端口镜像NIDS技术(sniffer抓包) NIDS是Network Intrusion Detection System的缩写,即网络***检测系统,主要用于检测Hacker或Cracker通过网络进行的***行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。   NIDS的功能:网管人员对网络运行状态进行实时监控,以便随时发现可能的***行为,并进行具体分析,及时、主动地进行干预,从而取得防患于未然的效果。   目前,NIDS产品可分为硬件和软件两种类型。   NIDS的功能测评内容:   NIDS提供的功能主要有数据的收集,如数据包嗅探;事件的响应,如利用特征匹配或异常识别技术检测***,并产生响应;事件的分析,如协议分析、网络流量分析;事件数据存储,如记录报警信息到数据库。 功能测评主要是对NIDS应提供的功能进行验证。例如在事件响应测评中,要求NIDS在检测到***事件后能及时地根据设置的响应方式作出响应;在***事件检测能力测评中,则要求NIDS能够检测到常见***,如后门类、FTP类、HTTP类、DNS类、Mail类、ICMP类、Finger类、RPC类和DoS类等;在控制台功能测评中,则要求NIDS控制台提供对网络引擎、用户角色以及数据库的管理功能等。   NIDS的安全性测评内容:   安全性测评依据***检测保护轮廓对NIDS的安全功能做出测评,主要从安全审计、标识和鉴别、安全管理、TOE安全功能保护以及IDS部件要求等方面进行测评分析。   功能测评以及安全性测评所采用的测试方法有:   功能测评一般采用验证法,即根据产品本身的功能设置和使用说明,通过运用的测试工具来验证NIDS的数据收集、分析、响应和控制台管理等功能是否能够正确实现;安全性测评则是综合运用验证法、分析法来确认NIDS是否满足相关的安全功能要求。   检测NIDS对规避***的检测能力:   规避就是对***行为进行伪装,虽然***目标机能够识别这种伪装后的***行为,但IDS却不能有效地检测该***,从而使***者达到***的目的。例如:将***数据包进行分片,由于有些NIDS不能对IP分片进行重组,或者超过了其处理能力,因此对该***规避后可以躲过NIDS的检测。

  目前规避技术有很多种,如数据包分片和URL Obfuscation。数据包分片测试检测NIDS是否具备TCP/IP的重组能力,以及重组能力是否完善;测试使用专有的规避测试工具对***流量进行分片、重叠、乱序处理,并向***目标转发,验证NIDS是否能检测到该***。URL Obfuscation测试检测NIDS能否抵抗常见的URL Obfuscation技术;测试使用专有的字符串处理和字符替代技术,对***数据进行伪装,并向***目标转发,验证NIDS是否能检测到该***

 

 

实验器材:一台交换机(s2000),一台路由器(做pc1)一台真是pc2 虚拟机pc做NIDS服务器。

端口镜像NIDS技术(sniffer抓包)-编程知识网

配置交换机: [Quidway]monitor-port eth0/4 ? filt-da Specify monitor port filter mode as FILT_DA filt-sa Specify monitor port filter mode as FILT_SA no-filt Specify monitor port filter mode as FILT_NO [Quidway]monitor-port eth0/4 filt-da ? H-H-H Specify the MAC address [Quidway]monitor-port eth0/4 filt-sa ? H-H-H Specify the MAC address [Quidway]monitor-port eth0/4 no-filt ? <cr>  [Quidway]monitor-port eth0/4 no-filt [Quidway]mirroring-port eth0/1 to eth0/2 both ? <cr>  [Quidway]mirroring-port eth0/1 to eth0/2 both 用路由器作为pc1机: [R1]inter e1 [R1-Ethernet1]ip address 192.168.1.1 24 [r1]local-user user1 password sim 123 service-type adm

端口镜像NIDS技术(sniffer抓包)-编程知识网

端口镜像NIDS技术(sniffer抓包)-编程知识网

用pc机2 telnet192.168.1.1输入用户名:user1密码:123 然后在服务器用sniffer上抓包 抓包成功:

端口镜像NIDS技术(sniffer抓包)-编程知识网

端口镜像NIDS技术(sniffer抓包)-编程知识网

转载于:https://blog.51cto.com/liufan0321/1079543