.
616
617 psad-1.4.5 (01/13/2006):
618     - Bugfix in IPTables::Parse to allow the limit target to apply to
619       logging rules.
620     - Made calls to chain creation and jump rule functions for only every
621       100 block calls in auto-IDS mode.
622     - Bugfix to make sure /var/run/psad directory exists at startup since
623       this directory is removed by some Linux distributions at boot time.
624     - Bugfix for zero masks in auto_dl; this allows a network of "0.0.0.0/0"
625       to be specified.
626     - Added ENABLE_FW_LOGGING_CHECK so that the iptables policy check can be
627       enabled/disabled easily via psad.conf.
628     - Enhanced -D output to include "uname -a" and "perl -V" output.
629     - Added ENABLE_RENEW_BLOCK_EMAILS to allow whether renew emails are sent
630       for auto-blocked addresses.
631
632 psad-1.4.4 (11/27/2005):
633     - Added MAC address reporting in psad email alerts.  This feature is
634       enabled via a new config keyword "ENABLE_MAC_ADDR_REPORTING".
635     - Added --fw-rm-block-ip <ip> option to allow IP addresses to be removed
636       from the auto-blocking chains from the command line.
637     - Updated command line firewall arguments to write commands to the
638       AUTO_IPT_SOCK domain socket.
639     - Added the ability to specify ports and port ranges to auto_dl file.
640     - Added --force-mod-install command line argument to installer to force
641       perl modules used by psad to be installed within /usr/lib/psad
642       regardless of whether they already exist in the system perl tree.
643     - Bugfix in the installer to seek() to the end of the fwdata file
644     - Bugfix for psad repeatedly trying to remove the same IP address(es)
645       from the auto-blocking chains.
646       instead of reading the entire thing into memory.
647     - Added the ability to truncate the fwdata file via a new configuration
648       keyword "TRUNCATE_FWDATA" (this is enabled by default).
649     - Bugfix in auto-blocking mode for deleting AUTO_IPT_SOCK when a HUP
650       signal is received.
651     - Bugfix for parsing iptables policies that contain ULOG logging rules
652       instead of the standard LOG target.
653     - Removed the smtpdaemon requirement in the RPM because psad might be
654       configured to not send email alerts.
655
656 psad-1.4.3 (09/27/2005):
657     - Bugfixes for auto-blocking code.  Timeouts should be handled
658       properly, including cached IP addresses in the auto_blocked_iptables
659       file that are referenced upon psad startup.  Communication with the
660       running psad is performed over a Unix domain socket in --fw-block
661       mode.
662     - Bugfix to seek to the end of the fwdata file instead of reading the
663       entire thing into memory and then looking for newly written logging
664       messages.  This drastically reduces the amount of memory required
665       by psad.
666     - Updated to only display psad chains if --verbose is set
667     - Updated to automatically flush the psad auto-response iptables chains
668       at start time (subject to a new config keyword "FLUSH_IPT_AT_INIT").
669
670 psad-1.4.2 (07/15/2005):
671     - Dependency bugfixes for mail binary.
672     - Bugfix for various IGNORE_* keywords not being honored.
673     - Bugfix for not timing out blocked IP addresses from a previous run.
674     - Updated to version 0.2 of the IPTables::ChainMgr module.
675     - Updated to not truncate the fwdata file upon psad startup.
676     - Added --fw-dump which produces a sanitized (i.e. no IP addresses)
677       version of the local iptables policy.  Also added --fw-include-ips
678       to (optionally) not sanitize IPs/nets.  Note that the 0.0.0.0 and
679       0.0.0.0/0 IPs/nets are not sanitized since they give no useful
680       information about specific IPs/nets.
681     - Added ulogd data collection mode.
682     - Bugfix for FW_MSG_SEARCH default (at least "DROP" is included now
683       even if FW_SEARCH_ALL is set to "N").
684     - Bugfix for non-network address for subnet specified with --fw-block.
685     - Bugfix for multiple --fw-block IPs/nets.
686     - Added README.SYSLOG (Francois Marier contributed the content).
687     - Made email alert prefixes (such as "[psad-alert]") customizable via
688       psad.conf.
689
690 psad-1.4.1 (03/12/2005):
691     - Updated to Snort-2.3 rules in the snort_rules directory.
692     - Re-worked syslog installation portion of install.pl.  The user will
693       always be prompted to enter the syslog daemon now, and also added
694       the --syslog-conf arg to allow the config file path to be specified
695       on the install.pl command line.
696     - Bugfix in install.pl for using IP address instead of network address
697       of directly connected subnets.
698     - Updated to version 4.6.23 of the whois client.
699     - Bugfix for distinguishing OPT field associated with --log-tcp-options
700       vs. --log-ip-options.
701     - Bugfix for syslog format that may not include the "kernel:" tag.
702     - Applied patch to only install perl modules that are not already
703       installed (Blair Zajac).
704     - Bugfix for the psad version number that is sent in DShield alerts.
705     - Updated Psad module directory structure to be consistent with current
706       versions of perl (5.8.x).
707     - Added IPTables::ChainMgr module.
708     - Completely re-worked the iptables auto-blocking code to use
709       IPTables::ChainMgr functions so that auto-generated rules are placed
710       in chains created by psad.
711     - Added IPT_AUTO_CHAIN keyword in psad.conf which is used to define the
712       set of chains to which auto-generated iptables rules are added.
713     - Added --fw-list-auto to display the contents of psad iptables
714       chains.
715     - Added the ability to import an IP into the iptableiptablesocking
716       chains from the command line with --fw-block-ip.  This allows psad to
717       apply its timeout mechanism against such IPs/nets.
718     - Added the ability to ignore packets based on input interface with
719       IGNORE_INTERFACES in psad.conf.
720     - Re-worked auto_dl code, better hash design and searching function.
721     - Removed dependency on sendmail command unless DShield alerting is
722       enabled and a DShield user id is specified.
723     - Added ALERTING_METHODS keyword in the file alert.conf to allow either
724       syslog or email alerts (or both) to be disabled.  Psad and psadwatchd
725       reference this file.
726
727 psad-1.4.0 (11/26/2004):
728     - Added p0f-style passive OS fingerprinting through the use of the OPT
729       field in iptables log messages (which is only logged through the use
730       of the --log-tcp-options command line arg to iptables).
731     - Bugfix for iptables log messages that include tcp sequence numbers
732       (see the iptables --log-tcp-sequence command line argument).
733     - Bugfix for O_RDONLY open flag when kmsgsd receives a HUP signal.
734
735 psad-1.3.4 (10/17/2004):
736     - Bugfix for init script directory on Slackware systems.
737     - Bugfix for null prefix counters.
738     - Added --whois-analysis argument since whois lookups are now disabled
739       by default when running in analysis (-A) mode.
740     - Updated psad_init() to rework setup() and import orderings vs.
741       --fw-analyze and --Benchmark modes.
742     - Added bidirectional iptables auto-blocking support for all chains
743       except for the INPUT and OUTPUT chains.
744     - Better syslog message support when run in auto-blocking mode.
745     - Added iptables auto-block rules section to --Status output.
746     - Added init script for Fedora systems.
747     - Added default_log() function to IPTables::Parse.  This function
748       parses user defined chains in an effort to find default logging
749       rules.
750     - Added EMAIL_LIMIT_STATUS_MSG to control whether or not psad sends a
751       status email when the PSAD_EMAIL_LIMIT threshold has been reached by
752       an IP address.
753     - Added ENABLE_SCAN_ARCHIVE to control whether or not psad archives old
754       scan data within /var/log/psad/scan_archive at start time.
755
756 psad-1.3.3 (09/09/2004):
757     - Fixed __WARN__ and __DIE__ exception handlers so that they
758       reference global message variables.
759     - Fixed auto danger level assignments.  Network auto assignments as
760       well as per-protocol assignments work now.
761     - Added SYSLOG_DAEMON variable to define which syslog daemon is running
762       on the underlying system instead of just guessing.
763     - Added the ability to ignore both ranges and specific ports/protocols
764       with a new variable IGNORE_PORTS in psad.conf.
765     - Bugfix to make sure email addresses are separated by spaces when
766       Psad::sendmail() is called.
767     - Bugfix for ipt_prefix counters not being parsed correct at import
768       time.
769     - Removed exclude_auto_ignore_ip() since this function was made
770       unnecessary by newly rewritten auto-assign code.
771     - Bugfix for Text::Wrap calls in install.pl uninstall() routine.
772     - Bugfix for using --no-fw-search-all even when FW_SEARCH_ALL is
773       set to "Y".
774     - Removed extraneous ".." and "**" chars from syslog messages, and
775       updated to use [+] prefix strings.
776     - Moved init scripts into init-scripts directory within source tree.
777     - Removed dependency on Bit::Vector (psad does not seem to make use
778       of any Date::Calc functions that require it).
779     - Wrapped copy() and move() calls with "or die()" to make them
780       safer in install.pl.
781     - Added check for existing psad process in install.pl.
782     - Updated to a new psad email alert subject format.  Prefixes of
783       "[psad-alert]", "[psad-error]", and "[psad-status]" are used now.
784     - Permissions fixes with umask() setting in /var/log/psad, permissions
785       fixes for files in /etc/psad at install time.
786
787 psad-1.3.2 (06/25/2004):
788     - Removed FW_MSG_SEARCH from psad.conf, and created a new config
789       file "fw_search.conf" that both psad and kmsgsd use to get the
790       FW_MSG_SEARCH definition(s).
791     - Added default mode of parsing all iptables messages instead of
792       just those that contain specific search strings.  A new config
793       variable "FW_SEARCH_ALL" was added to fw_search.conf that
794       controls this mode.
795     - Updated psad and kmsgsd so that multiple firewall search strings
796       can be specified through multiple FW_MSG_SEARCH variables in
797       fw_search.conf.
798     - Added iptables chain and logging-prefix tracking for current
799       scan interval in email alerts.
800     - Added protocol-specific auto-danger level assignments.
801     - Added total scan source and destination IP address counters in
802       --Status output.
803     - Added number of email alerts sent and OS guess in default
804       --Status output.  The output is getting wide now, so there is
805       also a new option --status-brief that will remove the alerts
806       sent and OS guess columns.
807     - Added getopt() command line arg parsing to kmsgsd with two new
808       options "-c" (for config file path) and "-k" (for fw_search.conf
809       path).
810     - Made iptables parsing code into its own script "fwcheck_psad"
811       that gets called by psad.
812     - Added Dshield stats summary to --Status output.
813     - Bugfix for auto-ignore IP addresses and networks being missed.
814     - Made parsing of ifconfig output language independent (should
815       handle French now for example).
816     - Removed "psad_" prefix on files psad_signatures, psad_auto_ips,
817       psad_posf, and psad_icmp_types in /etc/psad/.
818     - Updated to version 4.6.14 of the whois client.
819
820 psad-1.3.1 (12/25/2003):
821     - Added the ability to import /var/log/psad/<ip> directories
822       back into memory so scan data remains persistent across
823       psad restarts or system reboots.
824     - Added --Analyze-msgs to run psad in analysis mode against an
825       iptables logfile (/var/log/psad/fwdata by default).  The logfile
826       path can be changed with --messages-file.
827     - Added icmp type and code validation against RFC 792.
828     - Bugfix for being too strict with FW_MSG_SEARCH.
829     - Added port ranges for tcp and udp scans in <ip>/<dst>_packet_ctr.
830     - Added <ip>/<dst>_start_time and <ip>/os_guess.
831     - Bugfix for missing --no-signatures code.
832     - Updated to Snort-2.1 signatures.
833
834 psad-1.3 (11/30/2003):
835     - Replaced all signatures in psad_signatures with updated snort
836       rules.
837     - Added support for source and destination ip addresses in
838       signature matching code.  A new variable "HOME_NET" makes this
839       possible.
840     - Added support for the iptables output chain.
841     - Added chain tracking for all signatures.
842     - Replaced match_fastsigs() with two new routines for tcp and
843       udp signature matching that don't autovivify hash keys.
844     - Removed support for ipchains.
845     - Added support for metalog.
846     - Removed all "Undefined Code" signatures from psad_signatures.
847     - Re-worked %auto_blocked_ips hash and corresponding blocking
848       routines.  This (hopefully) fixes a restart bug seen on older
849       systems such as those that are still running versions of perl
850       less than 5.6.
851     - Re-worked firewall policy parsing routines.  Chains that have
852       a default policy of DROP are handled properly now.
853     - Bugfix for missing NULL char in kmsgsd.c.
854     - Updated scan alerting format.  Put current interval protocol
855       status before source and destination addresses.
856     - Buffer overflow fix in kmsgsd.c for size of buf[MAX_LINE_BUF]
857       buffer in read() call.
858     - Added --no-kmsgsd option to aid in psad --debug mode.
859
860 psad-1.2.4 (10/15/2003):
861     - Added danger level to subject line in email alerts.
862     - Removed diskmond altogether since psad now handles disk space
863       thresholds directly.  This allows filehandles to be handled
864       properly.
865     - Added auto_block_ignore_ip() to prevent 0.0.0.0, 127.0.0.1,
866       and local interface ips from being included in auto blocking
867       routines.
868     - Added Bit::Vector module to stop installation warnings from
869       Date::Calc.
870     - Made get_local_ips() called periodically since local addresses
871       may change (dhcp, etc.).
872     - Added installation code and init script for Gentoo Linux.
873     - Bugfix for INIT_DIR in uninstall() routine in install.pl.
874     - Bugfix for auto-blocking loop after timeouts are hit.
875     - Added --status-dl [N] to display status information only for
876       those scans that reach at least [N].
877
878 psad-1.2.3 (09/12/2003):
879     - Added interface tracking for scans.
880     - Bugfix for not opening /etc/hosts.deny the right way in
881       tcpwr_block().
882     - Bugfix for psadfifo path in syslog-ng config.
883     - Better format for summary stats section in email alerts.
884     - Bugfix for INIT_DIR path on non-RedHat systems.
885     - Bugfix for gzip path.
886     - Make Psad.pm installed last of all perl modules installed
887       by psad.
888     - Added additional call to incr_syscall_ctr() in psadwatchd.c
889
890 psad-1.2.2 (08/24/2003):
891     - psad is finally available as an RPM package.
892     - Added chain tracking for iptables.
893     - Added chain counts to --Status output.
894     - Bugfix for psad not taking into account multiple scan
895       destinations.
896     - Reworked auto-blocking code for both tcpwrappers and
897       iptables.  Lines added to /etc/hosts.deny will no longer be
898       duplicated.  Added IPTABLES_AUTO_RULENUM and
899       IPCHAINS_AUTO_RULENUM so auto rules can be inserted at a
900       configurable point within iptables and ipchains policies.
901     - Psad now installs all perl modules within /usr/lib/psad.
902     - Removed /var/log/psad/<ip>/scanlog file since it was wasting
903       too much disk.
904     - Made psad, psadwatchd, and diskmond take the machine hostname
905       from their respective config files.  This makes installation
906       via the rpm easier, and is generally cleaner.
907     - Added scan destination in --Status output.
908     - Added --status-sort-dl (the default status output is now
909       sorted by ip address by default).
910
911 psad-1.2.1 (07/11/2003):
912     - Bugfix for multiple processes being spawned by psadwatchd
913       due to lack of proper config variables in the new split
914       daemon config files.
915     - Bugfix for old scan messages being regenerated if a HUP
916       signal is received.
917     - Bugfix for incorrectly calculating disk utilization in
918       diskmond.c.
919     - Extended install.pl to include compression for archived
920       files in /etc/psad.
921     - Added preserve questions in install.pl for the psad
922       signature and auto ips files.
923     - Bugfix for --USR1 command line switch not mapping to the
924       correct subroutine.
925     - Bugfix for psad man page missing the pipe character in
926       psadfifo line for syslog.conf.
927
928 psad-1.2 (06/18/2003):
929     - Added passive OS fingerprinting based on packet ttl, length,
930       tos, and id fields.
931     - Added dshield.org alerting capability.
932     - Added exec_external_script() for external script execution.
933     - Added auto blocked timeouts.
934     - Implemented config re-imports via HUP signals in a manner
935       similar to various other system daemons (sysylog, apache
936       etc.)
937     - Better --Status output that shows packet counts per protocol
938       for each ip.
939     - Added --ip-status for more verbose status output for a
940       particular ip address.
941     - Added config preservation code to install.pl.
942     - Added Psad::psyslog().
943     - Split psad.conf into a separate config file for each of the
944       four psad daemons.
945     - Completely re-worked the auto blocking code (made dedicated
946       files for iptables and ipchains block methods).
947     - Added danger level hash.
948     - Minor code cleanups (shorter hash keys, etc.).
949
950 psad-1.1.1 (04/26/2003):
951     - Bugfix for incorrect usage of %scan hash keys associated
952       with tcp/udp when the current protocol is icmp.
953     - Bugfix for being too strict on iptable default log string.
954     - Reworked USR1 signal handler so the Data::Dumper function
955       call is made in the main part of the psad code.
956     - Added a startup message for psad.
957     - Minor bugfix for leading whitespace in auto_ips.
958
959 psad-1.1 (04/20/2003):
960     - Added the IPTables::Parse module for better processing of
961       the iptables ruleset.
962     - Added --snort-sids so that iptables messages generated by
963       fwsnort can be included in alerts.  Such alerts now include
964       the content fields of packets (fwsnort uses the iptables
965       string match module).
966     - Added the ability to specify entire networks in the auto
967       ips file through the use of the Net::IPv4Addr module.
968     - Better logging format that reinstates the current interval,
969       and adds an "overall stats" section that includes packet
970       counters per protocol.
971     - Removed the PROTO hash key since it was unnecesssary.
972     - Better benchmarking code.
973     - Bug fix for incorrectly looking for the "MAC" string in
974       iptables messages that could have been generated by the
975       FORWARD chain.
976
977 psad-1.0 (02/27/2003):
978     - Added --Benchmark and --packets command line options to support
979       psad benchmarking.
980     - Bugfix for improperly detecting NULL scans.
981     - Completely redesigned website.
982
983 psad-1.0.0-pre4 (11/26/2002):
984     - Rewrote kmsgsd and psadwatchd in C.