changes since psad-2.2

added auto_min_dl5_blocking.conf file

changes since psad-2.2

minor date update for psad-2.2.1 release

bumped version to 2.2.1

Added EMAIL_THROTTLE for email throttling

Added the ability to throttle emails generated by psad via a new
EMAIL_THROTTLE variable which is implemented as a per-IP threshold.  That
is, if EMAIL_THROTTLE is set to "10", then psad will only send 1/10th as
many emails for each scanning IP as it would have normally.  This feature
was suggested by Naji Mouawad.

Configurable auto-blocking timeout values.

Oscar Marley suggested configurable auto-blocking timeout values depending on
the danger level that a scan or attack achieves.  This resulted in the
implementation of the AUTO_BLOCK_DL*_TIMEOUT variables.

added --analysis-auto-block mode to allow auto-responses to be testing in -A mode

Added --enable-auto-block-tests for testing the auto-blocking functionality in psad

Detect Topera IPv6 scans when IP options are logged

Added detection for Topera IPv6 scans when --log-ip-options is used in
the ip6tables logging rule.  When this option is not used, the previous                                                                                                                        psad-2.2 release detected Topera scans.  An example TCP SYN packet
generated by Topera when --log-ip-options is used looks like this (note                                                                                                                        the series of empty IP options strings "OPT ( )":

    Dec 20 20:10:40 rohan kernel: [  488.495776] DROP IN=eth0 OUT=                                                                                                                                 MAC=00:1b:b9:76:9c:e4:00:13:46:3a:41:36:86:dd
    SRC=2012:1234:1234:0000:0000:0000:0000:0001                                                                                                                                                    DST=2012:1234:1234:0000:0000:0000:0000:0002 LEN=132 TC=0 HOPLIMIT=64
    FLOWLBL=0 OPT ( ) OPT ( ) OPT ( ) OPT ( ) OPT ( ) OPT ( ) OPT ( )                                                                                                                              OPT ( ) OPT ( ) PROTO=TCP SPT=61287 DPT=1 WINDOW=8192 RES=0x00 SYN
    URGP=0

Parse fwsnort rules for 'msg' fields

Added the ability to acquire Snort rule 'msg' fields from fwsnort if
it's also installed.  A new variable FWSNORT_RULES_DIR tells psad where
to look for the fwsnort rule set.  This fixes a problem reported by Pui
Edylie to the psad mailing list where fwsnort logged an attack that psad
could not map back to a descriptive 'msg' field.

added nmap scan style details to syslog output

completed IP protocol scan detection task

added IP protocol scan output to psad emails

additional regex's to look for perl warnings

[test suite] added --analysis-write-data to psad test command line

added 'Other' protocols to per-IP 'Global stats' output for protocol scans

remove 'multiproto' hash key in favor of new 'tot_protocols' hash key (used in -sO protocol scan detection)

minor bug fix for uninitialized variable usage in ICMP6 invalid type/code detection

added IP protocol scan test

removed ununsed is_digit() function

first cut at IP protocol scan detection (nmap -sO)

added 'protocols' file in support of IP protocol scan detection (nmap -sO)

replaced TODO with todo.org org mode file

another hyphen fix

applied hyphen fix from Franck Joncourt

added Gregorio Narvaez

Bug fix for NetAddr::IP usage in --analysis-fields IP search mode

Bug fix in --Analyze mode when IP fields are to be searched with the
--analysis-fields argument (such as --analysis-fields "SRC:1.2.3.4").
The bug was reported by Gregorio Narvaez, and looked like this:

  Use of uninitialized value $_[0] in length at
  ../../blib/lib/NetAddr/IP/UtilPP.pm (autosplit into
  ../../blib/lib/auto/NetAddr/IP/UtilPP/hasbits.al) line 126.
  Use of uninitialized value $_[0] in length at
  ../../blib/lib/NetAddr/IP/UtilPP.pm (autosplit into
  ../../blib/lib/auto/NetAddr/IP/UtilPP/hasbits.al) line 126.
  Bad argument length for NetAddr::IP::UtilPP::hasbits, is 0, should be
  128 at ../../blib/lib/NetAddr/IP/UtilPP.pm (autosplit into
  ../../blib/lib/auto/NetAddr/IP/UtilPP/_deadlen.al) line 122.

Added --stdin argument to allow psad to collect iptables log data from
STDIN in --Analyze mode.

bumped version to psad-2.3-pre1

minor comment wording update w.r.t. SYSLOG_DAEMON usage

INSTALL_ROOT resolution bug fix (found by Kat)

removed legacy psadwatchd.conf file references

bumped version to 2.2

Added install.answers.example file to illustrate install.pl answers to be consumed by --Use-answers

changelog and credits update

Added the ability to automatically get query answers from --answers-file

By default the install.pl script records user answers to installation queries
so they can be used to install psad in an automated fashion later.  A new
option --Use-answers makes this possible.  This feature was requests by
@pyllyukko.

bumped version to psad-2.2-pre2

removed psad-nobuildreqs.spec

moved ChangeLog.old -> ChangeLog (the old style is much more readable)

matched all chdir() calls with getcwd() for easier test suite support

added the psad-require-makemaker.spec file

Removed the ExtUtils::MakeMaker build requirement

Although building the psad RPM builds a set of perl modules which themselves
have the 'use ExtUtils::MakeMaker' requirement in their respective Makefile.PL
scripts, some Linux distributions don't seem to make it easy to install
ExtUtils::MakeMaker in a manner in which the local RPM install can see it.
And, at the same time, it usually is there since installing perl modules is
such a common operation.  The compromise is this solution, which will allow the
psad RPM to be built even if RPM dosen't or can't see that ExtUtils::MakeMaker
is installed - most likely it will build anyway.  If it doesn't, there are
bigger problems since psad is written in perl.  If you want to build the psad
RPM with a .spec file that requires ExtUtils::MakeMaker, then use the
"psad-require-makemaker.spec" file that is bundled in the psad sources.

update to install the init script in the test dir in --install-test-dir mode

added guard variable around syslog() calls

bug fix to expand INSTALL_ROOT variable from psad.conf

bug fix to ensure that a pristine psad.conf file is preserved across --install-test-dir mode

Bug fix for undefined syslog routine

Fixed a bug that caused psad to emit the following:

Undefined subroutine &main::LOG_DAEMON called at ./psad line 10071.

This problem was noticed by Robert and reported on the psad mailing list.

RPM spec files switched to NetAddr::IP installation

--test-system-install to allow current system installation of psad to be tested through the test suite

override -O option for fwcheck_psad.pl

update psad RPM spec files for the 2.2 release - more updates coming to properly handle the NetAddr::IP modules

version 2.2 nearly ready - bumped version numbers

added signatures file that excludes the MS SQL connect signature

updated test config files to not require the 'mail' binary

Minor compiler warning bug fix for OpenBSD systems.

Compiling psad *.c files on OpenBSD issued the following warning before this fix:

/usr/bin/gcc -Wall -O psadwatchd.c psad_funcs.c strlcpy.c strlcat.c -o psadwatchd
psad_funcs.c: In function 'send_alert_email':
psad_funcs.c:325: warning: missing sentinel in function call

added IPv6 exclusion test for Snort MS SQl Server communication attempt signature

added Snort sig tests for MS SQL Server communication attempt

IPv4 allow valid echo request

minor hostname update minastirith -> linux

added IPv4 ICMP type/code validation test

ICMP6 type/code validation test, perl warnings test

added ipv6_invalid_icmp6_type_code file for test suite support for ICMP6 type/code validation

bugfix for uninitialized variable in ICMP6 validation reporting

validate ICMP6 type+code fields

copy original psad.conf before install and restore at conclusion

move icmp validation code out of Snort rules comparision

For better performance and correctness, moved icmp type/code validation code out
of Snort rule comparision routine.  Added icmp validation output to --Analyze
mode output.  Disabled DNS lookups in -A mode by default, but added --dns-analysis
command line arg to provide an override.

added --install-root and --install-test-dir options to --help output

added the ability to read iptables packet data from a file with -m in --Benchmark mode

added IPv6 abbreviated format test

bugfix to honor audo_dl lines with IPv6 addresses

added --test-mode so that fw check emails are not sent, debug is enabled, and is_local() always returns false

added --test-mode so that fw check emails are not sent, debug is enabled, and is_local() always returns false

added enable_ack_detection.conf file

added IPv6 TCP connect() test

added TCP NULL scan test

added NULL scan test

added FIN, XMAS, and ACK scan tests

bugfix in psad to honor IGNORE_PROTOCOLS keyword (found by corresponding tests)

updated to remove kmsgsd discussion since kmsgsd is basically deprecated at this point

minor config file comment typo fixes

minor comment typo fixes

added auto_dl 5 tests

added SYN scan and UDP scan tests

updated default INSTALL_ROOT path to the test/ directory install path test/psad-install

bugfix in variable expansion routine to ensure expansion of multiple sub-vars

Added the ability to install at custom location

This commit adds the ability to install psad at a custom location via the
--install-root <root> command line argument to install.pl.  This feature
was suggested by @pyllyukko.  In addition, psad can be installed by a
normal user instead requiring root.

additional basic operations tests, next up: scan tests

added test suite scans/ directory

added test suite via the test/ directory

bug fix to ensure the psadfifo file is not created unless  is true

added PERL5LIB env variable so module installs can reference the current install path, minor 'die' statement update to remove newlines

added support for ip6tables policy default log and drop rule detection

updated to IPTables::ChainMgr 1.2 and IPTables::Parse 1.1

updated to IPTables::ChainMgr 1.2 and IPTables::Parse 1.1

fix 'qw(...) usage as parenthesis' warnings for perl > 5.14

minor comment updates (header material)

updated Unix::Syslog to 1.1 from CPAN

fix 'qw(...) usage as parenthesis' warnings for perl > 5.14

added ip6tables policy dump to --fw-dump mode

bumped version to 3.0-pre1