端口镜像NIDS技术（sniffer抓包）

端口镜像NIDS技术（sniffer抓包） NIDS是Network Intrusion Detection System的缩写，即网络***检测系统，主要用于检测Hacker或Cracker通过网络进行的***行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。　　NIDS的功能：网管人员对网络运行状态进行实时监控，以便随时发现可能的***行为，并进行具体分析，及时、主动地进行干预，从而取得防患于未然的效果。　　目前，NIDS产品可分为硬件和软件两种类型。　　NIDS的功能测评内容: 　　NIDS提供的功能主要有数据的收集，如数据包嗅探；事件的响应，如利用特征匹配或异常识别技术检测***，并产生响应；事件的分析，如协议分析、网络流量分析；事件数据存储，如记录报警信息到数据库。功能测评主要是对NIDS应提供的功能进行验证。例如在事件响应测评中，要求NIDS在检测到***事件后能及时地根据设置的响应方式作出响应；在***事件检测能力测评中，则要求NIDS能够检测到常见***，如后门类、FTP类、HTTP类、DNS类、Mail类、ICMP类、Finger类、RPC类和DoS类等；在控制台功能测评中，则要求NIDS控制台提供对网络引擎、用户角色以及数据库的管理功能等。　　NIDS的安全性测评内容: 　　安全性测评依据***检测保护轮廓对NIDS的安全功能做出测评，主要从安全审计、标识和鉴别、安全管理、TOE安全功能保护以及IDS部件要求等方面进行测评分析。　　功能测评以及安全性测评所采用的测试方法有： 　　功能测评一般采用验证法，即根据产品本身的功能设置和使用说明，通过运用的测试工具来验证NIDS的数据收集、分析、响应和控制台管理等功能是否能够正确实现；安全性测评则是综合运用验证法、分析法来确认NIDS是否满足相关的安全功能要求。　　检测NIDS对规避***的检测能力： 　　规避就是对***行为进行伪装，虽然***目标机能够识别这种伪装后的***行为，但IDS却不能有效地检测该***，从而使***者达到***的目的。例如：将***数据包进行分片，由于有些NIDS不能对IP分片进行重组，或者超过了其处理能力，因此对该***规避后可以躲过NIDS的检测。

　　目前规避技术有很多种，如数据包分片和URL Obfuscation。数据包分片测试检测NIDS是否具备TCP/IP的重组能力，以及重组能力是否完善；测试使用专有的规避测试工具对***流量进行分片、重叠、乱序处理，并向***目标转发，验证NIDS是否能检测到该***。URL Obfuscation测试检测NIDS能否抵抗常见的URL Obfuscation技术；测试使用专有的字符串处理和字符替代技术，对***数据进行伪装，并向***目标转发，验证NIDS是否能检测到该***。

实验器材：一台交换机(s2000)，一台路由器（做pc1）一台真是pc2 虚拟机pc做NIDS服务器。

配置交换机： [Quidway]monitor-port eth0/4 ? filt-da Specify monitor port filter mode as FILT_DA filt-sa Specify monitor port filter mode as FILT_SA no-filt Specify monitor port filter mode as FILT_NO [Quidway]monitor-port eth0/4 filt-da ? H-H-H Specify the MAC address [Quidway]monitor-port eth0/4 filt-sa ? H-H-H Specify the MAC address [Quidway]monitor-port eth0/4 no-filt ? <cr> [Quidway]monitor-port eth0/4 no-filt [Quidway]mirroring-port eth0/1 to eth0/2 both ? <cr> [Quidway]mirroring-port eth0/1 to eth0/2 both 用路由器作为pc1机： [R1]inter e1 [R1-Ethernet1]ip address 192.168.1.1 24 [r1]local-user user1 password sim 123 service-type adm