2019独角兽企业重金招聘Python工程师标准>>> 
入侵检测的方法
1、特征检测、对某些有特征的攻击。。。
2、异常检测、异常的的登录或者其他活动
端口扫描,
如果对一个未开放的TCP端口扫描,服务器回复一个RST包,并断开链接
如果对一个未开放的UDP端口扫描,服务器回复一个ICMP(8)端口不可达
IDS与snort
免费的开源工具,当带宽为200-300Mbit/s时会有丢包,大于500Mbit/s时则无法使用
snort的包处理流程:
libpcap----预处理程序-----(检测引擎)------输出事件
1.snort的安装,配置好Ubuntu的源,直接
sudo apt-get install snort 就搞定
2.snort有三种工作模式
a.嗅探器:从网络上读出数据包然后显示在控制台上
snort -v -i dev -i 指定网卡
这个命令只会输出TCP/UDP/ICMP的包头信息,如果要看到应用层的
sonrt -vd -i dev
如果要显示数据链路层的数据
snort -ved -i dev
b.数据包记录器
需要自定义个日志目录,而且这个目录一定要存在
snort -d -l ./log
c.网络入侵检测系统(NIDS)
snort -dev -i eth0 -l ./log -h 192.168.100.0/24 -c snort.conf
snort.conf的文件里面包含了许多rules,根据自己的需求去改就可以了
3.关于输出选项
在NIDS模式下,有很多方式来配置snort的输出。在默认情况下,snort以ASCII格式记录日志,使用full报警机制
snort有6种报警机制,full、fast、socket、syslog、smb和none。其中有4个可以在命令行模式下使用-A 来设置
-A fast:报警信息包括:一个时间戳(timestamp)、报警消息、源/目的IP地址和端口。
-A full:是默认的报警模式。
-A unsock:把报警发送到一个UNIX套接字,需要有一个程序进行监听,这样可以实现实时报警。
-A none:关闭报警机制。