网络安全:入侵检测与防火墙的实用指南
1. 入侵检测系统概述
入侵检测系统(IDS)用于识别网络内的可疑活动或检测入侵行为。它通过规则匹配算法来检测数据包或模式,以判断是否存在入侵、病毒爆发或其他不良活动。不过,有些“合法”活动可能与入侵或病毒爆发的规则非常接近,从而触发 IDS 系统的警报,例如 Outlook 和 Exchange 之间发送的数据包。
IDS 系统的可靠性取决于其用于检测网络内活动的规则。保持这些规则的更新是一项常被低估的任务,并且这在很大程度上取决于你对 IDS 系统的使用期望。如果系统不仅要监控 *NIX 系统的网络流量,还要监控现有 Windows 系统的网络流量,那么你必须确保运行非常紧密的更新周期,有时一天要更新多次,因为针对 Windows 系统的攻击者很有手段,经常会分发新的恶意软件。
IDS 系统主要分为两种基本类型:基于硬件的和基于软件的。基于硬件的系统显然也运行软件,其区别在于它配备了定制硬件以提高系统性能,思科系统(Cisco Systems)是常见的基于硬件的 IDS 系统制造商之一。基于软件的系统仅以软件形式提供,客户需要提供适合该任务的机器。然而,无论是哪种类型的 IDS 系统,都存在一个共同的缺点:在网络活动高峰期可能会丢失数据包。如果丢失的数据包中包含触发警报的关键信息,那么即使是最好的 IDS 系统也可能毫无用处。因此,为了确保全面监控,应该使用多个系统,并同时监控基线脚本创建的日志文件。如果计数器出现异常峰值,就应该检查其他系统。
1.1 tcpdump 示例
tcpdump 是一个常用的网络数据包捕获工具,以下是一些常见的 tcpdump 命令及其功能:
| 命令 |